认证加密技术在实际中的应用
—虚拟专用网VPN结构简析
依据我在学这门课前的观点,由于网络大致包括网络硬件、网络操作系统和网络应用程
序这几个部分组成,因此网络安全的问题也只要考虑这几个方面不被人破坏和信息不被
人窃取就可以了。经过这个学期对认证和加密知识的学习,和相应的对一些网络安全知
识的了解,发现事实上并没有那么简单,这种分析和归纳是不完整和不全面的。在应用
程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被
考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它
们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。
根据国际著名的网络安全研究公司Hurwitz Group的结论,在考虑网络安全问题的过程中
,有五个方面的问题:网络的安全问题,操作系统的安全问题,用户的安全问题,应用
程序的安全问题,以及数据的安全问题。
● 网络层的安全性(Network Integrity)
网络层的安全性问题即对网络的控制,即对进入网络的用户的地址进行检查和控制。每
一个用户都会通过一个独立的IP地址对网络进行访问,这一IP地址能够大致表明用户的
来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP
的数据是否安全。
防火墙产品和VPN———虚拟专用网就是用于解决网络层安全性问题的。防火墙的主要目
的在于判断来源IP,阻止危险或未经授权的IP的访问和交换数据。 VPN主要解决的是数
据传输的安全问题,其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁
地交换。后面将对VPN作具体的介绍。
●操作系统的安全性(System Integrity)
在系统安全性问题中,主要防止:一、病毒的威胁;二、黑客的破坏和侵入。
●用户的安全性(User Integrity)
对于用户的安全性问题,考虑的是用户的合法性。认证和密码就是用于这个问题的
。
通常根据不同的安全等级对用户进行分组管理。不同等级的用户只能访问与其等级相对
应的系统资源和数据。然后采用强有力的身份认证,并确保密码难以被他人猜测到。
●应用程序的安全性(Application Integrity)
即只有合法的用户才能够对特定的数据进行合法的操作。包括应用程序对数据的合
法权限和应用程序对用户的合法权限。
●数据的安全性(Application Confidentiality)
既用加密的方法保护机密数据。在数据的保存过程中,机密的数据即使处于安全的
空间,也要对其进行加密处理,以保证万一数据失窃,他人也读不懂其中的内容。这是
一种比较被动的安全手段,但往往能够收到最好的效果。
上述的五层安全体系并非孤立分散,它们是互相影响,互有关连的。尤其是本课程所学
习的加密和认证技术,在各个层次都有所应用,是网络安全的基础之一。下面就应用了
许多这些技术的网络层的安全技术VNP—虚拟专用网络做具体的讨论。
虚拟专用网络 --- VPN
以前,要想实现两个远地网络的互联,主要是采用专线连接方式。这种方式虽然安全性
高,也有一定的效率,成本太高。随着Internet的兴起,产生了利用Internet网络模拟
安全性较好的局域网的技术—虚拟专用网技术。这种技术具有成本低的优势,还克服了
Internet 不安全的弱点。其实,简单来说就是在数据传送过程中加上了加密和认证的网
络安全技术。
在VPN网络中,位于Internet两端的网络在Internet上传输信息时,其信息都是经过RSA
非对称加密算法的Private/Public Key加密处理的,它的密钥(Key)则是通过Diffie-
Hellman算法计算得出。如,假设A、B在Internet网络的两端,在A端得到一个随机数
,由VPN通过Diffie-Hellman算法算出一组密钥值,将这组密钥值存储在硬盘上,并发送
[1] [2] [3]
随机数到B端,B端收到后,向A端确认,如果验证无误则在B端再由此产生一组密钥值,
并将这组值送回A端,注册到Novell的目录服务中。这样,双方在传递信息时便会依据约
定的密钥随机数产生的密钥来加密数据。
确切来说,虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络
作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络
相类似的安全性能,从而实现对重要信息的安全传输。
根据技术应用环境的特点,VPN大致包括三种典型的应用环境,即Intranet VPN, Remo
te Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子
网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的
保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中
Extranet VPN应用的功能最完善,而其他两种均可在它的基础上生成,这里主要是针对
Extranet VPN来谈。
VPN技术的优点主要有:
(1) 信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术安全的端到端
的连接服务,确保信息资源的安全。
(2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Pri
vate Network),实现异地业务人员的远程接入。
(3) 方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来
统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面
的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。
(4) 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络,从而
节省了大量的投资成本及后续的运营维护成本。
实现VPN的关键技术有:
(1) 安全隧道技术(Secure Tunneling Technology)。通过将待传输的原始信息经过
加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样
进行传输.经过这样的处理,只有源端和目标端的用户对隧道中的嵌套信息能进行解释和
处理,而对于其他用户而言只是无意义的信息。
(2) 用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需
要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。
(3) 访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息
资源的提供者共同协商确定特定用户对特定资源的访问权限,以此实现基于用户的访问
控制,以实现对信息资源的最大限度的保护。
VPN系统的结构如下:
VPN用户代理(User Agent, UA)向安全隧道代理(Secure Tunnel Agent, STA)请求建立安
全隧道,安全隧道代理接受后,在VPN管理中心(Management Center,MC)的控制和管理下
在公用互联网络上建立安全隧道,然后进行用户端信息的透明传输。用户认证管理中心
和VPN密钥分配中心向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管
理,VPN用户代理又包括安全隧道终端功能(Secure Tunnel Function,STF)、用户认证功
能(User Authentication Function,UAF)和访问控制功能(Access Control Function,A
CF)三个部分,它们共同向用户高层应用提供完整的VPN服务.
安全隧道代理(Secure Tunnel Agent, STA)和VPN管理中心(Management Center,MC)组成
了VPN安全传输平面(Secure Transmission Plane,STP),实现在公用互联网络基础上实
现信息的安全传输和系统的管理功能。
公共功能平面(Common Function Plane,CFP)是安全传输平面的辅助平面,由用户认证管
理中心(User Authentication & Administration Center,UAAC)和VPN密钥分配中心(Ke
y Distribution Center,KDC)组成。其主要功能是向VPN用户代理提供相对独立的用户身
份认证与管理及密钥的分配管理。
用户认证管理中心(UAAC)与VPN用户代理直接联系,向安全隧道代理提供VPN用户代理
的身份认证,必要时也可以同时与安全隧道代理(STA)联系,向VPN用户代理和安全隧
道代理提供双向的身份认证。
下面分别对安全传输平面STP和公共功能平面CFP作详细的讨论:
1. 安全传输平面(STP)
1. 1 安全隧道代理(STA)
安全隧道代理在管理中心组织下将多段点到点的安全通路连接成端到端的安全隧道,是
VPN的主体,它主要的作用是:
(1) 安全隧道的建立与释放(Secure Tunnel Connection & Release)。按照用户代
[1] [2] [3]
理(UA)的的请求,在UA与STA之间建立点到点的安全通道(Secure Channel),然后在此
安全通道中进行用户身份验证和服务等级协商的必要交互,然后在管理中心(MC)的控
制下建立发送端到目的端之间由若干点到点的安全通道依次连接组成的端到端的安全隧
道。将初始化过程置于安全通道中进行,可以保护用户身份验证等重要信息的安全。在
信息传输结束之后,由通信双方的任一方代理提出释放隧道连接请求.
(2) 用户身份的验证(User Authentication)。在安全隧道建立的初始化过程中,S
TA要求UA提交用户认证中心提供的证书,通过证书验证以确认用户代理身份。必要时还
可进行UA对STA的反向认证以进一步提高系统的安全性。
(3) 服务等级的协商(Service Level Negotiation)。用户身份验证通过之后,安全
隧道代理与VPN用户代理进行服务等级的协商,根据其要求与VPN系统的资源现状确定可
能提供的服务等级并报告至VPN管理中心。
(4) 信息的透明传输(Transparent Information Transmission)。安全隧道建立之
后,安全隧道代理负责通信双方之间信息的透明传输,并根据商定的服务参数进行相应
的控制.
(5) 远程拨号接入(Remote & Dial Access)。为了实现异地接入功能,STA还需要与
远程、拨号用户的用户代理进行必要的接口适配工作,进行协议的转换等处理。这是远
程接入VPN所特有的功能。
(6) 安全隧道的控制与管理(Secure Tunnel Control & Management)。在安全隧道连接
维持期间,安全隧道代理还要按照管理中心(MC)发出的VPN网络性能及服务等级有关的
管理命令并对已经建立的安全隧道进行管理。
1.2 VPN管理中心(MC)
VPN管理中心只与安全隧道代理(STA)直接联系,负责协调安全传输平面上的各STA之间
的工作,是整个VPN的核心部分。其主要功能包括:
(1) 安全隧道的管理与控制。 确定最佳路由,并向该路由上包含的所有STA发出命令,
建立连接。隧道建立以后,VPN管理中心继续监视各隧道连接的工作状态,对出错的安全
通道,VPN管理中心负责重新选择路由并将该连接更换到替代路由。在信息传输过程中用
户要求改变服务等级或者为了对整个网络性能优化的需要对已建立的隧道服务等级进行
变更时,VPN管理中心向相应隧道连接上的STA发出更改服务等级命令。
(2) 网络性能的监视与管理(VPN Performance Supervision & Administration)。VPN管
理中心不断监视各STA的工作状态,收集各种VPN性能参数,并根据收集到的信息对VPN网
络进行故障排除、性能优化的工作。同时,VPN管理中心还负责完成对各种VPN网络事件
进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能.
2. 公共功能平面(CFP)
公共功能平面(Common Function Plane,CFP)作为安全传输平面的辅助平面,向VPN用户
代理提供相对独立的用户身份认证与管理及密钥的分配管理,分别由用户认证管理中心
( UAAC)和VPN密钥分配中心( KDC)完成。
2.1 认证管理中心(UAAC)
这里的功能是提供用户认证和用户管理。
用户认证(User Authentication)。就是以第三者的客观身份向VPN用户代理和安全隧道
代理(STA)之中的一方或双方提供用户身份的认证,以便服务使用者和服务提供者之间
能够确认对方的身份.
用户管理(User Administration)。这是与用户身份认证功能直接相联系的用户管
理部分,即对各用户(包括VPN用户代理、安全隧道代理(STA)及认证管理中心(UAAC)
)的信用程度和认证情况进行日志记录,并可在VPN管理层向建立安全隧道双方进行服务
等级的协商时参考。这里的管理是面向服务的(Service-Oriented),有关用户权限与访
问控制等方面的用户管理功能则不在这里实现
2.2 密钥分配中心(KDC)
VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管
理. 在VPN系统里,VPN用户代理(UA)、安全隧道代理(STA)、认证管理中心(UAAC)) 都是
密钥分配中心的用户。
以上就是虚拟专用网络的一般体系结构模型。
(出处:http://www.sheup.com)
[1] [2] [3]
( UAAC)和VPN密钥分配中心( KDC)完成。
2.1 认证管理中心(UAAC)
这里的功能是提供用户认证和用户管理。
用户认证(User Authentication)。就是以第三者的客观身份向VPN用户代理和安全隧道
代理(STA)之中的一方或双方提供用户身份的认证,以便服务使用者和服务提供者之间
能够确认对方的身份.
用户管理(User Administration)。这是与用户身份认证功能直接相联系的用户管
理部分,即对各用户(包括VPN用户代理、安全隧道代理(STA)及认证管理中心(UAAC)
)的信用程度和认证情况进行日志记录,并可在VPN管理层向建立安全隧道双方进行服务
等级的协商时参考。这里的管理是面向服务的(Service-Oriented),有关用户权限与访
问控制等方面的用户管理功能则不在这里实现
2.2 密钥分配中心(KDC)
VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管
理. 在VPN系统里,VPN用户代理(UA)、安全隧道代理(STA)、认证管理中心(UAAC)) 都是
密钥分配中心的用户。
以上就是虚拟专用网络的一般体系结构模型。
(出处:http://www.sheup.com)
[1] [2] [3] [4]
2.2 密钥分配中心(KDC)
VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管
理. 在VPN系统里,VPN用户代理(UA)、安全隧道代理(STA)、认证管理中心(UAAC)) 都是
密钥分配中心的用户。
以上就是虚拟专用网络的一般体系结构模型。
(出处:http://www.sheup.com)
[1] [2] [3] [4] [5]