福建省泉州移动公司IT中心 张汀
当我们不在办公室时,又需要象在办公室一样地办公时,我们可以用传统的拨号方式远程访问公司或企业内部专用网络。但采用传统的远程访问的方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,不能保证通信的安全性。为了有效实现需求,通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。
移动推出GPRS业务后,我们技术实现的空间进一步加大。GPRS为我们提供了随时随地接入网络的方便性。类似于原有的数据专网需求,我们可以提供专用APN接入或通过GPRS实现虚拟数据专网(VPN)接入的方式,本文旨在对两种技术方案进行探讨。
一.什么是VPN
VPN(Virtual Private Network)即虚拟数据专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。
要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如下所示。
二.VPN的特点
1.增强的安全性 VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP);并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
2.网络协议支持 VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
3.IP地址安全 因为VPN是加密的, VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。
三.什么是GPRS
GPRS—General Packet Radio Service,通用无线分组业务是一种基于GSM系统的无线分组交换技术,提供端到端的、广域的无线IP连接。GPRS充分利用共享无线信道,采用IP Over PPP实现数据终端的高速、远程接入。作为现有GSM网络向第三代移动通信演变的过渡技术(2.5G),GPRS在许多方面都具有显著的优势。
四.GPRS数据专网实现方案
1、通过专用APN接入方式
企业通过专线和移动公司GPRS网的GGSN相连,在移动GGSN网元上为企业设置一个专用的接入APN点,从而在企业使用的移动设备和企业内部网络之间构成一条无线虚拟专网(VPN)通道,解决了企业提出的内部网络安全性及数据私密性的要求。
移动终端在进行GPRS附着时,SGSN首先向HLR查询移动终端所允许使用的APN,然后通过DNS将APN解析成相应的IP地址。专用的APN在GGSN上将体现为专用的网络地址段。由于企业通过专线和移动公司连接,此时移动终端己通过此种方式通过GPRS相接到企业专网上了。
目前移动与某交警等合作的移动执法系统就是采用此种方式。
2、 采用原有VPN接入方式
如果借鉴原有固定上网方式下的VPN接入方式,则企业需设置VPN服务器,并将拥有公网IP地址的服务器连接到互联网上;而移动公司只是为移动用户提供一个公网平台就可以了。移动终端只是类似于固定上网用户通过GPRS连接到公网上,并进行二次虚拟拨号建立VPN连接即可。
五.两种方案的比较
Ⅰ、专用APN
1.这是通过GPRS为企业建设了一个专用网。
2.移动手机或PDA等可以接入。
3.整个数据传送过程未进行加密。
4.企业需租用专线接入到移动公司的GGSN设备上。
5.普通的可连接到互联网的设备没有接入该系统的方式。
6.可对移动终端进行鉴权。
Ⅱ、VPN方式
1.这是一种虚拟专网的方式。在这种方案里,我们只是把GPRS做为原有宽带、拨号上网方式的一种扩展方式。
2.目前尚无GPRS手机进行VPN二次虚拟拨号的功能,故只能通过GPRS加电脑终端的方式接入。
3.通过VPN方式,整个数据传送过程得到了加密保护。
4.企业不用租用专线。只需将VPN服务器接入到互联网上即可。
5.原有的接入方式均可保持不变。
6.目前无法对终端进行鉴权。
六.结束语
数据专网在互联网出现没多久就开始有了市场需求;有不少企业都己有自己的数据专网。移动公司凭借GPRS手段,可以为用户提供一个立体化全方位的互联网世界,移动公司具有技术先进的优势;但我们在业务推广的过程中,应注意到用户投资的问题。如果采用VPN方式,则用户不用重新租用专线,而可以利旧使用原有的VPN设备;移动公司只为客户提供了一种有益的加强手段,即GPRS接入方式。
当然我们还可以考虑今后手机终端上要有VPN二次虚拟拨号软件,或通过专用APN方式接入时如何解决普通终端接入的问题。但在新的市场需求的驱动下,相信这些技术问题都能很轻易地得到解决。
本文不在于否定哪种实现方式,只是客观地将两种实现方式进行比较。当不同的市场需求出现时,我们可以凭借多样化的实现方案来尽可能多的满足业务。除了以上两种方案之外,我们还可以考虑在专用APN接入的基础上再加上VPN方式或把APN做为VPN接入的另一种补充接入等混合方式。以上,通过对两种实现方式的比较,我们可以了解到应用实现上还有哪些不足,从而在下一步的建设中可以通过新的技术手段来弥补和扩充。
摘自《计算机世界》
|