知识产权与互联网/虚拟专用网络
虚拟专用网络 (VPN) 是一种网络,主要使用公共电信基础设施(如互联网)来为远程办公室或出差用户提供访问中央组织网络的途径。
VPN 通常要求网络的远程用户进行身份验证,并且经常使用加密技术来保护数据,以防止未经授权的方访问私人信息。
VPN 可以提供任何网络上找到的任何网络功能,例如数据共享和访问网络资源、打印机、数据库、网站等。VPN 用户通常以与直接连接到中央网络相同的方式体验中央网络。通过公共互联网的 VPN 技术取代了曾经在广域网安装中常见的昂贵的专用租用线路电信线路的需要。
虚拟专用网络技术降低了成本,因为它不需要物理的租用线路 来连接远程用户到内联网。 [1]
VPN 系统可以按以下方式分类
以下部分讨论了一些分类方案。
安全的 VPN 使用加密的隧道协议来提供机密性,通过阻止拦截和数据包嗅探,允许发送方身份验证来阻止身份欺骗,并提供消息完整性,通过防止消息被篡改。
安全的 VPN 协议包括以下内容
- IPsec(互联网协议安全)由互联网工程任务组 (IETF) 开发,最初是为IPv6开发的,后者需要它。这个基于标准的安全协议也广泛用于IPv4。 第二层隧道协议 通常在 IPsec 之上运行。它的设计满足了大多数安全目标:身份验证、完整性和机密性。IPsec 通过将 IP 数据包与周围的数据包一起进行摘要,并对结果进行加密来实现。
- 传输层安全(SSL/TLS)可以隧道整个网络的流量,就像它在OpenVPN 项目中所做的那样,或者保护单个连接。许多供应商通过 SSL 提供远程访问 VPN 功能。SSL VPN 可以从 IPsec 遇到网络地址转换和防火墙规则问题的场所连接。
- 数据报传输层安全(DTLS)用于思科的下一代 VPN 产品思科 AnyConnect VPN,以解决SSL/TLS 在通过 UDP 进行隧道传输时遇到的问题。
- Microsoft 点对点加密(MPPE)与他们的点对点隧道协议一起使用,并在其他平台上的几个兼容实现中使用。
- Microsoft 在Windows Server 2008 和Windows Vista Service Pack 1 中引入了安全套接字隧道协议(SSTP)。SSTP 通过SSL 3.0 通道隧道点对点协议 (PPP) 或第二层隧道协议 流量。
- MPVPN(多路径虚拟专用网络)。Ragula Systems Development Company 拥有注册的商标 “MPVPN”。[2]
- 安全外壳 (SSH) VPN -- OpenSSH 提供 VPN 隧道,以保护与网络或网络间链接的远程连接。这与端口转发不应混淆。OpenSSH 服务器提供有限数量的并发隧道,VPN 功能本身不支持个人身份验证。 [3][4][5]
在建立安全的 VPN 隧道之前,隧道端点必须进行身份验证。
用户创建的远程访问 VPN 可能会使用密码、生物识别、双因素身份验证或其他加密方法。
网络到网络隧道通常使用密码或数字证书,因为它们永久保存密钥,以允许隧道自动建立,无需用户干预。
隧道协议 可用于 点对点 拓扑,理论上不应被视为 VPN,因为 VPN 的定义需要支持任意和不断变化的网络节点集。但由于大多数 路由器 实现支持软件定义的隧道接口,客户提供的 VPN 通常只是运行传统路由协议的定义隧道。
根据 PPVPN(提供商提供的 VPN)是在第 2 层还是第 3 层运行,下面描述的构建块可能是仅限 L2,仅限 L3,或者将两者结合起来。多协议标签交换 (MPLS) 功能模糊了 L2-L3 的身份。
RFC 4026 将以下术语概括为涵盖 L2 和 L3 VPN,但它们是在 RFC 2547 中引入的。[6]
- 客户边缘设备。(CE)
客户场所的设备,提供对 PPVPN 的访问。有时它只是提供商和客户责任之间的分界点。其他提供商允许客户对其进行配置。
- 提供商边缘设备 (PE)
PE 是提供商网络边缘的设备或设备集,它呈现提供商对客户站点的视图。PE 了解通过它们的 VPN,并维护 VPN 状态。
- 提供商设备 (P)
P 设备在提供商的核心网络中运行,并且不直接与任何客户端点交互。例如,它可能会为属于不同客户 PPVPN 的许多提供商运营的隧道提供路由。虽然 P 设备是实现 PPVPN 的关键部分,但它本身不是 VPN 意识的,并且不维护 VPN 状态。它的主要作用是允许服务提供商扩展其 PPVPN 产品,例如,通过充当多个 PE 的聚合点。在这种情况下,P 到 P 连接通常是提供商主要位置之间的高容量光链路。
用户可见的 PPVPN 服务 本节讨论 IETF 中考虑的 VPN 类型;一些历史名称被这些术语取代。
在这两种服务中,服务提供商不提供完整的路由或桥接网络,而是提供构建客户管理的网络的组件。VPWS 是点对点的,而 VPLS 可以是点对多点的。它们可以是没有任何数据链路的第 1 层模拟电路。
客户确定整体的客户 VPN 服务,其中也可能涉及路由、桥接或主机网络元素。
虚拟专用线路服务和虚拟专用局域网服务之间可能会出现不幸的首字母缩略词混淆;上下文应明确“VPLS”是指第 1 层虚拟专用线路还是第 2 层虚拟专用局域网。
- 虚拟局域网
一种第 2 层技术,允许使用 IEEE 802.1Q 中继协议通过中继互连多个 LAN 广播域。其他中继协议已被使用,但已过时,包括交换机间链路 (ISL)、IEEE 802.10(最初是一种安全协议,但引入了一个子集用于中继)和 ATM 局域网仿真 (LANE)。
- 虚拟专用局域网服务 (VPLS)
由 IEEE 开发,VLAN 允许多个标记的 LAN 共享公共中继。VLAN 通常只包含客户拥有的设施。而上面一节(OSI 第 1 层服务)中描述的 VPLS 支持点对点和点对多点拓扑的仿真,这里讨论的方法将第 2 层技术(例如 802.1d 和 802.1q LAN 中继)扩展到在诸如 城域以太网 之类的传输上运行。
在这种情况下,VPLS 是一种第 2 层 PPVPN,而不是专用线路,它模拟了传统 局域网 (LAN) 的全部功能。从用户的角度来看,VPLS 使得能够通过分组交换或光提供商核心互连多个 LAN 段;一个对用户透明的核心,使远程 LAN 段表现为一个单一的 LAN。[7]
在 VPLS 中,提供商网络模拟一个学习桥,它可以选择性地包含 VLAN 服务。
- 伪线 (PW)
PW 与 VPWS 类似,但它可以在两端提供不同的 L2 协议。通常,它的接口是 WAN 协议,例如 异步传输模式 或 帧中继。相反,当旨在提供两个或多个位置之间 LAN 连续的外观时,虚拟专用局域网服务或 IPLS 将是合适的。
- 仅限 IP 的 LAN 类服务 (IPLS)
VPLS 的一个子集,CE 设备必须具有 L3 功能;IPLS 呈现数据包而不是帧。它可以支持 IPv4 或 IPv6。
本节讨论了 PPVPN 的主要架构,一种是 PE 在单个路由实例中对重复地址进行区分,另一种是虚拟路由器,其中 PE 为每个 VPN 包含一个虚拟路由器实例。前一种方法及其变体获得了最多的关注。
PPVPN 的挑战之一涉及不同的客户使用相同的地址空间,尤其是 IPv4 私有地址空间。[8] 提供商必须能够在多个客户的 PPVPN 中区分重叠地址。
- BGP/MPLS PPVPN
在 RFC 2547 定义的方法中,BGP 扩展在 IPv4 VPN 地址族中通告路由,这些路由的形式为 12 字节字符串,以 8 字节 路由区分器 (RD) 开头,以 4 字节 IPv4 地址结尾。RD 在同一个 PE 中对否则重复的地址进行区分。
PE 了解每个 VPN 的拓扑结构,这些拓扑结构通过 MPLS 隧道互连,无论是直接连接还是通过 P 路由器连接。在 MPLS 术语中,P 路由器是 标签交换路由器,但不知道 VPN。
- 虚拟路由器 PPVPN
与 BGP/MPLS 技术相比,虚拟路由器架构[9][10] 不需要对现有的路由协议(如 BGP)进行修改。通过提供逻辑上独立的路由域,运行 VPN 的客户完全负责地址空间。在各种 MPLS 隧道中,不同的 PPVPN 通过其标签进行区分,但不需要路由区分器。
虚拟路由器架构不需要区分地址,因为 PE 路由器不是了解所有 PPVPN,而是 PE 包含多个虚拟路由器实例,这些实例只属于一个 VPN。
一些虚拟网络可能不使用加密来保护数据内容。虽然 VPN 通常提供安全性,但未加密的 覆盖网络 不符合安全或可信的分类。例如,在使用 通用路由封装 (GRE) 的两个主机之间建立的隧道实际上是一个虚拟专用网络,但既不安全也不可信。
除了上面的 GRE 示例之外,本机 明文 隧道协议包括 第 2 层隧道协议 (L2TP)(在没有 IPsec 的情况下设置)和 点对点隧道协议 (PPTP) 或 Microsoft 点对点加密 (MPPE)。
可信 VPN 不使用加密的 隧道协议,而是依靠单个提供商网络的安全性来保护流量。
- 多协议标签交换 (MPLS) 通常用于覆盖 VPN,通常在可信交付网络上进行服务质量控制。
- 二层隧道协议 (L2TP)[11] 是基于标准的替代方案,它结合了两种专有 VPN 协议的优点:思科的 二层转发 (L2F)[12](自 2009 年起已过时[更新])和微软的点对点隧道协议 (PPTP).[13]
从安全角度来看,VPN 要么信任底层交付网络,要么必须在 VPN 本身使用机制来强制执行安全性。除非可信交付网络仅在物理安全站点之间运行,否则可信和安全模型都需要用户身份验证机制才能访问 VPN。
移动 VPN 用于 VPN 端点不固定到单个 IP 地址 的环境中,而是漫游在各种网络中,例如来自蜂窝运营商的数据网络或多个 Wi-Fi 接入点之间。[14] 移动 VPN 已广泛应用于 公共安全,它们为执法人员提供访问关键任务应用程序的权限,例如 计算机辅助调度 和犯罪数据库,同时他们在移动网络的不同子网之间移动。[15] 它们还应用于 现场服务管理 和医疗保健组织,[16] 以及其他行业。
越来越多的移动专业人士和 白领工人 正在采用移动 VPN,他们需要可靠的连接。[16] 它们用于在网络之间以及无线覆盖区域内外无缝漫游,而不会丢失应用程序会话或中断安全的 VPN 会话。传统的 VPN 无法承受此类事件,因为 网络隧道 会中断,导致应用程序断开连接、超时,[14] 或失败,甚至导致计算设备本身 崩溃。[16]
与其将网络隧道的端点逻辑地绑定到物理 IP 地址,不如将每个隧道绑定到设备上永久关联的 IP 地址。移动 VPN 软件以对应用程序和用户透明的方式处理必要的网络身份验证并维护网络会话。[14] 主机身份协议 (HIP),正在由 互联网工程任务组 研究,旨在通过将 IP 地址 的作用从主机标识中分离出来,在 IP 网络中分离其定位功能。通过 HIP,移动主机在其漫游在访问网络之间时,会保持通过主机身份标识符建立的逻辑连接,同时关联不同的 IP 地址。
- ↑ Feilner, Markus. "第 1 章 - VPN — 虚拟专用网络". OpenVPN: 构建和集成虚拟专用网络: 学习如何使用这种强大的开源应用程序构建安全的 VPN。Packt 出版社。
- ↑ 商标申请和注册检索 (TARR)
- ↑ OpenBSD ssh 手册页,VPN 部分
- ↑ Unix 工具箱中关于 SSH VPN 的部分
- ↑ Ubuntu SSH VPN 操作指南
- ↑ E. Rosen & Y. Rekhter (1999 年 3 月). "RFC 2547 BGP/MPLS VPN". 互联网工程任务组 (IETF). http://www.ietf.org/rfc/rfc2547.txt.
- ↑ 以太网桥接 (OpenVPN)
- ↑ 私有互联网的地址分配,RFC 1918,Y. Rekhter *等*,1996 年 2 月
- ↑ RFC 2917,*核心 MPLS IP VPN 架构*
- ↑ RFC 2918,E. Chen (2000 年 9 月)
- ↑ 二层隧道协议 "L2TP",RFC 2661,W. Townsley *等*,1999 年 8 月
- ↑ 基于 IP 的虚拟专用网络,RFC 2341,A. Valencia *等*,1998 年 5 月
- ↑ 点对点隧道协议 (PPTP),RFC 2637,K. Hamzeh 等人,1999 年 7 月
- ↑ a b c Phifer,Lisa。 "移动 VPN:弥合差距",SearchMobileComputing.com,2006 年 7 月 16 日。
- ↑ Willett,Andy。 "解决移动警官的计算挑战",www.officer.com,2006 年 5 月。
- ↑ a b c Cheng,Roger。 "失去连接",华尔街日报,2007 年 12 月 11 日。
- Kelly,Sean(2001 年 8 月)。 "必要性是 VPN 发明的母亲"。 通信新闻:26–28。 ISSN 0010-3632.
- "VPN 购买指南"。 通信新闻:34–38。2001 年 8 月。 ISSN 0010-3632.
- JANET UK "不同类型的 VPN:技术和应用"
- 虚拟专用网络联盟 - VPN 供应商的行业协会
- CShip VPN-Wiki/列表
- 虚拟专用网络 on Microsoft TechNet
- 使用 IPsec 和 SSL/TLS 创建 VPN Linux Journal 文章,作者 Rami Rosen
- 如何在 iOS、Android、Windows、MacOS 中设置 VPN 分步用户指南
- curvetun 一种基于 curve25519 的轻量级多用户 IP 隧道/VPN
- 使用 VPN 绕过互联网审查 在 如何绕过互联网审查,FLOSS 手册,2011 年 3 月 10 日,240 页