1.VPN的概念
1.1 信息技术的发展
计算机网络发展的同时,网络安全问题一直困扰着互联网。互联网用户会共享相同的网络链路,大家的数据都是以明文的形式在线路上传输。攻击者可以窃听网络通信获取信息。他们还可以修改这些信息,引诱用户,将一些敏感信息发送到自己的邮箱。这些问题阻碍了内网应用的使用范围,没有企业愿意让内部的信息在互联网上裸奔。大量的系统被局限在组织的内部网络使用,互联网用户无法访问这些应用。
1.2 VPN的产生
有的组织会在不同的地理区域存在部门。为了使部门间能安全的访问信息,这些组织会使用专用的网络线路进行通讯。由于专用线路的建设或租用,部门间访问网络应用的成本大大增加。这样也只是得到一个更大的局域网,仍然无法被互联网用户访问。在这样的环境下,VPN( Virtual Private Network庐生了。构建互联网,已经建设了大量的物理线路。VPN将发送方的数据加密,通过公共的网络线路传输数据,再将数据在接收方解密。即便攻击者在网络上截获到这些数据,他们也无法正确的知道数据的真实内容。为了防止攻击者修改数据,VPN的发送发会在线路上增加一些数据的验证信息。如果接收方发现无法正确的验证这些信息,他们就知道这些数据并不是发送者要发送的,无论是因为网络原因,还是数据被篡改了。
1.3 VPN的定义
数据通信的双方通过某种方式,共享一个密钥。发送方用该密钥对数据加密,接收方用同样的密钥解密。只有通信的双方才知道明文数据,因此这条网络线路是专用的。而其他用户也可以通过相同的网络线路发送数据,所以这条专用的线路是虚拟的。这种网络技术就是VPN(虚拟专用网)。实际上VPN并没有要求数据要加密,有些VPN的实现就没有加密数据。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
2.当前移动互联网下VPN的应用
2.1 移动互联网下VPN的需求
近些年移动互联网发展迅猛。移动互联网的基础设施建设还在发展过程中。GPRS还拥有大量的用户,3G技术已经大面积使用开来。3G拍照发放了4年时间,用户量不断增大,网络的速度和稳定性不断提高。基于WLAN的移动接入点的覆盖面积也不断增大。移动终端的普及更是势不可挡。芯片的处理速度越来越快,操作系统不断升级。手机或平板电脑上网的用户在迅速增加。甚至,人们使用等移动设备的时间已经超过了PC。
因为环境,出差等原因,有的企业员工需要异地办公。有的公共机构间需要查询和提交一些信息。大家对移动应用的需求越来越多。企业内部会有OA, ERP,CRM,邮件系统等应用陆续发布到移动互联网上。用户可以利用出行,排队,等人的时间来处理紧急公文,收发邮件,安排工作等日常事务。
移动互联网比传统的互联网跟容易获取到信息,对信息安全的要求甚至超过了PC。
2.2 VPN的实现技术
IPSec是普遍使用的VPN协议。通信双方先建立起一条IPSec隧道,隧道将原始IP数据包在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。用户远程访问内网应用的时候,就像置身于局域网中一样。因为IPSec VPN工作在网络层,所以只要能运行在IP协议上的应用都可以通过IPSec VPN访问。
随着web应用越来越广泛,SSLVPN技术开始流行起来。SSLVPN工作在TCP层与应用层之间。通信的双发在发送数据之前,使用ssl协议建立起一条加密隧道。传输层数据包在进入到隧道之前加密,出隧道之后解密。因为浏览器支持ssl协议,因此SSLVPN无需安装客户端软件。
PPTP和L2TP是一种数据链路层的VPN。加包头用于数据在互联PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附网络上的传输。L2TP协议自身不会数据加密。因此要保证数据的安全性L2TP需要依赖上层协议的加密功能。L2TP常常与IPSec协议一起使用,保证数据的私密性。
2.3 各种VPN的使用场景
尽管正式标准尚未推出,丝毫不影响html5在移动移动互联网上的迅猛发展。几乎所有的浏览器都能支持html5,web应用在移动互联网的表现依然强劲。智能手机的比较多,主流的平台是Android,IOS和Windows。如果开发Native应用,就需要针对两台平台分别开发。而web应用只需要开发一次,这些平台都可以使用。大家依然习惯通过web登陆公司的门户,查阅信息,办理事务,收发邮件。
尽管web应用仍然广泛应用,Native应用在移动应用平台上,也不可忽视。Native应用可以获取更丰富的用户体验。相对于web应用,Native应用需要更少的流量。这对于数据传输速度相对较慢的移动互联网上很重要。
SSLVPN要解决Native应用的安全接入问题上,几乎没有好办法。在PC上一般都是windows客户端,SSLVPN通过浏览器自动安装插件的方式安装SSLVPN客户端。windows提供了不同层次的驱动接口,用于拦截数据包。通过NDIS或TDI驱动层,SSLVPN客户端可以拦截所有TCP和UDP数据包。根据VPN服务端下发的策略,客户端决定哪些数据包走ssl隧道,哪些数据包直接放过。但是这个方法在移动客户端的操作系统不能使用。Android和IOS,没有这样的接口。虽然Android可以使用iptables、一类的方法做出一些拙劣但可以工作的解决方案,程序还是会要求:root权限。还有一种方式会好一些,使用OpenVPN。Open VPN是一种使用ssl隧道封装IP数据包的VPN。OpenVPN也是要安装客户端,客户端在操作系统上会安装一个虚拟网卡。用户通过OpenVPN访问内网应用的时候,数据包会发送到虚拟网卡,虚拟网卡与VPN服务器实际上是ssl隧道,数据通过ssl隧道传输。OpenVPN的安装也需要root权限。现在Android上可以在无需:root的情况下使用OpenVPN了。
L2TP/IPSec的方案是手机上能够比较完美的解决这类Native应用的问题。手机上内置了L2TP/IPSec客户端,用户使用起来非常方便。
从实际应用的场景看来,基本上所有企业移动应用的Native应用也没有使用新的协议,仍然是通过http的方式与后台服务器通信。这种场景SSLVPN仍然是最佳的选择。在SSLVPN看来,这个Native应用实际上也是一个web应用。
2.4 认证和访问控制
无论是使用web应用还是Nativ。应用,接入到企业内网的用户只应该访问有权限的应用。
建立隧道之前用户必须通过认证。
IPSec可以使用共享密钥的方式,也可以采用证书的方式。L2TP可以使用PPPoE的用户名口令的方式。除了证书认证方式,其他认证方式都比较脆弱。SSLVPN可以使用多种认证方式。除了常见的用户名口令方式和证书方式,还可以使用短信认证,手机动态口令,硬件动态令牌,指纹等多种认证方式。也很容易将多种认证方式结合使用,还可以引入新的认证方式。静态口令加手机动态口令或者短信的认证方式特别适合移动设备的认证。文件证书的方式在移动设备上同样适合。
用户不能访问未授权的资源。IPSecVPN可以看成内网的延伸,远程的IPSec客户端完全拥有访问内网的访问权限。IPSec VPN也可以根据终端的IP做访问控制。然而,在移动互联网的情况下网络地址映射(NAT)将是IPSec访问控制的难题,有可能所有人的IP都被映射到同一个IP上,导致访问控制失效。SSLVPN工作在四层以上,可以精确的控制到每一个用户的每一次访问。SSLVPN会维护一个访问控制列表,每个服务都用IP地址和端口标识。当用户访问某个应用时,SSLVPN知道哪个用户是访问哪个IP和端口。通过检查访问控制列表,如果当前用户没有访问该应用的权限,SSLVPN可以切断隧道,还可以通知用户非法访问。SSLVPN还能记录用户的每一次访问,便于审计用户行为。
2.5 移动性
移动互联网下,设备会通过多种途径接入到网络,IP地址会随接入方式和地点的变化而变化。SSLVPN访问控制的对象是用户而不是地址,非常适合做移动设备的访问控制。
即使在接入VPN的期间,移动设备也可能从一个接入点进入到另一个接入点。SSLVPN可以在不需修改任何策略的情况下重建隧道,不受网络拓扑、接入点的影响,真正做到随时随地地接入。
3.移动互联网的发展
移动互联网下,SSLVPN将在终端接入起到重要作用。而IPSec VPN继续保护网络之间的信息安全。L2TP/IPSec还会在安全接入补充SSLVPN的不足。
移动互联网还在不断发展。
IPv6将走进互联网,SSLVPN几乎可以再不用修改的情况下,工作在IPv6的网络上。
物联网正在布局阶段,如果物联网技术成熟起来,我们可以组成家庭物联网。有了VPN,我们就不怕把家里的网络暴漏在互联网上了。使用移动终端,通过VPN接入到家庭内部的物联网。于是上班前我们可以准备好晚餐需要的材料。下班的路上我们可以启动设备准备晚餐了。家里的设备出现故障,我们也会收到报警信息。也许不久的将来,每个家庭都会有一个小型的VPN设备,让我们的接入更自由。