当代科学技术摘录

虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术[1]。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。用户在电信部门租用的帧中继（FrameRelay）与ATM等数据网络提供固定虚拟线路（PVC-PermanentVirtualCircuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是FrameRelay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。虚拟专用网的提出就是来解决这些问题：(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。VPN有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。AAA其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务。如何对正在使用网络资源的用户进行记账？具体为：1、验证(Authentication):验证用户是否可以获得访问权限。AAA服务器方案2、授权(Authorization):授权用户可以使用哪些服务。3、记账(Accounting):记录用户使用网络资源的情况。AAA服务器AAA服务器（AAAserver）是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。RADIUS协议协议概述RADIUS（RemoteAuthenticationDialInUserService）协议是在IETF的RFC2865和2866中定义的。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows2000服务器上运行的一个监护程序。RADIUS协议的认证端口是1812，计费端口是1813。RADIUS协议的主要特点概括的来说，RADIUS的主要特点如下：1、客户/服务模式(Client/Server)RADIUS是一种C/S结构的协议，它的客户端最初就是网络接入服务器NAS（NetworkAccessServer），运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。一个RADIUS服务器可以为其他的RADIUSServer或其他种类认证服务器担当代理。AAA服务器2、网络安全客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。3、灵活的认证机制RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器可以支持点对点的PAP认证（PPPPAP）、点对点的CHAP认证（PPPCHAP）、UNIX的登录操作（UNIXLogin）和其他认证机制。4．扩展协议所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。RADIUS的工作过程RADIUS协议旨在简化认证流程。其典型认证授权工作过程是：1、用户输入用户名、密码等信息到客户端或连接到NAS。2、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS服务器，其中包括用户名、口令、客户端（NAS）ID和用户访问端口的ID。口令经过MD5算法进行加密。3、RADIUS服务器对用户进行认证。4、若认证成功，RADIUS服务器向客户端或NAS发送允许接入包（Access-Accept），否则发送拒绝加接入包（Access-Reject）。5、若客户端或NAS接收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6；若接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程。6、客户端或NAS发送计费请求包给RADIUS服务器。7、RADIUS服务器接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；8、用户断开连接，客户端或NAS发送停止计费包给RADIUS服务器。9、RADIUS服务器接收到停止计费包后停止计费，并向客户端或NAS回送停止计费响应包，完成该用户一次计费，记录计费信息。Diameter编辑Diameter基础协议Diameter基本协议为移动IP（MobileIP）、网络接入服务（NAS）等应用提供最基本的服务，例如用户会话、计费等，具有能力协商、差错通知等功能。协议元素由众多命令和AVP（属性值对）构成，可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但是不管客户机、代理还是服务器，都可以主动发出会话请求，对方给予应答，所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。DiameterNAS协议Diameter的NAS协议既是NetworkAccessService（网络接入服务）协议。由NAS客户机处理用户MN的接入请求（RegReq），将收到的客户认证信息转送给NAS服务器；服务器对客户进行鉴别，将结果（Success/Fail）发给客户机；客户机通过RegReply将结果发回给MN，并根据结果对MN进行相应处理。NAS作为网络接入服务器，在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换，有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上，移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器，它作为AAA服务器的客户机，在两者之间交换NAS消息请求和应答。DiameterEAP协议DiameterEAP（ExtensibleAuthenticationProtocol——可扩展鉴别协议）协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架，一种帧格式，可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。EAP协议描述用户、NAS(AAA客户机)和AAA服务器之间有关EAP鉴别消息的请求和应答的关系，完成一次对鉴别请求的应答，中间可能需要多次消息交换过程。在移动终端MN移动的环境下，MN与FA之间的鉴别扩展采用EAP，即把FA看做是一个NAS，它作为DiameterAAA的客户机，DiameterAAA服务器作为EAP的后端服务器，两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。DiameterCMS协议DiameterCMS（CryptographicMessageSyntax——密码消息语法）协议实现了协议数据的Peer-to-Peer（端到端）加密。由于Diameter网络中存在不可信的Relay（中继）和Proxy（代理），而IPSec和TLS又只能实现跳到跳的安全，所以IETF定义了DiameterCMS应用协议来保证数据安全。DiameterMIP协议由于未来移动通信网络正逐步向全IP网络演进，这就不可避免碰到用户移动到外部域的问题。DiameterMIP应用协议允许用户漫游到外部域，并在经过鉴权后接受外部域Server（服务器）和Agent（代理）提供的服务。在未来移动通信中，这种情况将十分常见，因此MIP协议对于移动通信系统来说至关重要.当用户移动到外部域的时候，需要进行一系列的消息交换才能安全地接入外部网络，接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域，其中比较典型的一种情况是MN在外地域而HA在家乡域。[1]移动应用编辑在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证，这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。一般来讲，鉴别过程由三个实体来完成的。用户（Client）、认证器（Authenticator）、AAA服务器（Authentication、Authorization和AccountingServer）。在第三代移动通信系统的早期版本中，用户也称为MN（移动节点），Authenticator在NAS（NetworkAccessServer）中实现，它们之间采用PPP协议，认证器和AAA服务器之间采用AAA协议（以前的方式采用远程访问拨号用户服务RADIUS（RemoteAccessDialupUserService）；Radius（远程访问拨号接入用户服务）英文原意为半径，原先的目的是为拨号用户进行鉴别和计费。后来经过多次改进，形成