1.VPN的概念

    1.1 信息技術(shù)的發(fā)展

    計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問題一直困擾著互聯(lián)網(wǎng)。互聯(lián)網(wǎng)用戶會(huì)共享相同的網(wǎng)絡(luò)鏈路，大家的數(shù)據(jù)都是以明文的形式在線路上傳輸。攻擊者可以竊聽網(wǎng)絡(luò)通信獲取信息。他們還可以修改這些信息，引誘用戶，將一些敏感信息發(fā)送到自己的郵箱。這些問題阻礙了內(nèi)網(wǎng)應(yīng)用的使用范圍，沒有企業(yè)愿意讓內(nèi)部的信息在互聯(lián)網(wǎng)上裸奔。大量的系統(tǒng)被局限在組織的內(nèi)部網(wǎng)絡(luò)使用，互聯(lián)網(wǎng)用戶無法訪問這些應(yīng)用。

    1.2 VPN的產(chǎn)生

    有的組織會(huì)在不同的地理區(qū)域存在部門。為了使部門間能安全的訪問信息，這些組織會(huì)使用專用的網(wǎng)絡(luò)線路進(jìn)行通訊。由于專用線路的建設(shè)或租用，部門間訪問網(wǎng)絡(luò)應(yīng)用的成本大大增加。這樣也只是得到一個(gè)更大的局域網(wǎng)，仍然無法被互聯(lián)網(wǎng)用戶訪問。在這樣的環(huán)境下，VPN( Virtual Private Network廬生了。構(gòu)建互聯(lián)網(wǎng)，已經(jīng)建設(shè)了大量的物理線路。VPN將發(fā)送方的數(shù)據(jù)加密，通過公共的網(wǎng)絡(luò)線路傳輸數(shù)據(jù)，再將數(shù)據(jù)在接收方解密。即便攻擊者在網(wǎng)絡(luò)上截獲到這些數(shù)據(jù)，他們也無法正確的知道數(shù)據(jù)的真實(shí)內(nèi)容。為了防止攻擊者修改數(shù)據(jù)，VPN的發(fā)送發(fā)會(huì)在線路上增加一些數(shù)據(jù)的驗(yàn)證信息。如果接收方發(fā)現(xiàn)無法正確的驗(yàn)證這些信息，他們就知道這些數(shù)據(jù)并不是發(fā)送者要發(fā)送的，無論是因?yàn)榫W(wǎng)絡(luò)原因，還是數(shù)據(jù)被篡改了。

    1.3 VPN的定義

    數(shù)據(jù)通信的雙方通過某種方式，共享一個(gè)密鑰。發(fā)送方用該密鑰對(duì)數(shù)據(jù)加密，接收方用同樣的密鑰解密。只有通信的雙方才知道明文數(shù)據(jù)，因此這條網(wǎng)絡(luò)線路是專用的。而其他用戶也可以通過相同的網(wǎng)絡(luò)線路發(fā)送數(shù)據(jù)，所以這條專用的線路是虛擬的。這種網(wǎng)絡(luò)技術(shù)就是VPN(虛擬專用網(wǎng))。實(shí)際上VPN并沒有要求數(shù)據(jù)要加密，有些VPN的實(shí)現(xiàn)就沒有加密數(shù)據(jù)。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。

   2.當(dāng)前移動(dòng)互聯(lián)網(wǎng)下VPN的應(yīng)用

    2.1 移動(dòng)互聯(lián)網(wǎng)下VPN的需求

    近些年移動(dòng)互聯(lián)網(wǎng)發(fā)展迅猛。移動(dòng)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施建設(shè)還在發(fā)展過程中。GPRS還擁有大量的用戶，3G技術(shù)已經(jīng)大面積使用開來。3G拍照發(fā)放了4年時(shí)間，用戶量不斷增大，網(wǎng)絡(luò)的速度和穩(wěn)定性不斷提高�；�于WLAN的移動(dòng)接入點(diǎn)的覆蓋面積也不斷增大。移動(dòng)終端的普及更是勢(shì)不可擋。芯片的處理速度越來越快，操作系統(tǒng)不斷升級(jí)。手機(jī)或平板電腦上網(wǎng)的用戶在迅速增加。甚至，人們使用等移動(dòng)設(shè)備的時(shí)間已經(jīng)超過了PC。

    因?yàn)榄h(huán)境，出差等原因，有的企業(yè)員工需要異地辦公。有的公共機(jī)構(gòu)間需要查詢和提交一些信息。大家對(duì)移動(dòng)應(yīng)用的需求越來越多。企業(yè)內(nèi)部會(huì)有OA,  ERP,CRM，郵件系統(tǒng)等應(yīng)用陸續(xù)發(fā)布到移動(dòng)互聯(lián)網(wǎng)上。用戶可以利用出行，排隊(duì)，等人的時(shí)間來處理緊急公文，收發(fā)郵件，安排工作等日常事務(wù)。

    移動(dòng)互聯(lián)網(wǎng)比傳統(tǒng)的互聯(lián)網(wǎng)跟容易獲取到信息，對(duì)信息安全的要求甚至超過了PC。

    2.2 VPN的實(shí)現(xiàn)技術(shù)

    IPSec是普遍使用的VPN協(xié)議。通信雙方先建立起一條IPSec隧道，隧道將原始IP數(shù)據(jù)包在新的數(shù)據(jù)包內(nèi)部。該新的數(shù)據(jù)包可能會(huì)有新的尋址與路由信息，從而使其能夠通過網(wǎng)絡(luò)傳輸。用戶遠(yuǎn)程訪問內(nèi)網(wǎng)應(yīng)用的時(shí)候，就像置身于局域網(wǎng)中一樣。因?yàn)镮PSec VPN工作在網(wǎng)絡(luò)層，所以只要能運(yùn)行在IP協(xié)議上的應(yīng)用都可以通過IPSec VPN訪問。

    隨著web應(yīng)用越來越廣泛，SSLVPN技術(shù)開始流行起來。SSLVPN工作在TCP層與應(yīng)用層之間。通信的雙發(fā)在發(fā)送數(shù)據(jù)之前，使用ssl協(xié)議建立起一條加密隧道。傳輸層數(shù)據(jù)包在進(jìn)入到隧道之前加密，出隧道之后解密。因?yàn)闉g覽器支持ssl協(xié)議，因此SSLVPN無需安裝客戶端軟件。

    PPTP和L2TP是一種數(shù)據(jù)鏈路層的VPN。加包頭用于數(shù)據(jù)在互聯(lián)PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附網(wǎng)絡(luò)上的傳輸。L2TP協(xié)議自身不會(huì)數(shù)據(jù)加密。因此要保證數(shù)據(jù)的安全性L2TP需要依賴上層協(xié)議的加密功能。L2TP常常與IPSec協(xié)議一起使用，保證數(shù)據(jù)的私密性。

    2.3 各種VPN的使用場(chǎng)景

    盡管正式標(biāo)準(zhǔn)尚未推出，絲毫不影響html5在移動(dòng)移動(dòng)互聯(lián)網(wǎng)上的迅猛發(fā)展。幾乎所有的瀏覽器都能支持html5，web應(yīng)用在移動(dòng)互聯(lián)網(wǎng)的表現(xiàn)依然強(qiáng)勁。智能手機(jī)的比較多，主流的平臺(tái)是Android，IOS和Windows。如果開發(fā)Native應(yīng)用，就需要針對(duì)兩臺(tái)平臺(tái)分別開發(fā)。而web應(yīng)用只需要開發(fā)一次，這些平臺(tái)都可以使用。大家依然習(xí)慣通過web登陸公司的門戶，查閱信息，辦理事務(wù)，收發(fā)郵件。

    盡管web應(yīng)用仍然廣泛應(yīng)用，Native應(yīng)用在移動(dòng)應(yīng)用平臺(tái)上，也不可忽視。Native應(yīng)用可以獲取更豐富的用戶體驗(yàn)。相對(duì)于web應(yīng)用，Native應(yīng)用需要更少的流量。這對(duì)于數(shù)據(jù)傳輸速度相對(duì)較慢的移動(dòng)互聯(lián)網(wǎng)上很重要。

    SSLVPN要解決Native應(yīng)用的安全接入問題上，幾乎沒有好辦法。在PC上一般都是windows客戶端，SSLVPN通過瀏覽器自動(dòng)安裝插件的方式安裝SSLVPN客戶端。windows提供了不同層次的驅(qū)動(dòng)接口，用于攔截?cái)?shù)據(jù)包。通過NDIS或TDI驅(qū)動(dòng)層，SSLVPN客戶端可以攔截所有TCP和UDP數(shù)據(jù)包。根據(jù)VPN服務(wù)端下發(fā)的策略，客戶端決定哪些數(shù)據(jù)包走ssl隧道，哪些數(shù)據(jù)包直接放過。但是這個(gè)方法在移動(dòng)客戶端的操作系統(tǒng)不能使用。Android和IOS，沒有這樣的接口。雖然Android可以使用iptables、一類的方法做出一些拙劣但可以工作的解決方案，程序還是會(huì)要求:root權(quán)限。還有一種方式會(huì)好一些，使用OpenVPN。Open VPN是一種使用ssl隧道封裝IP數(shù)據(jù)包的VPN。OpenVPN也是要安裝客戶端，客戶端在操作系統(tǒng)上會(huì)安裝一個(gè)虛擬網(wǎng)卡。用戶通過OpenVPN訪問內(nèi)網(wǎng)應(yīng)用的時(shí)候，數(shù)據(jù)包會(huì)發(fā)送到虛擬網(wǎng)卡，虛擬網(wǎng)卡與VPN服務(wù)器實(shí)際上是ssl隧道，數(shù)據(jù)通過ssl隧道傳輸。OpenVPN的安裝也需要root權(quán)限。現(xiàn)在Android上可以在無需：root的情況下使用OpenVPN了。

    L2TP/IPSec的方案是手機(jī)上能夠比較完美的解決這類Native應(yīng)用的問題。手機(jī)上內(nèi)置了L2TP/IPSec客戶端，用戶使用起來非常方便。

    從實(shí)際應(yīng)用的場(chǎng)景看來，基本上所有企業(yè)移動(dòng)應(yīng)用的Native應(yīng)用也沒有使用新的協(xié)議，仍然是通過http的方式與后臺(tái)服務(wù)器通信。這種場(chǎng)景SSLVPN仍然是最佳的選擇。在SSLVPN看來，這個(gè)Native應(yīng)用實(shí)際上也是一個(gè)web應(yīng)用。

    2.4 認(rèn)證和訪問控制

    無論是使用web應(yīng)用還是Nativ。應(yīng)用，接入到企業(yè)內(nèi)網(wǎng)的用戶只應(yīng)該訪問有權(quán)限的應(yīng)用。

    建立隧道之前用戶必須通過認(rèn)證。

    IPSec可以使用共享密鑰的方式，也可以采用證書的方式。L2TP可以使用PPPoE的用戶名口令的方式。除了證書認(rèn)證方式，其他認(rèn)證方式都比較脆弱。SSLVPN可以使用多種認(rèn)證方式。除了常見的用戶名口令方式和證書方式，還可以使用短信認(rèn)證，手機(jī)動(dòng)態(tài)口令，硬件動(dòng)態(tài)令牌，指紋等多種認(rèn)證方式。也很容易將多種認(rèn)證方式結(jié)合使用，還可以引入新的認(rèn)證方式。靜態(tài)口令加手機(jī)動(dòng)態(tài)口令或者短信的認(rèn)證方式特別適合移動(dòng)設(shè)備的認(rèn)證。文件證書的方式在移動(dòng)設(shè)備上同樣適合。

    用戶不能訪問未授權(quán)的資源。IPSecVPN可以看成內(nèi)網(wǎng)的延伸，遠(yuǎn)程的IPSec客戶端完全擁有訪問內(nèi)網(wǎng)的訪問權(quán)限。IPSec VPN也可以根據(jù)終端的IP做訪問控制。然而，在移動(dòng)互聯(lián)網(wǎng)的情況下網(wǎng)絡(luò)地址映射（NAT）將是IPSec訪問控制的難題，有可能所有人的IP都被映射到同一個(gè)IP上，導(dǎo)致訪問控制失效。SSLVPN工作在四層以上，可以精確的控制到每一個(gè)用戶的每一次訪問。SSLVPN會(huì)維護(hù)一個(gè)訪問控制列表，每個(gè)服務(wù)都用IP地址和端口標(biāo)識(shí)。當(dāng)用戶訪問某個(gè)應(yīng)用時(shí)，SSLVPN知道哪個(gè)用戶是訪問哪個(gè)IP和端口。通過檢查訪問控制列表，如果當(dāng)前用戶沒有訪問該應(yīng)用的權(quán)限，SSLVPN可以切斷隧道，還可以通知用戶非法訪問。SSLVPN還能記錄用戶的每一次訪問，便于審計(jì)用戶行為。

    2.5 移動(dòng)性

    移動(dòng)互聯(lián)網(wǎng)下，設(shè)備會(huì)通過多種途徑接入到網(wǎng)絡(luò)，IP地址會(huì)隨接入方式和地點(diǎn)的變化而變化。SSLVPN訪問控制的對(duì)象是用戶而不是地址，非常適合做移動(dòng)設(shè)備的訪問控制。

    即使在接入VPN的期間，移動(dòng)設(shè)備也可能從一個(gè)接入點(diǎn)進(jìn)入到另一個(gè)接入點(diǎn)。SSLVPN可以在不需修改任何策略的情況下重建隧道，不受網(wǎng)絡(luò)拓?fù)�、接入點(diǎn)的影響，真正做到隨時(shí)隨地地接入。

   3.移動(dòng)互聯(lián)網(wǎng)的發(fā)展

    移動(dòng)互聯(lián)網(wǎng)下，SSLVPN將在終端接入起到重要作用。而IPSec VPN繼續(xù)保護(hù)網(wǎng)絡(luò)之間的信息安全。L2TP/IPSec還會(huì)在安全接入補(bǔ)充SSLVPN的不足。

    移動(dòng)互聯(lián)網(wǎng)還在不斷發(fā)展。

    IPv6將走進(jìn)互聯(lián)網(wǎng)，SSLVPN幾乎可以再不用修改的情況下，工作在IPv6的網(wǎng)絡(luò)上。

    物聯(lián)網(wǎng)正在布局階段，如果物聯(lián)網(wǎng)技術(shù)成熟起來，我們可以組成家庭物聯(lián)網(wǎng)。有了VPN，我們就不怕把家里的網(wǎng)絡(luò)暴漏在互聯(lián)網(wǎng)上了。使用移動(dòng)終端，通過VPN接入到家庭內(nèi)部的物聯(lián)網(wǎng)。于是上班前我們可以準(zhǔn)備好晚餐需要的材料。下班的路上我們可以啟動(dòng)設(shè)備準(zhǔn)備晚餐了。家里的設(shè)備出現(xiàn)故障，我們也會(huì)收到報(bào)警信息。也許不久的將來，每個(gè)家庭都會(huì)有一個(gè)小型的VPN設(shè)備，讓我們的接入更自由。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：VPN技術(shù)在移動(dòng)互聯(lián)網(wǎng)的應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839411122.html