【正文】 接；可用于實(shí)現(xiàn)企業(yè)網(wǎng) 站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如 IPX 和 NetBEUI 進(jìn)行通信，但因特網(wǎng)只能處理 IP 流量。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包 內(nèi)所含的數(shù)據(jù)。VPN 克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由 VPN 封裝成 IP 包的形式，通過隧道在網(wǎng)上傳輸，如圖 11 所示： 緒 論 2 圖 11 VPN工作原理圖 源網(wǎng)絡(luò)的 VPN 隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的 VPN 隧道發(fā)起器進(jìn)行通信。大多數(shù)現(xiàn)有的 VPN 產(chǎn)品支持多種驗(yàn)證方式）。現(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純 IP 因特網(wǎng)上傳輸。 在目標(biāo)網(wǎng)絡(luò)這頭， VPN 隧道終結(jié)器收到包后去掉 IP 信息，然后根據(jù)達(dá)成一致的加密方案對包進(jìn)行解密，將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們在把隱藏的 IPX 包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、 安全 性、經(jīng)濟(jì)性、擴(kuò)展性等方面。 雖然 VPN 在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下 VPN 的各種實(shí)現(xiàn)方法都可以 應(yīng)用于每個(gè)公司。因此，在未來幾年里，客戶和廠 商很可能會使用 VPN，從而使電子商務(wù)重又獲得生機(jī)，畢竟全球化、信息化、電子化是大勢所趨。歸納起來，有以下幾種主要應(yīng)用領(lǐng)域。推而廣之，遠(yuǎn)程用戶可與任何一臺主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)遠(yuǎn)程VPN 訪問。不難證明，其他類型的 VPN 都是 Access VPN 的組合、延伸和擴(kuò)展。利用 VPN 組建的內(nèi)聯(lián)網(wǎng)也叫 Intra VPN。 （ 3） 組建外聯(lián)網(wǎng) 使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng) 用價(jià)值。 Extra VPN 是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。 VPN 的設(shè)計(jì)目標(biāo) 在實(shí)際應(yīng)用中，一般來說一個(gè)高效、成功的 VPN 應(yīng)具備以下幾個(gè)特點(diǎn)： （ 1） 安全保障 VPN 的應(yīng)用領(lǐng)域和目標(biāo) 4 雖然實(shí)現(xiàn) VPN 的技術(shù)和方式很多，但所有的 VPN 均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于 VPN 直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其安全問題也更為突出。 Extra VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì) 量保證的要求差別較大。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高 的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。 （ 3） 可擴(kuò)充性和靈活性 VPN 必須能夠支持通過 Intra 和 Extra 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。在 VPN 管理方面， VPN要求企業(yè)將其網(wǎng) 絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。所以，一個(gè)完善的 VPN 管理系統(tǒng)是必不可少的。事實(shí)上， VPN 管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、 QoS管理等內(nèi)容。這里協(xié)議 X 被稱為被封裝協(xié)議，協(xié)議 Y 被稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（（協(xié)議 Y）隧道頭（協(xié)議 X））。 隧道解決了專網(wǎng)與公網(wǎng)的兼容問題，其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的 IP地址以及其它協(xié)議信息。 隧道是由隧道協(xié)議形成的。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的 IP 數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。 PPTP 和 L2TP 協(xié)議主要用于遠(yuǎn)程訪問虛擬專用網(wǎng)。無論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。 （ 2）加解密認(rèn)證技術(shù) 加解密技術(shù)是 VPN 的另一核心技術(shù)。單鑰密碼的特點(diǎn)是加密和解密都使用同一個(gè)密鑰，因此，單鑰密碼體制的安全性就是密鑰的安全。最有影響的單鑰密碼就是美國國家標(biāo)準(zhǔn)局頒布的 DES 算法（ 56 比特密鑰）。雙鑰密碼體制下，加密密鑰與解密密鑰不同，加密密鑰公開，而解密密 實(shí)現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 6 鑰保密，相比單鑰體制，其算法復(fù)雜且加密速度慢。認(rèn)證技術(shù)可以防止來自第三方的主動(dòng)攻擊。用戶身份認(rèn)證最常用的技術(shù)是用戶名和密碼方式。 目前主要有的認(rèn)證方式有：簡單口令如質(zhì)詢握手驗(yàn)證協(xié)議 CHAP 和密碼身份驗(yàn)證協(xié)議 PAP 等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和 數(shù)字證書等。 （ 3）密鑰管理技術(shù) 密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。 Inter 密鑰交換協(xié)議 IKE是 Inter 安全關(guān)聯(lián)和密鑰管理協(xié)議 ISAKMP 語言來定義密鑰的交換，綜合了Oakley 和 SKEME 的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗(yàn)證加密參數(shù)。 SKIP 主要是利用 DiffieHellman 的演算 法則，在網(wǎng)絡(luò)上傳輸密鑰。 IKE 協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級身份認(rèn)證，但同時(shí)卻只能支持有限的用戶級身份認(rèn)證，并且不支持非對稱的用戶認(rèn)證。由 VPN 服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的訪問權(quán)限， 以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問控制，以實(shí)現(xiàn)對信息資源的最大限度的保護(hù)。選擇性訪問控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。 VPN 的主要安全協(xié)議 在實(shí)施信息安全的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù)，通訊的雙方首先進(jìn)行身份認(rèn)證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將 實(shí)現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 7 數(shù)據(jù)加密后發(fā)出，接受端先對數(shù)據(jù)進(jìn)行完整性檢查，然后解密，使用。由此可見，整個(gè)過程必須在雙方共同遵守的規(guī)范 ( 協(xié)議 ) 下進(jìn)行。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有 PPTP , L2TP 等 。另外， SOCKSv5 協(xié)議則在 TCP 層實(shí)現(xiàn)數(shù)據(jù)安全。 PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、 IPX、 AppleTalk 或 NetBEUI的數(shù)據(jù)包封裝在 PPP 包中，再將整個(gè)報(bào)文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報(bào)文或幀中繼或 ATM 中進(jìn)行傳輸。 PPTP 的加密方法采用 Microsoft 點(diǎn)對點(diǎn)加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。 1997年底， Microsoft 和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。還繼承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多個(gè)物理通道捆綁為單一邏輯信道。 L2TP隧道在兩端的 VPN 服務(wù)器之間采用口令握手協(xié)議 CHAP 來驗(yàn)證對方的身份， L2TP 受到了許多大公司的支持。 PPTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。 PPTP 和 L2TP 限制同時(shí)最多只能連接 255 個(gè)用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強(qiáng)加密和認(rèn)證支持。 IPSec 協(xié)議 IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了 眾多廠商的關(guān)注和支持。 IPSec由 IP 認(rèn)證頭 AH(Authentication Header)、 IP 安全載荷封載 ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。 IPSec 適應(yīng)向 IPv6遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。即 : ? 認(rèn)證：用于對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。 ? 加密：加密 IP 地址和數(shù)據(jù)以保證私有性。 在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀 中 ,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。預(yù)計(jì)它今后將成為虛擬專用網(wǎng)的主要標(biāo) 準(zhǔn)。在 1997 年底， IETF 安全工作組完成了 IPSec 的擴(kuò)展， 在 IPSec 協(xié)議中加上ISAKMP(Inter Security Association and Kay Management Protocol)協(xié)議，其中還包括一個(gè)密鑰分配協(xié)議 Oakley。 IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易 (SET:Secure Electronic Transaction)協(xié)議和 SSL（ Secure Socket layer）協(xié)議。 實(shí)例分析 9 4 實(shí)例分析 VPN 的具體實(shí)現(xiàn)方案有很多，實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種主流的方案。這個(gè)實(shí)驗(yàn)在理論的指導(dǎo)