【文章內(nèi)容簡介】 在 Inter 上， VPN 使用者可以控制自己與其它使用者的聯(lián)系，同時支持撥號的用戶。 所以我們說的虛擬專用網(wǎng)一般指的是建筑在 Inter 上能夠自我管理的專用網(wǎng)絡(luò)，而不是 Frame Relay 或 ATM 等提供虛擬固定線路（ PVC）服務(wù)的網(wǎng)絡(luò)。 VPN 的隧道技術(shù) 目前 VPN 主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（ Tunneling）、加解密技術(shù)（ Encryption amp。 Decryption）、密鑰管理技術(shù)（ Key Management）、使用者與設(shè)備身份認證技術(shù)（ Authentication） [2]。 隧道技術(shù)是 VPN 的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、 PPTP、 L2TP 等。 L2TP 協(xié)議是目前 IETF 的標準，由 IETF 融合 PPTP 與 L2F 而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有 VTP、 IPSec 等。 IPSec（ IP Security）是由一組 RFC 文 6 檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 VPN 采用的是實時加解密技術(shù)， 實時加解密技術(shù)的最大特點是授權(quán)用戶可以直接使用加密文件而不是象傳統(tǒng)加密技術(shù)那樣 “ 先解密，后使用，修改完成再加密 ” 。實時加解密技術(shù)必須和操作系統(tǒng)融為一體，因此技術(shù)要求比較高。實時加 /解密技術(shù)的加密和解密過程對操作者來說是隱含的，授權(quán)用戶在使用加密文件時和不加密的文件的操作完全相同，操作者完全可以不理會所操作的文件是否經(jīng)過加密處理傳統(tǒng)加密技術(shù)在操作中存在長時間的明文過程，由于加密是靠編碼成密文來達到保密的目的，一旦保密對象還原成明文，就不能再對其進行保護了。這就要求使用者在這個階段要有足 夠的保密意識，在使用這些加密的對象時必須保證絕對的安全。但事與愿違，使用這些加密文檔的最終用戶往往都不可能具備很強的保密技術(shù)和意識，絕大多數(shù)泄密事故都是在這個階段產(chǎn)生的。采用實時加解密技術(shù)的系統(tǒng)由于沒有了明文過程，這個問題也就不存在了。同時對用戶也沒有任何保密技術(shù)上的要求，所有與保密相關(guān)的工作細節(jié)由系統(tǒng)自身保證。 密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 SKIP 主要是利用 DiffieHellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。 隧道協(xié)議 點對點隧道協(xié)議（ PPTP） 下面簡單介紹一下 PPTP 網(wǎng)絡(luò)協(xié)議。應(yīng)用 PPTP 所構(gòu)建的典型 VPN 服務(wù)的結(jié)構(gòu)如圖 3所示： 接 入 服 務(wù) 器 P P T P 服 務(wù) 器遠 程 用 戶P A CIn t e r n e tP P T P 隧 道P N SP S T N / IS D N局 域 網(wǎng) 圖 2 應(yīng)用 PPTP所構(gòu)建的典型 VPN圖 PPTP 可看作是 PPP 協(xié)議的一種擴展， PPTP 對 PPP 協(xié)議本身 并沒有做任何修改，只 7 是使用 PPP 建立撥號連接。 PPTP 使用 PPP 協(xié)議的 PAP 或 CHAP（ MSCHAP）進行認證，另外也支持 Microsoft 公司的點到點加密技術(shù)（ MPPE）。它提供了一種在 Inter 上建立多協(xié)議的安全虛擬專用網(wǎng)（ VPN）的通信方式。遠端用戶能夠透過任何支持 PPTP 的 ISP訪問公 司的專用網(wǎng)絡(luò) [3]。 在上圖中， PAC 表示 PPTP 訪問集中器（ PPTP Access Concentrator），是具有 PPP端系統(tǒng)和 PPTP協(xié)議處理能力的設(shè)備，一般就是一個網(wǎng)絡(luò)接入服務(wù)器 NAS（ Network Access Server） ,它用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)； PNS 表示 PPTP 網(wǎng)絡(luò)服務(wù)器（ PPTP Network Server）。 二層轉(zhuǎn)發(fā)協(xié)議 （ L2F） L2F（ Layer Two Forwarding protocol）是由 Cisco 公司提出的可以在多種介質(zhì)，如 ATM、幀中繼、 IP 網(wǎng)上建立多協(xié)議的安全虛擬專用網(wǎng)的通信。 它將鏈路層的協(xié)議，如HDLC,PPP 等封裝起來傳送。因此，網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)議。 遠端用戶能通過任何撥號方式接入 Inter，首先按常規(guī)方式撥到 ISP 的接入服務(wù)器（ NAS），建立 PPP 連接； NAS 根據(jù)用戶名等信息，建立 到 L2F 服務(wù)器的第二重連接。在這種情況下，隧道的配置和建立對用戶是完全透明的。 L2F 允許撥號接入服務(wù)器發(fā)送 PPP 幀傳輸并通過 Inter 連接到達 L2F 服務(wù)器。 L2F 服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)絡(luò)中。 二層隧道協(xié)議（ L2TP） L2TP（ Layer Two Tunneling Protocol）結(jié)合了 L2F 和 PPTP 的優(yōu)點，允許用戶從客戶端或訪問服務(wù)器端建立 VPN 連接。 L2TP 是把鏈路層 的 PPP 幀裝入公用網(wǎng)絡(luò)設(shè)施，如IP、 ATM、幀中繼中進行隧道傳輸?shù)姆庋b協(xié)議。 與 PPTP 和 L2F 相比， L2TP 的優(yōu)點在于提供了差錯和流量控制； L2TP 使用 UDP 封裝和傳送 PPP 幀。面向無連接的 UDP 無法保證網(wǎng)絡(luò)數(shù)據(jù)的可靠傳輸， L2TP 使用 Nr（下一個希望接受的信息序列號）和 Ns（當前發(fā)送的數(shù)據(jù)包序列號）字段進行流量和差錯控制。雙方通過序列號來確定數(shù)據(jù)包的順序和緩沖區(qū)，一旦丟失數(shù)據(jù)，根據(jù)序列號可以進行重發(fā)。 作為 PPP 的擴展協(xié)議， L2TP 支持標準的安全特性 CHAP 和 PAP，可以進行用戶身份認證。 L2TP 定義了 控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數(shù)據(jù)并不加密。 L2TP 協(xié)議將很快地成為標準的 RFC 協(xié)議，有關(guān) L2TP 的標準 MIB 也將很快地得到制定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進行方便的網(wǎng)絡(luò)維護與管理 [4]。 IP 安全（ IPSec） 第三層網(wǎng)絡(luò)層是能夠提供終端到終端網(wǎng)絡(luò)連接能力的最低一層，但是， IPv4 沒有內(nèi)建的安全措施，偽造 IP 地址，篡改 IP 數(shù)據(jù)報的內(nèi)容，重放內(nèi)容，檢測傳輸中的數(shù)據(jù)包的內(nèi)容都是比較容易的。因此附加的協(xié)議和處理過 程是非常必要的。 IPSec 是一個協(xié)議集，它定義了在 IP 協(xié)議中提供安全服務(wù)的結(jié)構(gòu)和詳細說明。 IPSec 是設(shè)計用來為 IPv4 8 以及 IPv6 提供能夠共同使用的、強壯的基于密碼學的安全性。 IPSec(1P Security)產(chǎn)生于 IPv6 的制定之中，用于提供 IP 層的安全性。由于所有支持 TCP／ IP 協(xié)議的主機進行通信時，都要經(jīng)過 IP 層的處理，所以提供了 IP 層的安全性就相當于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于 IPv4 的應(yīng)用仍然很廣泛，所以后來在 IPSec 的制定中也增添了對 IPv4 的支持 IPSec 定義了一系列的安全服 務(wù)，包括訪問控制、身份驗證以及數(shù)據(jù)機密性。這些服務(wù)通過使用兩個安全協(xié)議 AH 和 ESP，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。IPSec 協(xié)議的選擇以及它們被使用的方法，允許安全服務(wù)滿足不同的安全需求。 AH 協(xié)議在 IP 報文頭之后放置一個新的報文頭。 AH 提供數(shù)據(jù)起源驗證和數(shù)據(jù)完整性驗證（這種組合通常被稱為身份驗證），以及可選的抗重放服務(wù)。當需要身份驗證而不需要機密性的時候，該協(xié)議是適當?shù)摹? ESP 為 IP 通信提供機密性，同時也提供 AH 提供的身份驗證。這些服務(wù)是可選的，但如果使用 ESP 就必須選擇其中之一。 IKE 協(xié) 議用于協(xié)商 AH 和 ESP 協(xié)議所使用的密碼算法，并將算法所需的必備密鑰放在合適的位置。 IPSec 所使用的協(xié)議被設(shè)計成與算法無關(guān)的。算法的選擇在安全策略數(shù)據(jù)庫（ SPD）中指定。通過使用安全關(guān)聯(lián)（ SA）， IPSec 能夠區(qū)分對不同的數(shù)據(jù)流提供的安全服務(wù)。 安全關(guān)聯(lián)（ SA） SA 的概念是 IPSec 的基礎(chǔ)。 IPSec 使用的兩種協(xié)議（ AH 和 ESP）均使用 SA。 IKE 協(xié)議的一個主要功能就是 SA 的管理和維護。 SA 是通信對等方之間對某些要素的一種協(xié)定，例如 IPSec 協(xié)議、協(xié)議的操作模式（傳輸模式和隧道模式）、密碼算法、密鑰、用于保護它們之間數(shù)據(jù)流的密鑰的生存期。如果希望同時用 AH 和 ESP 來保護兩個對等方之間的數(shù)據(jù)流，則需要兩個 SA：一個用于 AH，一個用于 ESP。安全關(guān)聯(lián)是單向的，因此，輸出和輸入的數(shù)據(jù)流需要獨立的 SA。 對于 IPSec 數(shù)據(jù)流處理而言，有兩個必要的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫（ SPD）和安全關(guān)聯(lián)數(shù)據(jù)庫（ SAD）。 SPD 指定了用于到達或者源自特定主機或者網(wǎng)絡(luò)的數(shù)據(jù)流的策略。SA 包含活動的 SA 參數(shù)。對于 SPD 和 SAD，都需要單獨的輸入和輸出數(shù)據(jù)庫。 驗證頭（ AH） IP 協(xié)議本身缺乏安全性，設(shè)計驗證頭協(xié)議的目的是用來增加 IP 數(shù)據(jù)報的安全性。AH 協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務(wù)。然而， AH 不提供任何保密性服務(wù)：它不加密所保護的數(shù)據(jù)包。 AH 的作用是為 IP 數(shù)據(jù)流提供高強度的密碼認證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。 AH 使用消息驗證碼（ MAC）對 IP 進行認 證。MAC 是一種算法，它接收一個任意長度的消息和一個密鑰，生成一個固定長度的輸出，稱作消息摘要或指紋 [5]。 ① AH 操作模式 AH 有兩種工作模式：傳送模式和隧道模式。 9 在傳送模式中，保留原始 IP 報文頭作為新的 IP 報文的報文頭，驗證報文頭插入在IP 報文頭和原始的有效負載之間。協(xié)議字段中用來表示上層協(xié)議號的舊值被放入驗證報文頭的后續(xù)報文頭字段中。除了那些在前面提到的可變字段， ICV 值在整個新的 IP 報文上計算出來。