一 VPN概述

為了使得遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時(shí)的交換數(shù)據(jù)信息。企業(yè)得向ISP租用網(wǎng)絡(luò)提供服務(wù)。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務(wù)攻擊來堵塞正常的網(wǎng)絡(luò)服務(wù)，或竊取重要的企業(yè)內(nèi)部信息）

VPN這個(gè)概念的引進(jìn)就是用來解決這個(gè)問題。它是利用公用網(wǎng)絡(luò)來連接到企業(yè)私有網(wǎng)絡(luò)。但在VPN中，用安全機(jī)制來保障機(jī)密型，真實(shí)可靠行，完整性嚴(yán)格的訪問控制。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。虛擬局域網(wǎng)提供了一個(gè)經(jīng)濟(jì)有效的手段來解決通過公用網(wǎng)絡(luò)安全的交換私有信息。

二 VPN特性

一般VPN所具備的優(yōu)點(diǎn)有以下幾點(diǎn)：

a) 最小成本：無須購買網(wǎng)絡(luò)設(shè)備和專用線路覆蓋所有遠(yuǎn)程用戶

b) 責(zé)任共享：通過購買公用網(wǎng)的資源，部分維護(hù)責(zé)任遷移至provider（更專業(yè)，有經(jīng)驗(yàn)，是操作，維護(hù)成本降低）。

c) 安全性：

d) 保障Qos

e) 可靠性：如果一個(gè)VPN節(jié)點(diǎn)壞了，可以一個(gè)替換VPN建立起來繞過他，這種恢復(fù)工作是得VPN操作可以盡可能的延續(xù)

f) 可擴(kuò)展性：可以通過從公用網(wǎng)申請更多得資源達(dá)到非常容易的擴(kuò)展VPN,或者協(xié)商重構(gòu)VPN

其中安全性是vpn最重要的一個(gè)特性,也是各類vpn產(chǎn)品所必須具備和支持的要素.

三 VPN的安全技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

隧道指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，即網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。網(wǎng)絡(luò)隧道技術(shù)是個(gè)關(guān)鍵技術(shù),這項(xiàng)vpn的基本技術(shù)也是本文要詳細(xì)和闡述的.

四 網(wǎng)絡(luò)隧道協(xié)議

網(wǎng)絡(luò)隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸�，F(xiàn)有兩種類型的網(wǎng)絡(luò)隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問虛擬專網(wǎng)（AccessVPN）；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）。

二層隧道協(xié)議

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議主要有以下三種：第一種是由微軟、Ascend、3COM 等公司支持的 PPTP（Point to Point Tunneling Protocol，點(diǎn)對點(diǎn)隧道協(xié)議），在WindowsNT4.0以上版本中即有支持。

第二種是Cisco、北方電信等公司支持的L2F（Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議），在 Cisco 路由器中有支持。

第三種由 IETF 起草，微軟 Ascend 、Cisco、 3COM 等公司參與的 L2TP（Layer 2TunnelingProtocol，二層隧道協(xié)議）結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。這里就主要介紹一下 L2TP 網(wǎng)絡(luò)協(xié)議。

其中，LAC 表示 L2TP 訪問集中器（L2TPAccessConcentrator），是附屬在交換網(wǎng)絡(luò)上的具有 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設(shè)備，LAC 一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器 NAS（Network Access Server）它用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)；LNS 表示 L2TP 網(wǎng)絡(luò)服務(wù)器（L2TP Network Server），是 PPP 端系統(tǒng)上用于處理 L2TP 協(xié)議服務(wù)器端部分的軟件。

在一個(gè)LNS和LAC對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個(gè)LNS和LAC對；另一種是會話（session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè) PPP 會話過程。

L2TP連接的維護(hù)以及PPP數(shù)據(jù)的傳送都是通過L2TP消息的交換來完成的，這些消息再通過 UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型，一種是控制消息，另一種是數(shù)據(jù)消息�？刂葡�息用于隧道連接和會話連接的建立與維護(hù)。數(shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。 L2TP 連接的維護(hù)以及 PPP 數(shù)據(jù)的傳送都是通過 L2TP 消息的交換來完成的，這些消息再通過UDP的1701端口承載于 TCP/IP 之上。

控制消息中的參數(shù)用AVP值對（AttributeValuePair）來表示，使得協(xié)議具有很好的擴(kuò)展性；在控制消息的傳輸過程中還應(yīng)用了消息丟失重傳和定時(shí)檢測通道連通性等機(jī)制來保證了 L2TP 層傳輸?shù)目煽啃浴��?shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。L2TP 數(shù)據(jù)消息的傳輸不采用重傳機(jī)制，所以它無法保證傳輸?shù)目煽啃裕�但這一點(diǎn)可以通過上層協(xié)議如TCP等得到保證；數(shù)據(jù)消息的傳輸可以根據(jù)應(yīng)用的需要靈活地采用流控或不流控機(jī)制，甚至可以在傳輸過程中動(dòng)態(tài)地使用消息序列號從而動(dòng)態(tài)地激活消息順序檢測和流量控制功能；在采用流量控制的過程中，對于失序消息的處理采用了緩存重排序的方法來提高數(shù)據(jù)傳輸?shù)挠行�性�?

L2TP 還具有適用于VPN 服務(wù)的以下幾個(gè)特性：

· 靈活的身份驗(yàn)證機(jī)制以及高度的安全性

L2TP 可以選擇多種身份驗(yàn)證機(jī)制（CHAP、PAP等），繼承了PPP的所有安全特性，L2TP 還可以對隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過L2TP所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求還可以方便地在L2TP之上采用隧道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。

· 內(nèi)部地址分配支持

LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持DHCP和私有地址應(yīng)用（RFC1918）等方案。遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。

· 網(wǎng)絡(luò)計(jì)費(fèi)的靈活性

可以在LAC和LNS兩處同時(shí)計(jì)費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。

· 可靠性

L2TP 協(xié)議可以支持備份 LNS，當(dāng)一個(gè)主 LNS 不可達(dá)之后，LAC（接入服務(wù)器）可以重新與備份 LNS 建立連接，這樣增加了 VPN 服務(wù)的可靠性和容錯(cuò)性。

· 統(tǒng)一的網(wǎng)絡(luò)管理

L2TP協(xié)議將很快地成為標(biāo)準(zhǔn)的RFC協(xié)議，有關(guān)L2TP的標(biāo)準(zhǔn)MIB也將很快地得到制定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理。

三層隧道協(xié)議

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的 RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是個(gè)三層隧道協(xié)議。新出來的 IETF 的 IP 層加密標(biāo)準(zhǔn)協(xié)議 IPSec 協(xié)議也是個(gè)三層隧道協(xié)議。

IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。 它不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括網(wǎng)絡(luò)安全協(xié)議 Authentication Header（AH）協(xié)議和 Encapsulating Security Payload（ESP）協(xié)議、密鑰管理協(xié)議Internet Key Exchange （IKE）協(xié)議和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。下面就IPSec的認(rèn)證與加密機(jī)制和協(xié)議分別做一些詳細(xì)說明。

1． IPSec認(rèn)證包頭（AH）：

它是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性和認(rèn)證的機(jī)制。其完整性是保證數(shù)據(jù)報(bào)不被無意的或惡意的方式改變，而認(rèn)證則驗(yàn)證數(shù)據(jù)的來源（識別主機(jī)、用戶、網(wǎng)絡(luò)等）。AH本身其實(shí)并不支持任何形式的加密，它不能保證通過Internet發(fā)送的數(shù)據(jù)的可信程度。AH只是在加密的出口、進(jìn)口或使用受到當(dāng)?shù)卣�府限制的情況下可以提高全球Intenret的安全性。當(dāng)全部功能實(shí)現(xiàn)后，它將通過認(rèn)證IP包并且減少基于IP欺騙的攻擊機(jī)率來提供更好的安全服務(wù)。AH使用的包頭放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個(gè)高層協(xié)議幀（如TCP、UDP、ICMP等）之間。

AH協(xié)議通過在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。一個(gè)消息文摘就是一個(gè)特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報(bào)的唯一的數(shù)字指紋。消息文摘算法的輸出結(jié)果放到AH包頭的認(rèn)證數(shù)據(jù)（Authentication_Data）區(qū)。消息文摘5算法（MD5）是一個(gè)單向數(shù)學(xué)函數(shù)。當(dāng)應(yīng)用到分組數(shù)據(jù)中時(shí)，它將整個(gè)數(shù)據(jù)分割成若干個(gè)128比特的信息分組。每個(gè)128比特為一組的信息是大分組數(shù)據(jù)的壓縮或摘要的表示。當(dāng)以這種方式使用時(shí)，MD5只提供數(shù)字的完整性服務(wù)。一個(gè)消息文摘在被發(fā)送之前和數(shù)據(jù)被接收到以后都可以根據(jù)一組數(shù)據(jù)計(jì)算出來。如果兩次計(jì)算出來的文摘值是一樣的，那么分組數(shù)據(jù)在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC－MD5認(rèn)證過的數(shù)據(jù)交換中，發(fā)送者使用以前交換過的密鑰來首次計(jì)算數(shù)據(jù)報(bào)的64比特分組的MD5文摘。從一系列的16比特中計(jì)算出來的文摘值被累加成一個(gè)值，然后放到AH包頭的認(rèn)證數(shù)據(jù)區(qū)，隨后數(shù)據(jù)報(bào)被發(fā)送給接收者。接收者也必須知道密鑰值，以便計(jì)算出正確的消息文摘并且將其與接收到的認(rèn)證消息文摘進(jìn)行適配。如果計(jì)算出的和接收到的文摘值相等，那么數(shù)據(jù)報(bào)在發(fā)送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發(fā)送的。

2． 封包安全協(xié)議（ESP）包頭：

它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)ESP協(xié)議是設(shè)計(jì)以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。兩者的區(qū)別在于IP數(shù)據(jù)報(bào)的ESP負(fù)載部分的內(nèi)容不同。在隧道模式中，整個(gè)IP數(shù)據(jù)報(bào)都在ESP負(fù)載中進(jìn)行封裝和加密。當(dāng)這完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發(fā)送的普通數(shù)據(jù)。這種模式的一種典型用法就是在防火墻－防火墻之間通過虛擬專用網(wǎng)的連接時(shí)進(jìn)行的主機(jī)或拓?fù)潆[藏。在傳輸模式中，只有更高層協(xié)議幀（TCP、UDP、ICMP等）被放到加密后的IP數(shù)據(jù)報(bào)的ESP負(fù)載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。

IPSec要求在所有的ESP實(shí)現(xiàn)中使用一個(gè)通用的缺省算法即DES－CBC算法。美國數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是一個(gè)現(xiàn)在使用得非常普遍的加密算法。它最早是在由美國政府公布的，最初是用于商業(yè)應(yīng)用。到現(xiàn)在所有DES專利的保護(hù)期都已經(jīng)到期了，因此全球都有它的免費(fèi)實(shí)現(xiàn)。IPSecESP標(biāo)準(zhǔn)要求所有的ESP實(shí)現(xiàn)支持密碼分組鏈方式（CBC）的DES作為缺省的算法。DES－CBC通過對組成一個(gè)完整的IP數(shù)據(jù)包（隧道模式）或下一個(gè)更高的層協(xié)議幀（傳輸模式）的8比特?cái)?shù)據(jù)分組中加入一個(gè)數(shù)據(jù)函數(shù)來工作。DES－CBC用8比特一組的加密數(shù)據(jù)（密文）來代替8比特一組的未加密數(shù)據(jù)（明文）。一個(gè)隨機(jī)的、8比特的初始化向量（IV）被用來加密第一個(gè)明文分組，以保證即使在明文信息開頭相同時(shí)也能保證加密信息的隨機(jī)性。DES－CBC主要是使用一個(gè)由通信各方共享的相同的密鑰。正因?yàn)槿绱耍�它被認(rèn)為是一個(gè)對稱的密碼算法。接收方只有使用由發(fā)送者用來加密數(shù)據(jù)的密鑰才能對加密數(shù)據(jù)進(jìn)行解密。因此，DES－CBC算法的有效性依賴于秘密密鑰的安全，ESP使用的DES－CBC的密鑰長度是56比特。

3． Internet 密鑰交換協(xié)議（IKE）：

用于在兩個(gè)通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān)（SecurityAssociation）是IPSec中的一個(gè)重要概念。一個(gè)安全相關(guān)表示兩個(gè)或多個(gè)通信實(shí)體之間經(jīng)過了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進(jìn)行安全通信。IPSec協(xié)議本身沒有提供在通信實(shí)體間建立安全相關(guān)的方法，利用 IKE建立安全相關(guān)。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式，密鑰交換采用 Diffie Hellman 協(xié)議。安全相關(guān)也可以通過手工方式建立，但是當(dāng) VPN 中結(jié)點(diǎn)增多時(shí)，手工配置將非常困難。

由此，IPSec 提供了以下幾種網(wǎng)絡(luò)安全服務(wù)：

· 私有性 － IPsec 在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性

· 完整性 － IPsec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被替換

· 真實(shí)性 － IPsec 端要驗(yàn)證所有受 IPsec 保護(hù)的數(shù)據(jù)包

· 反重復(fù) －IPsec防止了數(shù)據(jù)包被撲捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包；它通過與 AH 或 ESP 一起工作的序列號實(shí)現(xiàn)

五 小結(jié)

VPN綜合了專用和公用網(wǎng)絡(luò)的優(yōu)點(diǎn)，允許有多個(gè)站點(diǎn)的公司擁有一個(gè)假想的完全專有的網(wǎng)絡(luò)，而使用公用網(wǎng)絡(luò)作為其站點(diǎn)之間交流的線路,它通過可靠的加密技術(shù)方法保證其安全性。I P s e c是VPN隧道協(xié)議中一個(gè)相當(dāng)新的標(biāo)準(zhǔn)，是實(shí)現(xiàn)I n t e r n e t的I P協(xié)議級安全可靠的一種方法，必將成為各個(gè)VPN產(chǎn)品所支持的業(yè)界標(biāo)準(zhǔn)。