本文關(guān)鍵詞：MPLS和VPN體系結(jié)構(gòu)，由筆耕文化傳播整理發(fā)布。

　　摘要:介紹了IPSec、MPLS、SSL這三種主流VPN 技術(shù),并從工作原理、安全性、認(rèn)證方式與管理及成本對(duì)這三種技術(shù)作了比較分析,提出在實(shí)際應(yīng)用中應(yīng)根據(jù)實(shí)際需求并結(jié)合各種技術(shù)的優(yōu)勢(shì)來(lái)設(shè)計(jì)與實(shí)施VPN。
　　關(guān)鍵詞:虛擬專用網(wǎng)SSLMPLSIPSec
　　
　　Comparison and Analysis of Mainstream VPN Technologies
　　LI Hong-Jun
　　(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)
　　Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.
　　Keywords: Virtual Private Network; SSL; MPLS; IPSec
　　
　　VPN(Virtual Private Network,虛擬專用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng), 它采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實(shí)施通信保護(hù),防止通信信息被泄露、篡改和復(fù)制。
　　 當(dāng)前,隨著VPN技術(shù)的日趨成熟,已經(jīng)有越來(lái)越多的企業(yè)和機(jī)構(gòu)采用VPN技術(shù)來(lái)構(gòu)建自己的虛擬專用網(wǎng)絡(luò)以達(dá)到靈活擴(kuò)展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專用網(wǎng)絡(luò)相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴(kuò)展性強(qiáng)、可靠的服務(wù)質(zhì)量(QoS)等特點(diǎn)。
　　 按照實(shí)現(xiàn)技術(shù)的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN 解決方案。
　　 下面分別對(duì)這三種技術(shù)進(jìn)行比較與分析。
　　
　　1 IPSec VPN與MPLS VPN及SSL VPN的工作原理
　　1.1 IPSec VPN
　　 IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認(rèn)證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟( SA)及加密和驗(yàn)證算法等。IPSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)加密和驗(yàn)證,提供端到端的網(wǎng)絡(luò)安全方案,可以提供訪問(wèn)控制、數(shù)據(jù)源的驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性、抗重防保護(hù)以及有限的數(shù)據(jù)流機(jī)密性保證等服務(wù)[1 ]。
　　 IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層,并保護(hù)上層的協(xié)議。這些服務(wù)通過(guò)使用兩個(gè)安全協(xié)議:認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過(guò)使用加密密鑰管理過(guò)程和協(xié)議來(lái)實(shí)現(xiàn)。
　　 IPSec VPN是一項(xiàng)成熟的技術(shù),目前有許多基于硬件的解決方案來(lái)保障它的高性能,是遠(yuǎn)程辦公室點(diǎn)對(duì)點(diǎn)互聯(lián)的優(yōu)選方案。
　　1.2 MPLS VPN
　　 MPLS (Multi-Protocol Label Switching,多協(xié)議標(biāo)簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn),介于第二層和第三層之間的交換技術(shù),所以它既可以兼容多種鏈路層技術(shù),又能支持多種網(wǎng)絡(luò)層的協(xié)議,實(shí)現(xiàn)了邊緣的路由和核心的交換[2 ]。
　　 MPLS VPN是一種基于MPLS技術(shù)的VPN,在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù),應(yīng)用標(biāo)簽交換,通過(guò)LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái),并結(jié)合傳統(tǒng)的路由技術(shù),適用于多點(diǎn)到多點(diǎn)的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式,必須由LSR(Label Switch Router,標(biāo)簽交換路由器)構(gòu)建,普通路由器無(wú)法完成。如果網(wǎng)絡(luò)規(guī)模比較大,則可能需要較多的LSR。
　　1.3 SSL VPN
　　 SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應(yīng)用層。SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證[3]。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)與服務(wù)器間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。盡管SSL 協(xié)議并非為實(shí)現(xiàn)VPN而設(shè)計(jì),但SSL對(duì)VPN實(shí)現(xiàn)所需的數(shù)據(jù)加密、身份認(rèn)證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。
　　 SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠(yuǎn)程接入[4]。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過(guò)瀏覽器連回公司內(nèi)部的SSL VPN服務(wù)器,然后通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,令客戶可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSL VPN采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。通過(guò) SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。
　　
　　2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析
　　2.1安全性比較與分析
　　 IPSec VPN[5]采用了對(duì)稱式(Symmetric)與非對(duì)稱式(Asymmetric)的加密算法以及摘要算法等,通過(guò)身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來(lái)抗攻擊與標(biāo)記欺騙,但它并沒(méi)有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問(wèn)受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等安全問(wèn)題。MPLS本身并未提供加密與驗(yàn)證的安全功能,它可以集成IPSec協(xié)議以提供安全保護(hù)。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對(duì)稱式與非對(duì)稱式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

　　2.2 認(rèn)證方式與管理的比較及分析
　　 IPSec[6]采用了因特網(wǎng)密鑰交換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認(rèn)證。對(duì)于IPSec VPN,由于一個(gè)新用戶節(jié)點(diǎn)的增加、刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點(diǎn),并在客戶端安裝復(fù)雜的軟件及配置。另外,IPSec VPN對(duì)客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來(lái)認(rèn)證,SSL與IPSec在認(rèn)證的安全等級(jí)上則沒(méi)有太大的差別。大多數(shù)廠商對(duì)SSL的認(rèn)證均會(huì)建置硬件令牌(Token)以提升認(rèn)證的安全性。在實(shí)際作業(yè)時(shí),大多數(shù)人均在整個(gè)網(wǎng)段(Subset)上進(jìn)行開(kāi)發(fā)以避免太多的設(shè)定所帶來(lái)的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設(shè)定上比IPSec 簡(jiǎn)單方便得多,便于管理。對(duì)于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護(hù)連接,若有新成員加入,ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接,并配置PE來(lái)識(shí)別來(lái)自CE的VPN成員,BGP便會(huì)自動(dòng)更新相關(guān)配置,用戶不需要手動(dòng)升級(jí)或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。
　　2.3 成本的比較
　　 MPLS VPN對(duì)于用戶而言,其一次性投入的成本較低,但長(zhǎng)期投入的資金比較高。對(duì)于IPSec VPN,在實(shí)施IPSec方案時(shí)不僅需要人工發(fā)放認(rèn)證的材料,用戶還需要知道所使用的加密和認(rèn)證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實(shí)施過(guò)程中給用戶帶來(lái)了難以負(fù)擔(dān)的工作量和費(fèi)用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因?yàn)闉g覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。
　　
　　3 結(jié)語(yǔ)
　　 通過(guò)上述比較分析可看出,三種VPN技術(shù)各具特色,互有長(zhǎng)短。IPSec VPN與SSL VPN這兩種VPN架構(gòu),從整體的安全等級(jí)來(lái)看,它們均能提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但SSL VPN在其易用性及安全層級(jí)上,均比IPSec VPN高。由于Internet的快速擴(kuò)展,針對(duì)遠(yuǎn)程安全登入的需求也日益增加。因此,在實(shí)際選擇VPN 時(shí),應(yīng)根據(jù)實(shí)際需求,可以某種VPN技術(shù)為主,結(jié)合其他技術(shù),充分發(fā)揮它們各自的優(yōu)勢(shì),讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。
　　
　　參考文獻(xiàn)
　　 [1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國(guó)忠譯.IPSec VPN設(shè)計(jì)[M].北京:人民郵電出版社,2006.
　　 [2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結(jié)構(gòu)(第二卷) [M].北京:人民郵電出版社,2004.
　　[3] 馬軍鋒.SSL VPN 技術(shù)原理及其應(yīng)用[J].電信網(wǎng)技術(shù),2005,(8):6～8.
　　[4] 伍轉(zhuǎn)華.三種基于不同協(xié)議的VPN技術(shù)研究與分析[J].科技咨詢,2007.
　　[5] 王春燕.VPN介紹及其安全性問(wèn)題探討[J].中國(guó)新通信,2008.
　　 [6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術(shù)的研究與比較[J].貴州科學(xué),2007,(2).
　　[7] 廖崢.IPSec VPN與MPLS VPN[J].計(jì)算機(jī)網(wǎng)絡(luò),2001,(6):68～71.

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

  本文關(guān)鍵詞：MPLS和VPN體系結(jié)構(gòu)，由筆耕文化傳播整理發(fā)布。

，

本文編號(hào)：248163