陳顯毅

[摘要]首先給出VPN的分類，接著討論了VPN的隧道、加解密、身份認(rèn)證等關(guān)鍵性技術(shù)，最后指出VPN的典型應(yīng)用。

[關(guān)鍵詞]VPN Internet 隧道

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0510122－01

一、引言

虛擬專用網(wǎng)（Virtual Private Network，VPN），是近年來發(fā)展起來的一種新技術(shù)，用以實現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)。VPN有別于傳統(tǒng)網(wǎng)絡(luò)，它并不實際存在，而是利用現(xiàn)有公共網(wǎng)絡(luò)，通過資源配置而成的虛擬網(wǎng)絡(luò)，是一種邏輯上的網(wǎng)絡(luò)。VPN只為特定的企業(yè)或用戶群體所專用，從VPN用戶角度來看，使用VPN與傳統(tǒng)專網(wǎng)沒有區(qū)別。

隨著Internet應(yīng)用的不斷擴(kuò)展，越來越多要求安全和保密的業(yè)務(wù)需要通過Internet實現(xiàn)，而Internet是一個開放的網(wǎng)絡(luò)環(huán)境，沒有任何安全措施。因此，VPN技術(shù)得到廣泛關(guān)注，各個國際組織、團(tuán)體都在研究和開發(fā)與VPN相關(guān)的理論、技術(shù)、協(xié)議、標(biāo)準(zhǔn)等。

二、VPN的分類

（一）按組網(wǎng)模型劃分

1．?dāng)M專用撥號網(wǎng)絡(luò)（VPDN）

VPDN（Virtual Private Dial Network）是指利用公共網(wǎng)絡(luò)（如ISDN和PSTN）的撥號功能及接入網(wǎng)來實現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型ISP、移動辦公人員提供接入服務(wù)。

2．?dāng)M專用LAN網(wǎng)段（VPLS）業(yè)務(wù)

VPLS（Virtual Private LAN Segment）借助IP公共網(wǎng)絡(luò)實現(xiàn)LAN之間通過虛擬專用網(wǎng)段互連，是局域網(wǎng)在IP公共網(wǎng)絡(luò)上的延伸。

3．?dāng)M專用路由網(wǎng)（VPRN）業(yè)務(wù)

VPRN（Virtual Private Routing Network）借助IP公共網(wǎng)絡(luò)實現(xiàn)總部、分支機(jī)構(gòu)和遠(yuǎn)端辦公室之間通過網(wǎng)絡(luò)管理虛擬路由器進(jìn)行互連。

（二）按實現(xiàn)層次劃分

（1）3VPN：包括BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN等。

（2）2VPN：包括Martini方式的MPLS L2VPN、Kompalla方式的MPLS L2VPN、SVC方式MPLS L2VPN、VPLS。

（3）PDN：包括L2TP、PPTP等。

三、VPN的關(guān)鍵技術(shù)

（一）隧道技術(shù)

隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)包重新封裝在新的包頭中發(fā)送，新的包頭提供了可路由信息，從而能夠通過互聯(lián)網(wǎng)傳遞。隧道協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。

1．第二層隧道協(xié)議。第二層隧道協(xié)議是將整個PPP幀封裝在內(nèi)部隧道中。第二層隧道協(xié)議主要的有：

PPTP（Point-to-Point Tunneling Protocol）：點到點隧道協(xié)議，該協(xié)議支持點到點PPP協(xié)議在IP網(wǎng)絡(luò)上的隧道封裝，PPTP作為一個呼叫控制和管理協(xié)議，使用一種增強(qiáng)的GRE技術(shù)為傳輸?shù)腜PP報文提供流控和擁塞控制的封裝服務(wù)。

L2F（Layer 2 Forwarding）：二層轉(zhuǎn)發(fā)協(xié)議，該協(xié)議支持對更高級協(xié)議鏈路層的隧道封裝，實現(xiàn)了撥號服務(wù)器和撥號協(xié)議連接在物理位置上的分離。

L2TP（Layer 2 Tunneling Protocol）：二層隧道協(xié)議，該協(xié)議結(jié)合了上述兩個協(xié)議的優(yōu)點，已經(jīng)成為標(biāo)準(zhǔn)RFC。L2TP既可用于實現(xiàn)撥號VPN業(yè)務(wù)，也可用于實現(xiàn)專線VPN業(yè)務(wù)。

2．第三層隧道協(xié)議。第三層隧道協(xié)議的起點與終點均在ISP內(nèi)，PPP會話終止在NAS處，隧道內(nèi)只攜帶第三層報文。第三層隧道協(xié)議主要有：

GRE（Generic Routing Encapsulation）協(xié)議：這是通用路由封裝協(xié)議，用于實現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。

IPSec（IP Security）協(xié)議：IPSec是一個協(xié)議簇，包括AH（Authent

ication Header）、ESP（Encapsulating Security Payload）、IKE（Int

Ernet Key Exchange）等協(xié)議。

（二）加解密技術(shù)

1．DES（Data Encryption Standard）。DES算法使用56位密鑰和密碼塊的方法，明文被分成64位大小的數(shù)據(jù)塊，對每個塊進(jìn)行19次變換，其中16次變換由56位的密鑰進(jìn)行加密，最后產(chǎn)生64位的密文塊。

2．3DES（Triple DES）。3DES是DES加密算法的一種模式，是DES的一個更安全的變形。它以DES為基本模塊，使用3個64位的密鑰對數(shù)據(jù)進(jìn)行三次加密。若三個密鑰互不相同，本質(zhì)上就相當(dāng)于用一個長為168位的密鑰進(jìn)行加密。若數(shù)據(jù)對安全性要求不那么高，兩個密鑰可以相同，此時密鑰的有效長度為112位。

3．IDEA（International Data Encryption Algorithm）。IDEA算法使用128位的密鑰，把明文分成64位的數(shù)據(jù)塊，每個數(shù)據(jù)塊又被分成4個16位的子分組，這4個子分組成為算法的每一輪輸入，總共經(jīng)過8輪迭代加密。在每一輪中，4個子分組、6個子密鑰之間需要進(jìn)行異或、相加、相乘操作。

4．RSA（Rivest, Shamir, and Adleman）。RSA是一種公鑰加密算法，它的安全性是依賴于大數(shù)的因子分解，但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價。RSA的缺點主要有：產(chǎn)生密鑰很麻煩，難以做到一次一密；分組長度太大，為保證安全性，大數(shù)至少要600 bits以上，使得運算代價很高，加密速度慢，比對稱密碼算法慢幾個數(shù)量級。因此，RSA適用于加密少量數(shù)據(jù)的場合。

（三）身份認(rèn)證技術(shù)

1．MD5（Message Digest Algorithm 5）。MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個32位分組組成，將這四個32位分組級聯(lián)后將生成一個128位散列值。

2．SHA（Secure Hash Algorithm）。SHA算法對長度不超過264二進(jìn)制位的消息，產(chǎn)生160位的消息摘要輸出。由于SHA的報文摘要比MD5的長，因此其安全性較高，但速度較慢。

3．HMAC（Hashed Message Authentication Code）。HMAC是一種利用對稱密鑰生成報文認(rèn)證碼的散列算法，可以提供數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證。HMAC使用現(xiàn)有的散列函數(shù)，如MD5或SHA-1。

（四）密鑰管理技術(shù)

密鑰管理是信息安全的核心技術(shù)之一，IATF定義的密鑰管理技術(shù)主要包括：適用于封閉網(wǎng)的KMI機(jī)制；適用于開放網(wǎng)的PKI機(jī)制；適用于專用網(wǎng)的SPK技術(shù)。

四、VPN典型應(yīng)用

（一）Intranet VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）

Intranet VPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)內(nèi)部各個LAN的安全互聯(lián)。傳統(tǒng)的LAN互聯(lián)采用專線方式，但實現(xiàn)費用昂貴?，F(xiàn)在可以在Internet上組建全球范圍內(nèi)的Intranet VPN，一方面利用Internet資源保證網(wǎng)絡(luò)的互通，另一方面利用隧道、加密和認(rèn)證等技術(shù)保證信息的安全傳輸。

Intranet VPN典型應(yīng)用于公司總部與各分支機(jī)構(gòu)之間的互聯(lián)；政府各部委與對應(yīng)下屬機(jī)構(gòu)間的互聯(lián)；學(xué)校各個校區(qū)間的互聯(lián)等等。

（二）Extranet VPN（擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)）

Extranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至供應(yīng)商、合作伙伴與客戶處，使不同企業(yè)間通過公網(wǎng)來構(gòu)筑VPN。Extranet VPN可以方便地提供接入控制和身份認(rèn)證，動態(tài)地提供企業(yè)業(yè)務(wù)和數(shù)據(jù)的訪問權(quán)限。

Extranet VPN典型應(yīng)用于企業(yè)B2B之間的安全訪問服務(wù)；企業(yè)與供應(yīng)商、客戶、相關(guān)團(tuán)體之間的互聯(lián)。

（三）Access VPN（遠(yuǎn)程訪問虛擬專網(wǎng)）

Access VPN向出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程辦公提供了通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立專有的網(wǎng)絡(luò)連接。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起的VPN連接，另一種是接入服務(wù)器發(fā)起的VPN連接。Access VPN典型應(yīng)用于企業(yè)提供B2C的安全訪問服務(wù)；企業(yè)內(nèi)部人員有移動或遠(yuǎn)程辦公的需求。

五、結(jié)束語

VPN利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，使企業(yè)以更低的成本連接遠(yuǎn)地辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴，極大地提高了網(wǎng)絡(luò)的資源利用率。同時，VPN可以在遠(yuǎn)端用戶、駐外機(jī)構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的安全連接，保證數(shù)據(jù)傳輸?shù)陌踩?，這對于實現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合具有特別重要的意義。