VPN技术与协议概述

1.实现VPN的关键技术

（1）隧道技术

隧道技术（Tunneling）是VPN的底层支撑技术，所谓隧道，实际上是一种封装，就是将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用网络的透明性。这里协议X被称为被封装协议，协议Y被称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为协议Y隧道头协议X。在公用网络（一般指因特网）上传输过程中，只有VPN端口或网关的IP地址暴露在外边。

隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的IP地址以及其他协议信息。VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。

隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议，第二层隧道协议如L2TP、PPTP、L2F等，它们工作在OSI体系结构的第二层（即数据链路层）；第三层隧道协议如IPSec，GRE等，工作在OSI体系结构的第三层（即网络层）。第二层隧道和第三层隧道的本质区别在于：用户的IP数据包被封装在不同的数据包中在隧道中传输。

第二层隧道协议是建立在点对点协议的基础上，充分利用PPP协议支持多协议的特点，先把各种网络协议（如IP、IPX等）封装到PPP帧中，再把整个数据包装入隧道协议。PPTP和L2TP协议主要用于远程访问虚拟专用网。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优于第二层隧道协议。IPSec即IP安全协议是目前实现VPN功能的最佳选择。

（2）密码技术与认证技术

密码技术是VPN的另一核心技术。为了保证数据在传输过程中的安全性，不被非法的用户窃取或篡改，一般都在传输之前进行加密，在接收方再对其进行解密。VPN大都采用单钥的DES和3DES作为加解密的主要技术，而以公钥和单钥的混合加密体制（即加解密采用单钥密码，而密钥传送采用双钥密码）来进行网络上密钥交换和管理，不但可以提高传输速度，还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由CA颁发的电子证书。

目前主要的认证方式有简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等；动态口令如动态令牌和X.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，且支持动态加载VPN设备，可扩展性强。

（3）密钥管理技术

密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。通过协商安全策略，形成各自的验证加密参数。IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意的基础上的安全服务。

IKE协议是目前首选的密钥管理标准，较SKIP而言，其主要优势在于定义更灵活，能适应不同的加密密钥。IKE协议的缺点是它虽然提供了强大的主机级身份认证，但同时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。

（4）访问控制技术(www.xing528.com)

虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。

访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。

2.VPN实现的主要安全协议

VPN区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。一般来说，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP、L2TP等；在网络层实现数据封装的协议叫第三层隧道协议，如IPSec。另外，SOCKSv5协议则在TCP层实现数据安全。

（1）PPTP/L2TP

1996年Microsoft和Ascend等在PPP协议的基础上开发了PPTP，它集成于Windows NT Server 4.0中，Windows NT Workstation和Windows9.X也提供相应的客户端软件。PPP支持多种网络协议，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密（Microsoft Point-to-Point Enoryftion，MPPE）算法，可以选用较弱的40位密钥或强度较大的128位密钥。1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问服务器。1997年底，Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。L2TP支持多协议，利用公共网络封装PPP帧，可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制，支持MP（Multilink Protocol），把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送（RFC 1663）实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份。L2TP受到了许多大公司的支持。

PPTP/L2TP协议的优点：PPTP/L2TP对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分；PPTP/L2TP支持其他网络协议；如NOWELL的IPX、NET-BEUI和APPLETALK协议，还支持流量控制；它通过减少丢弃包来改善网络性能，这样可减少重传。

PPTP/L2TP协议的缺点：PM和L2TP将不安全的IP包封装在安全的IP包内，它们用IP帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制；PPTP和L2TP限制同时最多只能连接255个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。PPTP/L2TP最适合于远程访问VPN。

（2）IPSec协议

IPSec是IETF（Internet Engineer Task Force）正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH（Au-thentication Header）、IP安全载荷封载ESP（Encapsulated Security Payload）和密钥管理协议组成。

IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从认证、完整性检查和加密3个方面来保证数据的安全。

IPSec协议可以设置成在两种模式下运行，一种是隧道模式；另一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中，这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP（Internet Security Associationand Kay Management Protocol）协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。IPSec也可用于连接其他层已存在的通信协议，如支持安全电子交易（Secure Electronic Transaction，SET）协议和SSL（Secure Socketlayer）协议。即使不用SET或SSL，IPSec也能提供认证和加密手段以保证信息的传输。