VPN技术概述

VPN，简而言之就是公网专用，就是在公共网络架构上利用安全、认证、加密等技术建立企业的专用线路。用于构建虚拟专用网的公共网络包括因特网、帧中继、ATM等。在公共网络上建立的虚拟专用网在降低联网费用的同时比现有的企业专网有着更高的可扩展性、可管理性、安全性、可靠性等。虚拟（Virtual）表示VPN有别于传统的企业专网，在VPN中任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用现有的公共网络，在通信双方之间建立安全、可靠的连接而成的。专用（Private）则表示VPN为特定的企业或用户群体专用。从VPN用户来看，VPN在这一点上与传统的企业专网没什么区别。

1.VPN的分类

VPN主要应用在企业内部网Intranet、远程访问以及企业外部网Extranet，根据这些应用领域，VPN大致可分为3类：Intranet VPN、Access VPN与Extranet VPN。

●Intranet VPN：即企业的总部与分支机构间通过公网构筑的虚拟网。

●Access VPN：即企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。

●Extranet VPN：即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。

2.VPN传输信息的过程

VPN技术以隧道模式为主要的传输形式，通过在隧道头（传输双方）的加/解密操作，采用不同的隧道协议，来完成网络传输的功能。当连接建立后，呼叫方可以以被呼叫方子网的形式来和其他处于同一网络层次内的各网络节点进行安全的信息通信，其具体处理过程如下：

1）要保护的主机发送明文信息到连接公共网络的VPN设备。

2）VPN设备根据网络管理员预先设置的规则，确定是对数据进行加密或是让其直接通过。

3）对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。

4）VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。

5）VPN设备对加密后数据、签名包以及源IP地址、目标VPN设备的IP地址进行重新封装，重新封装后数据包通过虚拟通道在公网上传输。

6）当数据包到达目标VPN设备时被解封，数字签名被核对无误后被解密。

3.VPN的实现模块

VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据传送模块几部分。

1）管理模块负责整个系统的管理，可以决定传输模式、密钥生成、分配方式、数据包加/解密模式等。(www.xing528.com)

2）密钥分配和生成模块负责完成身份认证和数据加密所需的密钥生成和分配。密钥的生成采取自动/手动随机生成的方式，密钥的分配采用手动、非网络传输分配的方式。

3）身份认证模块对IP数据包完成数字签名的运算与认证。数字签名在保证数据完整性的同时，也起到了身份认证的作用。

4）数据加密/解密模块完成对IP数据包的加密和解密操作。加密算法有对称加密算法和非对称加密算法（如DES算法和IDEA算法）。也可以采用专用硬件的方式实现数据的加密和解密。

5）数据传送的实现包含数据分组的封装模块和封装分解模块两部分。当从安全网关发送IP数据分组时，数据分组封装模块为IP数据分组附加上身份认证头（AH）和安全数据封装头（ESP）。接收方收到数据分组时，数据分组分解模块对AH和ESP进行协议分析，并根据包头信息进行身份验证和数据解密。

4.VPN中使用的技术

目前，VPN主要采用四项技术来保证安全，这四项技术分别是加密/解密（Encryption&Decryption）技术、密钥管理（Key Management）技术、使用者与设备身份认证（Authentica-tion）技术和隧道（Tunneling）技术。

（1）加密/解密技术

加/解密技术是VPN的一个核心技术。为了保证数据在传输过程中的安全性，不被非法用户窃取或篡改，一般都在传输之前进行加密，接收方再对其进行解密。加密/解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。加密/解密算法的主要种类包括对称加密（单钥加密）算法、非对称加密（公钥加密）算法等，如DES、IDEA、RSA等。VPN根据采用的加/解密算法对通过公共互联网络传递的数据进行加密，确保网络其他未授权的用户无法读取该信息。

（2）密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的密钥协商方案，在网络上传输密钥；在ISAKMP中，通信双方都有两个密钥，分别为公钥、私钥。

（3）认证技术

认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常用的技术是用户名与密码方式。而设备认证则需要依赖由CA所颁发的电子证书。目前主要的认证方式有：简单口令，如质询握手验证协议（CHAP）和密码身份验证协议（PAP）等；动态口令，如动态令牌和X.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，但安全性不高，只能适用于一些基本的应用。动态口令具有很高的安全性，互操作性好，且支持动态地加载VPN设备，可扩展性强。

（4）隧道技术

隧道技术是VPN的底层支撑技术。类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。所谓隧道，实质上是一种封装，就是将一种协议X封装在另一种协议Y中传输，从而实现协议X对公用网络的透明性。这里协议X称为被封装协议，协议Y称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议Y（隧道头（协议X）））。在公用网络上传输的过程中，只有VPN端口或网关的IP地址暴露在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的IP地址以及其他协议信息。VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。

隧道是由隧道协议形成的，分为第2、3、4层隧道协议。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。第2层隧道协议有L2F、PPTP、L2TP等，是数据链路层协议。L2TP是目前IETF的标准，由IETF融合PPTP与L2F而形成。

第2层隧道协议是建立在点对点协议（PPP）的基础上，充分利用了PPP支持多协议的特点，先把各种网络协议（如IP、IPX等）封装到PPP帧中，再把整个数据包装入隧道协议。这种双层封装方法形成的数据包靠第2层协议进行传输。PPTP和L2TP主要用于远程访问虚拟专用网。第3层隧道协议有GRE、IPSec等，是网络层协议。第3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第3层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第3层隧道协议均优于第2层隧道协议。第4层隧道协议在传输层上通过SSL协议实现的“瞬时隧道技术”来构造VPN，由于这种VPN是基于SSL会话（Session）的，通信双方会话一旦建立，VPN即搭建完成；双方会话结束VPN随之拆除。