【文章內(nèi)容簡(jiǎn)介】 在 Inter 上， VPN 使用者可以控制自己與其它使用者的聯(lián)系，同時(shí)支持撥號(hào)的用戶。 所以我們說的虛擬專用網(wǎng)一般指的是建筑在 Inter 上能夠自我管理的專用網(wǎng)絡(luò)，而不是 Frame Relay 或 ATM 等提供虛擬固定線路（ PVC）服務(wù)的網(wǎng)絡(luò)。 VPN 的隧道技術(shù) 目前 VPN 主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（ Tunneling）、加解密技術(shù)（ Encryption amp。 Decryption）、密鑰管理技術(shù)（ Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication） [2]。 隧道技術(shù)是 VPN 的基本技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、 PPTP、 L2TP 等。 L2TP 協(xié)議是目前 IETF 的標(biāo)準(zhǔn)，由 IETF 融合 PPTP 與 L2F 而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有 VTP、 IPSec 等。 IPSec（ IP Security）是由一組 RFC 文 6 檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 VPN 采用的是實(shí)時(shí)加解密技術(shù)， 實(shí)時(shí)加解密技術(shù)的最大特點(diǎn)是授權(quán)用戶可以直接使用加密文件而不是象傳統(tǒng)加密技術(shù)那樣 “ 先解密，后使用，修改完成再加密 ” 。實(shí)時(shí)加解密技術(shù)必須和操作系統(tǒng)融為一體，因此技術(shù)要求比較高。實(shí)時(shí)加 /解密技術(shù)的加密和解密過程對(duì)操作者來說是隱含的，授權(quán)用戶在使用加密文件時(shí)和不加密的文件的操作完全相同，操作者完全可以不理會(huì)所操作的文件是否經(jīng)過加密處理傳統(tǒng)加密技術(shù)在操作中存在長(zhǎng)時(shí)間的明文過程，由于加密是靠編碼成密文來達(dá)到保密的目的，一旦保密對(duì)象還原成明文，就不能再對(duì)其進(jìn)行保護(hù)了。這就要求使用者在這個(gè)階段要有足 夠的保密意識(shí)，在使用這些加密的對(duì)象時(shí)必須保證絕對(duì)的安全。但事與愿違，使用這些加密文檔的最終用戶往往都不可能具備很強(qiáng)的保密技術(shù)和意識(shí)，絕大多數(shù)泄密事故都是在這個(gè)階段產(chǎn)生的。采用實(shí)時(shí)加解密技術(shù)的系統(tǒng)由于沒有了明文過程，這個(gè)問題也就不存在了。同時(shí)對(duì)用戶也沒有任何保密技術(shù)上的要求，所有與保密相關(guān)的工作細(xì)節(jié)由系統(tǒng)自身保證。 密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 SKIP 主要是利用 DiffieHellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 隧道協(xié)議 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（ PPTP） 下面簡(jiǎn)單介紹一下 PPTP 網(wǎng)絡(luò)協(xié)議。應(yīng)用 PPTP 所構(gòu)建的典型 VPN 服務(wù)的結(jié)構(gòu)如圖 3所示： 接 入 服 務(wù) 器 P P T P 服 務(wù) 器遠(yuǎn) 程 用 戶P A CIn t e r n e tP P T P 隧 道P N SP S T N / IS D N局 域 網(wǎng) 圖 2 應(yīng)用 PPTP所構(gòu)建的典型 VPN圖 PPTP 可看作是 PPP 協(xié)議的一種擴(kuò)展， PPTP 對(duì) PPP 協(xié)議本身 并沒有做任何修改，只 7 是使用 PPP 建立撥號(hào)連接。 PPTP 使用 PPP 協(xié)議的 PAP 或 CHAP（ MSCHAP）進(jìn)行認(rèn)證，另外也支持 Microsoft 公司的點(diǎn)到點(diǎn)加密技術(shù)（ MPPE）。它提供了一種在 Inter 上建立多協(xié)議的安全虛擬專用網(wǎng)（ VPN）的通信方式。遠(yuǎn)端用戶能夠透過任何支持 PPTP 的 ISP訪問公 司的專用網(wǎng)絡(luò) [3]。 在上圖中， PAC 表示 PPTP 訪問集中器（ PPTP Access Concentrator），是具有 PPP端系統(tǒng)和 PPTP協(xié)議處理能力的設(shè)備，一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器 NAS（ Network Access Server） ,它用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)； PNS 表示 PPTP 網(wǎng)絡(luò)服務(wù)器（ PPTP Network Server）。 二層轉(zhuǎn)發(fā)協(xié)議 （ L2F） L2F（ Layer Two Forwarding protocol）是由 Cisco 公司提出的可以在多種介質(zhì)，如 ATM、幀中繼、 IP 網(wǎng)上建立多協(xié)議的安全虛擬專用網(wǎng)的通信。 它將鏈路層的協(xié)議，如HDLC,PPP 等封裝起來傳送。因此，網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。 遠(yuǎn)端用戶能通過任何撥號(hào)方式接入 Inter，首先按常規(guī)方式撥到 ISP 的接入服務(wù)器（ NAS），建立 PPP 連接； NAS 根據(jù)用戶名等信息，建立 到 L2F 服務(wù)器的第二重連接。在這種情況下，隧道的配置和建立對(duì)用戶是完全透明的。 L2F 允許撥號(hào)接入服務(wù)器發(fā)送 PPP 幀傳輸并通過 Inter 連接到達(dá) L2F 服務(wù)器。 L2F 服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)絡(luò)中。 二層隧道協(xié)議（ L2TP） L2TP（ Layer Two Tunneling Protocol）結(jié)合了 L2F 和 PPTP 的優(yōu)點(diǎn)，允許用戶從客戶端或訪問服務(wù)器端建立 VPN 連接。 L2TP 是把鏈路層 的 PPP 幀裝入公用網(wǎng)絡(luò)設(shè)施，如IP、 ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。 與 PPTP 和 L2F 相比， L2TP 的優(yōu)點(diǎn)在于提供了差錯(cuò)和流量控制； L2TP 使用 UDP 封裝和傳送 PPP 幀。面向無連接的 UDP 無法保證網(wǎng)絡(luò)數(shù)據(jù)的可靠傳輸， L2TP 使用 Nr（下一個(gè)希望接受的信息序列號(hào)）和 Ns（當(dāng)前發(fā)送的數(shù)據(jù)包序列號(hào)）字段進(jìn)行流量和差錯(cuò)控制。雙方通過序列號(hào)來確定數(shù)據(jù)包的順序和緩沖區(qū)，一旦丟失數(shù)據(jù)，根據(jù)序列號(hào)可以進(jìn)行重發(fā)。 作為 PPP 的擴(kuò)展協(xié)議， L2TP 支持標(biāo)準(zhǔn)的安全特性 CHAP 和 PAP，可以進(jìn)行用戶身份認(rèn)證。 L2TP 定義了 控制包的加密傳輸，每個(gè)被建立的隧道分別生成一個(gè)獨(dú)一無二的隨機(jī)鑰匙，以便對(duì)付欺騙性的攻擊，但是它對(duì)傳輸中的數(shù)據(jù)并不加密。 L2TP 協(xié)議將很快地成為標(biāo)準(zhǔn)的 RFC 協(xié)議，有關(guān) L2TP 的標(biāo)準(zhǔn) MIB 也將很快地得到制定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理 [4]。 IP 安全（ IPSec） 第三層網(wǎng)絡(luò)層是能夠提供終端到終端網(wǎng)絡(luò)連接能力的最低一層，但是， IPv4 沒有內(nèi)建的安全措施，偽造 IP 地址，篡改 IP 數(shù)據(jù)報(bào)的內(nèi)容，重放內(nèi)容，檢測(cè)傳輸中的數(shù)據(jù)包的內(nèi)容都是比較容易的。因此附加的協(xié)議和處理過 程是非常必要的。 IPSec 是一個(gè)協(xié)議集，它定義了在 IP 協(xié)議中提供安全服務(wù)的結(jié)構(gòu)和詳細(xì)說明。 IPSec 是設(shè)計(jì)用來為 IPv4 8 以及 IPv6 提供能夠共同使用的、強(qiáng)壯的基于密碼學(xué)的安全性。 IPSec(1P Security)產(chǎn)生于 IPv6 的制定之中，用于提供 IP 層的安全性。由于所有支持 TCP／ IP 協(xié)議的主機(jī)進(jìn)行通信時(shí)，都要經(jīng)過 IP 層的處理，所以提供了 IP 層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于 IPv4 的應(yīng)用仍然很廣泛，所以后來在 IPSec 的制定中也增添了對(duì) IPv4 的支持 IPSec 定義了一系列的安全服 務(wù)，包括訪問控制、身份驗(yàn)證以及數(shù)據(jù)機(jī)密性。這些服務(wù)通過使用兩個(gè)安全協(xié)議 AH 和 ESP，以及通過使用加密密鑰管理過程和協(xié)議來實(shí)現(xiàn)。IPSec 協(xié)議的選擇以及它們被使用的方法，允許安全服務(wù)滿足不同的安全需求。 AH 協(xié)議在 IP 報(bào)文頭之后放置一個(gè)新的報(bào)文頭。 AH 提供數(shù)據(jù)起源驗(yàn)證和數(shù)據(jù)完整性驗(yàn)證（這種組合通常被稱為身份驗(yàn)證），以及可選的抗重放服務(wù)。當(dāng)需要身份驗(yàn)證而不需要機(jī)密性的時(shí)候，該協(xié)議是適當(dāng)?shù)摹? ESP 為 IP 通信提供機(jī)密性，同時(shí)也提供 AH 提供的身份驗(yàn)證。這些服務(wù)是可選的，但如果使用 ESP 就必須選擇其中之一。 IKE 協(xié) 議用于協(xié)商 AH 和 ESP 協(xié)議所使用的密碼算法，并將算法所需的必備密鑰放在合適的位置。 IPSec 所使用的協(xié)議被設(shè)計(jì)成與算法無關(guān)的。算法的選擇在安全策略數(shù)據(jù)庫(kù)（ SPD）中指定。通過使用安全關(guān)聯(lián)（ SA）， IPSec 能夠區(qū)分對(duì)不同的數(shù)據(jù)流提供的安全服務(wù)。 安全關(guān)聯(lián)（ SA） SA 的概念是 IPSec 的基礎(chǔ)。 IPSec 使用的兩種協(xié)議（ AH 和 ESP）均使用 SA。 IKE 協(xié)議的一個(gè)主要功能就是 SA 的管理和維護(hù)。 SA 是通信對(duì)等方之間對(duì)某些要素的一種協(xié)定，例如 IPSec 協(xié)議、協(xié)議的操作模式（傳輸模式和隧道模式）、密碼算法、密鑰、用于保護(hù)它們之間數(shù)據(jù)流的密鑰的生存期。如果希望同時(shí)用 AH 和 ESP 來保護(hù)兩個(gè)對(duì)等方之間的數(shù)據(jù)流，則需要兩個(gè) SA：一個(gè)用于 AH，一個(gè)用于 ESP。安全關(guān)聯(lián)是單向的，因此，輸出和輸入的數(shù)據(jù)流需要獨(dú)立的 SA。 對(duì)于 IPSec 數(shù)據(jù)流處理而言，有兩個(gè)必要的數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)（ SPD）和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（ SAD）。 SPD 指定了用于到達(dá)或者源自特定主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)流的策略。SA 包含活動(dòng)的 SA 參數(shù)。對(duì)于 SPD 和 SAD，都需要單獨(dú)的輸入和輸出數(shù)據(jù)庫(kù)。 驗(yàn)證頭（ AH） IP 協(xié)議本身缺乏安全性，設(shè)計(jì)驗(yàn)證頭協(xié)議的目的是用來增加 IP 數(shù)據(jù)報(bào)的安全性。AH 協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)。然而， AH 不提供任何保密性服務(wù)：它不加密所保護(hù)的數(shù)據(jù)包。 AH 的作用是為 IP 數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。 AH 使用消息驗(yàn)證碼（ MAC）對(duì) IP 進(jìn)行認(rèn) 證。MAC 是一種算法，它接收一個(gè)任意長(zhǎng)度的消息和一個(gè)密鑰，生成一個(gè)固定長(zhǎng)度的輸出，稱作消息摘要或指紋 [5]。 ① AH 操作模式 AH 有兩種工作模式：傳送模式和隧道模式。 9 在傳送模式中，保留原始 IP 報(bào)文頭作為新的 IP 報(bào)文的報(bào)文頭，驗(yàn)證報(bào)文頭插入在IP 報(bào)文頭和原始的有效負(fù)載之間。協(xié)議字段中用來表示上層協(xié)議號(hào)的舊值被放入驗(yàn)證報(bào)文頭的后續(xù)報(bào)文頭字段中。除了那些在前面提到的可變字段， ICV 值在整個(gè)新的 IP 報(bào)文上計(jì)算出來。