【文章內(nèi)容簡介】 輸過程中的安全性，不被非法的用戶竊取或篡改，一般都在傳輸之前進(jìn)行加密，在接收方再對(duì)其進(jìn)行解密。密碼技術(shù)是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)，以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為單鑰密碼（又稱為對(duì)稱密碼或私鑰密碼）和雙鑰密碼（又稱為非對(duì)稱密碼或公鑰密碼） 。單鑰密碼的特點(diǎn)是加密和解密都使用同一個(gè)密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加解密速度快。最有影響的單鑰密碼就是美國國家標(biāo)準(zhǔn)局頒布的 DES 算法（56 比特密鑰） 。而 3DES（112 比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開而解密密鑰保密，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的 VPN 大都采用單鑰的DES 和 3DES 作為加解密的主要技術(shù)，而以公鑰和單鑰的混合加密體制（即加解密采用單鑰密碼，而密鑰傳送采用雙要密碼）來進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的保密功能。認(rèn)證技術(shù)可以防止來自第三方的主動(dòng)攻擊。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前，先核對(duì)證書，如果準(zhǔn)確無誤，雙方才開始交換數(shù)據(jù)。用戶身份認(rèn)證最常用的技術(shù)是用戶名和密碼。而設(shè)備認(rèn)證則需要依賴由 CA 所頒發(fā)的電子證書。目前主要有的認(rèn)證方式有：簡單口令如質(zhì)詢握手驗(yàn)證協(xié)議 CHAP 和密碼身份驗(yàn)證協(xié)議 PAP 等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和 數(shù)字證書等。簡單口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡單、技術(shù)成熟、互操作性好，且支持動(dòng)態(tài)地加載 VPN 設(shè)備，可擴(kuò)展性強(qiáng)。 （3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括 ISAKMP、SKIP、MKMP 等。Inter 密鑰交換協(xié)議 IKE是 Inter 安全關(guān)聯(lián)和密鑰管理協(xié)議 ISAKMP 語言來定義密鑰的交換，綜合 Oakley和 SKEME 的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗(yàn)證加密參數(shù)。IKE 交換的最終目的是提供一個(gè)通過驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP 主要利用 DiffieHellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。7IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE 協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級(jí)身份驗(yàn)證，但同時(shí)卻只能支持有限的用戶級(jí)身份驗(yàn)證，并且不支持非對(duì)稱的用戶認(rèn)證。 （4）訪問控制技術(shù)虛擬專用網(wǎng)的基本功能就是不同的用戶對(duì)不同的主機(jī)或服務(wù)器的訪問權(quán)限是不一樣的。由 VPN 服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定資源的訪問權(quán)限，以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問控制，以實(shí)現(xiàn)對(duì)信息資源的最大限度的保護(hù)。訪問控制策略可以細(xì)分為選擇性訪問控制和強(qiáng)制性訪問控制。選擇性訪問控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問控制是基于被訪問信息的敏感性。 隧道中的源和目標(biāo) IP 地址隧道是封裝、路由與解封裝的整個(gè)過程。隧道將原始數(shù)據(jù)包隱藏（或封裝）在新的數(shù)據(jù)包內(nèi)部。該新的數(shù)據(jù)包可能會(huì)有新的尋址與路由信息，從而使其能夠通過網(wǎng)絡(luò)傳輸。隧道與數(shù)據(jù)保密性結(jié)合使用時(shí)，在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)（以及原始的源和目標(biāo)） 。封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸。封裝的數(shù)據(jù)包到達(dá)目的地后，會(huì)刪除封裝，原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到目的地。隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑。對(duì)原始的源和目的端，隧道是不可見的，而只能看到網(wǎng)絡(luò)路徑中的點(diǎn)對(duì)點(diǎn)連接。連接雙方并不關(guān)心隧道起點(diǎn)和終點(diǎn)之間的任何路由器、交換機(jī)、代理服務(wù)器或其他安全網(wǎng)關(guān)。將隧道和數(shù)據(jù)保密性結(jié)合使用時(shí)，可用于提供 VPN。通過上述說明我們可以發(fā)現(xiàn)，在 VPN 網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對(duì)于 VPN 隧道通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN 目標(biāo)地址）和遠(yuǎn)程 VPN 網(wǎng)關(guān)地址。根據(jù) VPN 目標(biāo)地址，VPN 網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包需要進(jìn)行 VPN 處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程 VPN 網(wǎng)關(guān)地址則指定了處理后的 VPN 數(shù)據(jù)包發(fā)送的目標(biāo)地址，即 VPN 隧道的另一端 VPN 網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行 VPN 通訊時(shí)，隧道兩端的 VPN 網(wǎng)關(guān)都必須知道 VPN目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端 VPN 網(wǎng)關(guān)地址。8 VPN 的主要安全協(xié)議在實(shí)施信息安全的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù)，通訊的雙方首先進(jìn)行身份驗(yàn)證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接受端先對(duì)數(shù)據(jù)進(jìn)行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個(gè)過程必須在雙方共同遵守的規(guī)范（協(xié)議）下進(jìn)行。VPN 區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝，傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層數(shù)據(jù)協(xié)議，常用的有 PPTP、L2TP 等；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，IPSec。另外，SOCKSv5 協(xié)議則在 TCP 層實(shí)現(xiàn)數(shù)據(jù)安全。 PPTP/L2TP1996 年，Microsoft 和 Ascend 等在 PPTP 協(xié)議的基礎(chǔ)上開發(fā)了 PPTP 它集成于Windows NT 中，Windows NT WORKSTATION 和 Windows 也提供相應(yīng)的客戶端軟件。PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP、IPX、AppleTalk 或 NetBEUI 的數(shù)據(jù)包封裝在 PPP 包中，再將整個(gè)報(bào)文封裝在 PPTP 隧道協(xié)議包中，最后，在嵌入 IP 報(bào)文或幀中繼或 ATM 中進(jìn)行傳輸 PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP 的加密方法采用 Microsoft 點(diǎn)對(duì)點(diǎn)加密（MMPE: Microsoft PointtoPoint）算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。1996 年，Cisco 提出 L2F（Layer 2 Forwarding）隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco 的路由器和撥號(hào)訪問服務(wù)器。1997 年底，Microsoft 和Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實(shí)現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制，支持 MP（Multilink Protocol）,把多個(gè)物理通道捆綁為單一邏輯信道。L2TP 使用 PPP 可靠性發(fā)送（RFC 1663）實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP 隧道在兩端的 VPN 服務(wù)器之間采用口令握手協(xié)議 CHAP 來驗(yàn)證對(duì)方身份。L2TP 受到了許多大公司的支持。PPTP/L2TP 協(xié)議的優(yōu)點(diǎn)：PPTP/L2TP 對(duì)用微軟操作系統(tǒng)的用戶來說很方便，因?yàn)?