主流VPN技術的比較與分析
本文關鍵詞:MPLS和VPN體系結構,由筆耕文化傳播整理發(fā)布。
摘要:介紹了IPSec、MPLS、SSL這三種主流VPN 技術,并從工作原理、安全性、認證方式與管理及成本對這三種技術作了比較分析,提出在實際應用中應根據(jù)實際需求并結合各種技術的優(yōu)勢來設計與實施VPN。
關鍵詞:虛擬專用網(wǎng)SSLMPLSIPSec
Comparison and Analysis of Mainstream VPN Technologies
LI Hong-Jun
(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)
Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.
Keywords: Virtual Private Network; SSL; MPLS; IPSec
VPN(Virtual Private Network,虛擬專用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡通過公用骨干網(wǎng)絡連接成的邏輯上的虛擬子網(wǎng), 它采用數(shù)據(jù)加密技術、身份認證技術、隧道技術和密鑰管理技術等關鍵技術實施通信保護,防止通信信息被泄露、篡改和復制。
當前,隨著VPN技術的日趨成熟,已經(jīng)有越來越多的企業(yè)和機構采用VPN技術來構建自己的虛擬專用網(wǎng)絡以達到靈活擴展自身內(nèi)部網(wǎng)絡、連接跨區(qū)域分支網(wǎng)絡等目的。與傳統(tǒng)的物理專用網(wǎng)絡相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴展性強、可靠的服務質(zhì)量(QoS)等特點。
按照實現(xiàn)技術的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應用最為廣泛的三種VPN 解決方案。
下面分別對這三種技術進行比較與分析。
1 IPSec VPN與MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟( SA)及加密和驗證算法等。IPSec是在網(wǎng)絡層實現(xiàn)數(shù)據(jù)加密和驗證,提供端到端的網(wǎng)絡安全方案,可以提供訪問控制、數(shù)據(jù)源的驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機密性、抗重防保護以及有限的數(shù)據(jù)流機密性保證等服務[1 ]。
IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、防止重播攻擊、信息加密與流量保密等安全服務。所有這些服務都建立在IP層,并保護上層的協(xié)議。這些服務通過使用兩個安全協(xié)議:認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。
IPSec VPN是一項成熟的技術,目前有許多基于硬件的解決方案來保障它的高性能,是遠程辦公室點對點互聯(lián)的優(yōu)選方案。
1.2 MPLS VPN
MPLS (Multi-Protocol Label Switching,多協(xié)議標簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡交換標準,介于第二層和第三層之間的交換技術,所以它既可以兼容多種鏈路層技術,又能支持多種網(wǎng)絡層的協(xié)議,實現(xiàn)了邊緣的路由和核心的交換[2 ]。
MPLS VPN是一種基于MPLS技術的VPN,在網(wǎng)絡路由與交換設備上使用MPLS技術,應用標簽交換,通過LSP將私有網(wǎng)絡的不同分支聯(lián)結起來,并結合傳統(tǒng)的路由技術,適用于多點到多點的連接。MPLS作為骨干網(wǎng)絡的一種路由轉發(fā)的新模式,必須由LSR(Label Switch Router,標簽交換路由器)構建,普通路由器無法完成。如果網(wǎng)絡規(guī)模比較大,則可能需要較多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了一種在應用程序協(xié)議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制,為TCP/IP連接提供數(shù)據(jù)加密、服務器認證以及可選的客戶機認證[3]。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機與服務器間的會話加密參數(shù)。記錄協(xié)議用于交換應用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。盡管SSL 協(xié)議并非為實現(xiàn)VPN而設計,但SSL對VPN實現(xiàn)所需的數(shù)據(jù)加密、身份認證與密鑰管理等關鍵技術提供了良好的支持。
SSL VPN是工作在應用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠程接入[4]。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過瀏覽器連回公司內(nèi)部的SSL VPN服務器,然后通過網(wǎng)絡封包轉向的方式,令客戶可以在遠程計算機執(zhí)行應用程序,讀取公司內(nèi)部服務器數(shù)據(jù)。SSL VPN采用標準的安全套接層(SSL)對傳輸中的數(shù)據(jù)包進行加密,從而在應用層保護了數(shù)據(jù)的安全性。通過 SSL VPN可以實現(xiàn)遠程訪問企業(yè)內(nèi)部網(wǎng)絡的構架。
2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析
2.1安全性比較與分析
IPSec VPN[5]采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等,通過身份認證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標記欺騙,但它并沒有解決所有管理型的共享網(wǎng)絡普遍存在的非法訪問受保護的網(wǎng)絡元、錯誤配置以及內(nèi)部攻擊等安全問題。MPLS本身并未提供加密與驗證的安全功能,它可以集成IPSec協(xié)議以提供安全保護。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對稱式與非對稱式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
IPSec[6]采用了因特網(wǎng)密鑰交換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認證。對于IPSec VPN,由于一個新用戶節(jié)點的增加、刪除或修改均需要重新設置現(xiàn)有的所有節(jié)點,并在客戶端安裝復雜的軟件及配置。另外,IPSec VPN對客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來認證,SSL與IPSec在認證的安全等級上則沒有太大的差別。大多數(shù)廠商對SSL的認證均會建置硬件令牌(Token)以提升認證的安全性。在實際作業(yè)時,大多數(shù)人均在整個網(wǎng)段(Subset)上進行開發(fā)以避免太多的設定所帶來的麻煩。SSL可以設定不同的使用者以執(zhí)行不同的應用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設定上比IPSec 簡單方便得多,便于管理。對于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護連接,若有新成員加入,ISP僅需要告知用戶端的設備如何與網(wǎng)絡連接,并配置PE來識別來自CE的VPN成員,BGP便會自動更新相關配置,用戶不需要手動升級或改變自己的邊緣設備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。
2.3 成本的比較
MPLS VPN對于用戶而言,其一次性投入的成本較低,但長期投入的資金比較高。對于IPSec VPN,在實施IPSec方案時不僅需要人工發(fā)放認證的材料,用戶還需要知道所使用的加密和認證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預裝客戶端軟件等。這些不便在大規(guī)模實施過程中給用戶帶來了難以負擔的工作量和費用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因為瀏覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。
3 結語
通過上述比較分析可看出,三種VPN技術各具特色,互有長短。IPSec VPN與SSL VPN這兩種VPN架構,從整體的安全等級來看,它們均能提供安全的遠程登入存取聯(lián)機。但SSL VPN在其易用性及安全層級上,均比IPSec VPN高。由于Internet的快速擴展,針對遠程安全登入的需求也日益增加。因此,在實際選擇VPN 時,應根據(jù)實際需求,可以某種VPN技術為主,結合其他技術,充分發(fā)揮它們各自的優(yōu)勢,讓VPN網(wǎng)絡為企業(yè)和員工提供更好的服務。
參考文獻
[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國忠譯.IPSec VPN設計[M].北京:人民郵電出版社,2006.
[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結構(第二卷) [M].北京:人民郵電出版社,2004.
[3] 馬軍鋒.SSL VPN 技術原理及其應用[J].電信網(wǎng)技術,2005,(8):6~8.
[4] 伍轉華.三種基于不同協(xié)議的VPN技術研究與分析[J].科技咨詢,2007.
[5] 王春燕.VPN介紹及其安全性問題探討[J].中國新通信,2008.
[6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術的研究與比較[J].貴州科學,2007,(2).
[7] 廖崢.IPSec VPN與MPLS VPN[J].計算機網(wǎng)絡,2001,(6):68~71.
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
本文關鍵詞:MPLS和VPN體系結構,由筆耕文化傳播整理發(fā)布。
,本文編號:248163
本文鏈接:http://sikaile.net/wenshubaike/mishujinen/248163.html