论文部分内容阅读
[摘 要]为了更好的解决校内电子资源远程访问和管理的问题,文章通过SSL VPN原理和关键技术的分析,阐述了SSL VPN在远程访问数据的优势。技术。
[关键词]校园网络 SSL VPN 身份认证
中图分类号:T234 文献标识码:A 文章编号:1009-914X(2015)13-0191-01
信息技术飞速发展的今天,广大师生对资源的使用不仅仅局限在校园内部,很多行政和教学人员会因工作需要出差,而同时学生如何在假期使用到校内资源就成为了各大高校需要面临和解决的问题。这成了制约数字化校园建设发展的瓶颈。而这一系列问题催生了虚拟专用网络(Virtual PrivateNetwork)技术的出现,即VPN技术。VPN技术指set up a passagew ay in the republic net w o rk,即在公共网络上建立一条通道。由VPN技术所构建的网络虚拟通道,可以让数据在传输时加密,为数据的隐私性带来保障,VPN技术无需敷设专门的物理性网络,投入资金少,安全效果显著。校园网络空间主要面对学生,对于安全性有着很高的需求,通过VPN技术来构建校园网络安全体系,在保证性能的同时,又可以免于隐私泄露或其他如黑客利用软件“后门”或漏洞入侵计算机等各类计算机违法犯罪行为的威胁。
一、 VPN的概念
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式。[1]VPN综合传统和共享数据网络的优点,具有安全、低成本等优势,近年来各大高校已经广泛将这一技术应用在移动办公和数字化资源访问等方面。
二、VPN的关键技术
(1)认证技术。VPN通道在连接正式启动之前,一般需要利用用户认证系统来核实用户身份进行,进而完成用户授权以及资源访问权限控制。通常认证协议所应用的是摘要技术,它透过HASH函数对报文长度展开函数变换,并且将其映射成为固定长度。
(2)通道技术。或为隧道技术,通过应用网络协议而控制数据的传输,以便通过通道协议限制网络信息的传输,故而通道技术是虚拟专用网络技术最为重要的组成部分。而我们所了解的通道技术的内容,其各协议及功能见下表。虚拟专用网络所使用的通道,必须要对传递的协议(包括数据、信息)进行验证,之后重新封装。
(3)数据加密。在数据信息传递过程中,利用加密技术来对数据包隐藏。假设该数据包通过的互联网不够安全,即使己经通过了用户认证,VPN也不是一定安全的。发送起始通道的用户优先加密,经过加密后方可进行数据传递。在接收通道道,认证用户应当首先将数据包解密,按照密钥类型的差异可以将当前的密码技术进行分类,主要分为两类:对称和非对称加密系统。在用户使用VPN通道时,数据信息的加密会采取对称密码体系,核心数据的加密则一般选用公钥密码。
(4)访问限制。访问限制会阻挡未经授权的访问行为,用户在访问系统资源时,会因权限的不同而得到控制,设定合理的访问限制可以有效防范没有权限的用户通过VPN来得到资源和数据。
三、VPN技术分类
虚拟专用网络(VPN)技术是指临时建立一个特定的安全网络通道或者临时网络连接,来把不同域的网络连接在同一个逻辑网络中。目前VPN一般采用安全隧道、加密解密技术、密钥管理和身份认证等技术来进行网络安全通信。VPN按技术实现可区分为L2TP、MPLS、PPTP、IPSec、SSL等,其中两大主流是分别是基于IPSec和基于SSL协议的VPN技术。
四、两种VPN方案的对比
IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Pointto Site的连接方式。总体来看,相比于IPsec VPN方案,SSLVPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSLVPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。
五、SSL-VPN的关键技术及性能分析
1. SSL VPN的组成
SSL(Security Socket Layer)翻译过来就是安全套接协议层。是通过对数据进行加密处理从而实现VPN安全通信。SSL VPN一般由网关和客户端的浏览器组成。用户通过在浏览器上增加SSL协议加密对VPN网关发送访问请求,网关解密后发到校内服务器,这一过程就形成了一个加密隧道。 2.SSL VPN关键技术
现在SSL协议VPN关键技术包括:数据安全和可伸缩访问控制、authentication(身份认证)、翻译和重写、加解密和隧道技术。
(1)数据安全和精细访问控制
越来越多的用户选择使用SSL VPN来远程接入网络是因为SSL VPN给移动用户提供了良好的数据安全,从数据安全层面来讲,SSL VPN是应用层面的授权,未经授权的用户不能访问开放使用的应用。同时SSL VPN可以精细的分配用户的访问权,一个用户可以根据组织结构框架来获得不同授权,他们可以别分配多个授权。而且远程用户的访问日志也可以通过跟踪引擎得到记录,加强了安全管理。
(2)身份与设备认证技术
SSL VPN能根据需求对认证方式做调整。SSL协议支持客户密码认证、USB验证、数字认证、短信和秘钥等各种方式的认证。它可以和第三方通过重定向有效集成,让部署更加方便。
(3)翻译技术和重写内容
SSL协议的VPN的系统架构里面最重要的一环就是网关。用户的需求被发送到网关来,然后再网关里重写内容转化加密后发送到服务器,利用翻译技术从而获取校内的电子资源和办公系统的数据。
(4)加解密和隧道技术
用户通过IE里面的SSL协议和网关相连,经过网关认证后就形成了一条数据通道。在此过程中为了保证通信内容不泄露就必须对数据进行加密处理。SSL(安全套接协议)就是一种标准IE自带的安全协议,使用的X.509证书和公开秘钥来使得通信更加完整更加机密。
结语
各高校对校园网络的需求与日俱增,在提倡开放和便捷的同时,网络安全问题也随之涌现。当前正处于经济高速发展时期,许多高校拓展招生以及扩大校区面积或建立分校,怎样才能让高校内部享受优质的校园网服务,让数据信息安全的进行传递。VPN技术恰恰可以满足校园网的需求,在节省成本的同时,又可以从根本上完善高校的网络安全体系,所以利用VPN技术来优化校园网络,这将成为校园网络安全体系的发展趋势。
参考文献
[1] 徐迎新.VPN技术在校园网安全体系架构中的应用研究[D].南昌大学,2009.
[2] 奠爱民.主流VPN技术的安全性研究与改进[D].南京理工大学,2009.
[关键词]校园网络 SSL VPN 身份认证
中图分类号:T234 文献标识码:A 文章编号:1009-914X(2015)13-0191-01
信息技术飞速发展的今天,广大师生对资源的使用不仅仅局限在校园内部,很多行政和教学人员会因工作需要出差,而同时学生如何在假期使用到校内资源就成为了各大高校需要面临和解决的问题。这成了制约数字化校园建设发展的瓶颈。而这一系列问题催生了虚拟专用网络(Virtual PrivateNetwork)技术的出现,即VPN技术。VPN技术指set up a passagew ay in the republic net w o rk,即在公共网络上建立一条通道。由VPN技术所构建的网络虚拟通道,可以让数据在传输时加密,为数据的隐私性带来保障,VPN技术无需敷设专门的物理性网络,投入资金少,安全效果显著。校园网络空间主要面对学生,对于安全性有着很高的需求,通过VPN技术来构建校园网络安全体系,在保证性能的同时,又可以免于隐私泄露或其他如黑客利用软件“后门”或漏洞入侵计算机等各类计算机违法犯罪行为的威胁。
一、 VPN的概念
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式。[1]VPN综合传统和共享数据网络的优点,具有安全、低成本等优势,近年来各大高校已经广泛将这一技术应用在移动办公和数字化资源访问等方面。
二、VPN的关键技术
(1)认证技术。VPN通道在连接正式启动之前,一般需要利用用户认证系统来核实用户身份进行,进而完成用户授权以及资源访问权限控制。通常认证协议所应用的是摘要技术,它透过HASH函数对报文长度展开函数变换,并且将其映射成为固定长度。
(2)通道技术。或为隧道技术,通过应用网络协议而控制数据的传输,以便通过通道协议限制网络信息的传输,故而通道技术是虚拟专用网络技术最为重要的组成部分。而我们所了解的通道技术的内容,其各协议及功能见下表。虚拟专用网络所使用的通道,必须要对传递的协议(包括数据、信息)进行验证,之后重新封装。
(3)数据加密。在数据信息传递过程中,利用加密技术来对数据包隐藏。假设该数据包通过的互联网不够安全,即使己经通过了用户认证,VPN也不是一定安全的。发送起始通道的用户优先加密,经过加密后方可进行数据传递。在接收通道道,认证用户应当首先将数据包解密,按照密钥类型的差异可以将当前的密码技术进行分类,主要分为两类:对称和非对称加密系统。在用户使用VPN通道时,数据信息的加密会采取对称密码体系,核心数据的加密则一般选用公钥密码。
(4)访问限制。访问限制会阻挡未经授权的访问行为,用户在访问系统资源时,会因权限的不同而得到控制,设定合理的访问限制可以有效防范没有权限的用户通过VPN来得到资源和数据。
三、VPN技术分类
虚拟专用网络(VPN)技术是指临时建立一个特定的安全网络通道或者临时网络连接,来把不同域的网络连接在同一个逻辑网络中。目前VPN一般采用安全隧道、加密解密技术、密钥管理和身份认证等技术来进行网络安全通信。VPN按技术实现可区分为L2TP、MPLS、PPTP、IPSec、SSL等,其中两大主流是分别是基于IPSec和基于SSL协议的VPN技术。
四、两种VPN方案的对比
IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Pointto Site的连接方式。总体来看,相比于IPsec VPN方案,SSLVPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSLVPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。
五、SSL-VPN的关键技术及性能分析
1. SSL VPN的组成
SSL(Security Socket Layer)翻译过来就是安全套接协议层。是通过对数据进行加密处理从而实现VPN安全通信。SSL VPN一般由网关和客户端的浏览器组成。用户通过在浏览器上增加SSL协议加密对VPN网关发送访问请求,网关解密后发到校内服务器,这一过程就形成了一个加密隧道。 2.SSL VPN关键技术
现在SSL协议VPN关键技术包括:数据安全和可伸缩访问控制、authentication(身份认证)、翻译和重写、加解密和隧道技术。
(1)数据安全和精细访问控制
越来越多的用户选择使用SSL VPN来远程接入网络是因为SSL VPN给移动用户提供了良好的数据安全,从数据安全层面来讲,SSL VPN是应用层面的授权,未经授权的用户不能访问开放使用的应用。同时SSL VPN可以精细的分配用户的访问权,一个用户可以根据组织结构框架来获得不同授权,他们可以别分配多个授权。而且远程用户的访问日志也可以通过跟踪引擎得到记录,加强了安全管理。
(2)身份与设备认证技术
SSL VPN能根据需求对认证方式做调整。SSL协议支持客户密码认证、USB验证、数字认证、短信和秘钥等各种方式的认证。它可以和第三方通过重定向有效集成,让部署更加方便。
(3)翻译技术和重写内容
SSL协议的VPN的系统架构里面最重要的一环就是网关。用户的需求被发送到网关来,然后再网关里重写内容转化加密后发送到服务器,利用翻译技术从而获取校内的电子资源和办公系统的数据。
(4)加解密和隧道技术
用户通过IE里面的SSL协议和网关相连,经过网关认证后就形成了一条数据通道。在此过程中为了保证通信内容不泄露就必须对数据进行加密处理。SSL(安全套接协议)就是一种标准IE自带的安全协议,使用的X.509证书和公开秘钥来使得通信更加完整更加机密。
结语
各高校对校园网络的需求与日俱增,在提倡开放和便捷的同时,网络安全问题也随之涌现。当前正处于经济高速发展时期,许多高校拓展招生以及扩大校区面积或建立分校,怎样才能让高校内部享受优质的校园网服务,让数据信息安全的进行传递。VPN技术恰恰可以满足校园网的需求,在节省成本的同时,又可以从根本上完善高校的网络安全体系,所以利用VPN技术来优化校园网络,这将成为校园网络安全体系的发展趋势。
参考文献
[1] 徐迎新.VPN技术在校园网安全体系架构中的应用研究[D].南昌大学,2009.
[2] 奠爱民.主流VPN技术的安全性研究与改进[D].南京理工大学,2009.