企業信息化與遠程接入

榮東明 周 全 何 遠

[摘要]隨著企業信息化的發展,移動辦公對遠程接入提出了新的挑戰。從遠程接入的發展,VPN原理和特點等幾個方面進行論述,并對遠程接入在實際應用中的注意事項做說明。

[關鍵詞]移動辦公遠程接入無線VPN

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110079-01

隨著企業信息化發展和3G時代的到來,人員的流動性加大,傳統的辦公方式已經滿足不了新的的需求,移動辦公,soho辦公(Small Office Home Officer)逐漸將成為新的的辦公方式。相比傳統的辦公方式,移動辦公和soho辦公帶來了更靈活的工作時間以及辦公地點。因此遠程登錄,遠程訪問開始成為現代工作生活的一種必要的需求。

一、遠程接入的發展

普通電話撥號技術是歷史最久的遠程接入技術?；痉绞绞莾蓚€計算機之間分別安裝一種稱為調制解調器(Modem)的網絡連接設備,然后通過電話撥號的形式建立計算機間遠程接入。

普通電話的網絡連接速度并不能滿足企業網絡帶寬的要求,市場的發展需要一種能夠承載多媒體業務的網絡。于是,就出現了綜合業務數字網ISDN(Integrated Service Digital Network)。

ADSL技術的發展使寬帶進入了千家萬戶,互聯網得到很快的發展,帶寬從撥號時代幾K發展到現在的幾M,對光纖接入的用戶都達到了100M級。通過互聯網的資源,連接企業的內部網絡便成了人們的理想,于是VPN(Vi

rtual Private Network)虛擬專用網絡便誕生了。

基于有線資源的接入技術受到線路資源的限制,VPN用戶只能在接入點使用。3G時代的到來,給遠程接入帶來了新的發展。通過3G終端使用VPN接入到企業的內部網絡,用戶的接入時間與接入空間得到有效的擴展,移動VPN將會成為未來一段時間遠程接入的新趨勢。

普適計算(Pervasive Computing)也稱無處不在計算(Ubiquitous Computing),它集移動通信技術、計算技術、小型計算設備制造技術、小型計算設備上的操作系統及軟件技術等多種關鍵技術于一體,通過將普適計算設備嵌入到人們生活的各種環境中,使通信服務以及其它基于信息網絡的各種“以人為中心”的計算和信息訪問服務在任何時候、任何地點都成為可能,它將會把遠程接入推向新的時代。

二、VPN及無線VPN的原理

電話撥號大家比較熟悉,普適計算還在發展過程中,VPN近年來得到業界廣泛的應用,移動VPN逐漸成為新的趨勢。因此我們主要來談談VPN與移動VPN的原理。

(一)VPN原理

虛擬專用網VPN(Virtual Private Network)指的是依靠ISP(Inter

Net服務提供商)和其他NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接,能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。

本質上VPN是使用一種類似于節點間,通過建立點到點關系的連接的方式來進行加密通信。按照標準的OSI(Open System Interconnection,開放式系統互聯參考模型)分層協議來運作,加密數據包通過添加IP包頭逐層向下傳輸一直到實際物理鏈路,然后根據IP頭中的目的地址發送給目的端主機,VPN網關收到包以后,解密數據包并逐層向上,直到剩下的是原來的數據包為止。整個過程對于后臺的應用程序來說是完全透明的。

VPN的安全加密算法主要有L2TP、IPSEC、SSL等,各有優缺點,適用于不同的應用環境。L2TP本質上是一種隧道傳輸協議,它使用兩種類型的消息:控制消息和數據隧道消息?？刂葡⒇撠焺摻?、維護及終止L2TP隧道,而數據隧道消息則負責用戶數據的真正傳輸。L2TP支持標準的安全特性CHAP和PAP,可以進行用戶身份認證。在安全性考慮上,L2TP僅定義了控制消息的加密傳輸方式,對傳輸中的數據并不加密。IPSec VPN簡單來說就是采用IPSec協議來實現遠程登錄的一種VPN技術,IPSec是IETF(Internet Engineer Task Force)制定的安全標準,IPSec協議是一個范圍廣泛、開放的虛擬專用網安全協議,它提供所有在網絡層上的數據保護,提供透明的安全通信。IPSec是基于網絡層的,不能穿越通常的NAT、防火墻。SSL VPN簡單來說就是采用SSL協議來實現遠程登錄的一種新型VPN技術。SSL(S

ecurity Socket Layer)協議是網景公司提出的基于WEB應用的安全協議,它包括:服務器認證、客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性,SSL是基于傳輸層的。SSL協議被內置于IE等瀏覽器中,使用SSL協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端,簡化了客戶端的操作。所以通常情況SSL VPN使用的較多。

(二)移動VPN原理

VPN應用于無線領域便成了移動VPN,通過無線路由器等接入的其實質還是固定網絡的VPN,移動VPN主要指通過GPRS,WCDMA等遠程接入方式,其與普通VPN原理一樣。但由于無線網絡的安全性較低,所以在安全性方面需要加入新的內容。移動VPN對移動終端的要求取決于移動VPN所采用的技術和實現方式。根據VPN中隧道的發起位置來劃分,VPN可以分為兩種:網絡發起的VPN和終端發起的VPN。

網絡發起的VPN是指VPN隧道的發起點是網絡設備,在移動網絡中,指由GGSN發起VPN隧道至企業網關。它可以是GRE、MPLS、IPSec、L2TP等技術之一,或是這些技術的組合。網絡發起的VPN一般對終端無特殊要求。

終端發起的VPN是指隧道的起點是終端,由終端主動發起一條隧道至企業網關。終端發起的VPN一般采用IPSec或L2TP技術,這要求終端支持IPSec協議或L2TP協議。目前大多數終端均不支持IPSec協議和L2TP協議,如要實現這種VPN方式,可通過數據卡方式實現。同時,在這種情況下,VPN和移動運營商沒有直接關系,移動網絡只對VPN起承載作用。這種VPN常用于保障端到端的數據安全的業務場景。

移動VPN在無線接入子網可以設置自主認證體系,以便對經過HLR認證的客戶在撥號聯接時進行機號、用戶名、撥號口令的核查并進行日志記錄,杜絕非法用戶的進入。合法的用戶在使用前必須采用登錄訪問方式,以確保即使發生未發覺的遺失,由于撿拾者無法知道登錄信息,所以也無法使用系統。

三、VPN具有以下主要特點

安全保障:由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。

服務質量保證(QoS):VPN網為企業數據提供不同等級的服務質量保證,如對移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。

可擴充性和靈活性:VPN能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。可管理性:VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至客戶和合作伙伴,要求減小網絡風險,具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理以及QoS管理等內容。

四、遠程接入時應注意的措施

1.使用VPN業務的終端應強制采取一些安全政策和設置,以便進一步提高VPN連接的安全性。

2.一開始VPN連接,就通過非常嚴格的政策來關閉并行網絡連接。避免屏幕錄制等木馬竊取用戶信息而對VPN造成威脅。

3.拒絕用戶在上網期間把數據保存到本地,迫使他們把數據保存到網絡上。即使筆記本電腦被偷或手持終端丟失也不成問題,因為上面根本沒有什么信息。

五、結語

通過虛擬專用網VPN可以幫助遠程用戶、分公司、合作伙伴及經銷商等建立內部的可信安全連接,保證數據的安全傳輸,這樣既可以得到最新的信息,擴大信息量,又能保證溝通的及時性。

移動數據業務是3G網絡有別于2G的重要業務。移動數據VPN則是針對企業用戶提供良好應用的非常重要的業務基礎?；谝苿訑祿PN,可為企業用戶提供安全、便捷的企業資源訪問、Web/WAP信息發布、E-mail服務、行業特色服務等。所以通信企業在搞好自身移動辦公的同時,如何在企業信息化浪潮中推廣好移動VPN業務是3G時代通信企業要考慮好的問題。

參考文獻:

[1]安全VPN保護無線游民,http://www2.ccw.com.cn/weekly/tech/htm

2009/20090215_588386.shtml.

[2]虛擬專用網VPN,http://safe.zol.com.cn/119/1195850.html.

[3]移動數據VPN技術及業務研究,http://www.eefocus.com/article/07-02/061002306979.html.

[4]IP VPN技術特點與安全機制,http://www.gz183.com.cn/Info/99/info

12125_1.htm.

作者簡介:

榮東明(1970-),通信工程師,研究方向:網絡安全;周全(1971-),通信工程師,研究方向:網絡安全;何遠(1977-),在讀碩士研究生,研究方向:網絡安全。