朱梅　樊中奎

摘要：VPN（虛擬專用網(wǎng)）技術(shù)是采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公共網(wǎng)絡(luò)上構(gòu)建企業(yè)網(wǎng)絡(luò)的技術(shù)。該文首先對(duì)VPN的基本原理進(jìn)行說(shuō)明，結(jié)合TCP/IP協(xié)議、加密技術(shù)等與VPN相關(guān)基礎(chǔ)知識(shí)較詳細(xì)論述了VPN通道技術(shù)以及IPsec協(xié)議和VNP的兩個(gè)主要協(xié)議： 認(rèn)證頭協(xié)議（AH）和封裝安全載荷協(xié)議（LZTP）。最后展示了VPN的不同應(yīng)用場(chǎng)景。

關(guān)鍵詞：VPN；隧道；安全傳輸

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）27-0042-03

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來(lái)越多的組織或單位的員工需要隨時(shí)隨地連接到總部的網(wǎng)絡(luò)，很多跨國(guó)企業(yè)在全球建立多個(gè)分支機(jī)構(gòu)，同時(shí)企業(yè)也要使用網(wǎng)絡(luò)與合作伙伴或客戶之間進(jìn)行動(dòng)態(tài)的聯(lián)系，這些都會(huì)給企業(yè)帶來(lái)了網(wǎng)絡(luò)的管理和安全性問(wèn)題[1]。VPN（visual Private Network）技術(shù)就是在這種形勢(shì)下應(yīng)運(yùn)而生，它使企業(yè)能夠在公共網(wǎng)絡(luò)上創(chuàng)建自己的專用網(wǎng)絡(luò)，使得企業(yè)員工，分支機(jī)構(gòu)，以及合作伙伴之間可以進(jìn)行安全保密的通信。VPN已經(jīng)是當(dāng)前網(wǎng)絡(luò)中的一項(xiàng)重要的應(yīng)用。

1 VPN的工作原理

VPN就是在當(dāng)前現(xiàn)有網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上通過(guò)附加相關(guān)的協(xié)議使通信雙方可以在公共網(wǎng)絡(luò)上進(jìn)行通信時(shí)能夠?qū)嵤?shù)據(jù)機(jī)密性保護(hù)，數(shù)據(jù)完整性保護(hù)，數(shù)據(jù)源身份認(rèn)證，數(shù)據(jù)重放避免的方法進(jìn)行數(shù)據(jù)保護(hù)的技術(shù)。

1.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)

數(shù)據(jù)泄漏風(fēng)險(xiǎn)是指網(wǎng)絡(luò)通信過(guò)程中撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)包括：攻擊者在撥入鏈路上實(shí)施監(jiān)聽(tīng)； ISP查看用戶的數(shù)據(jù)；Internet上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。信息在到達(dá)請(qǐng)求或返回信息服務(wù)點(diǎn)之前穿越多個(gè)路由器，明文傳輸?shù)臄?shù)據(jù)很容易在路由器上被查看和修改[2]。竊聽(tīng)者可以在其中任一段網(wǎng)絡(luò)鏈路上監(jiān)聽(tīng)數(shù)據(jù)，逐段加密不能防止報(bào)文在路由器上被抓取，惡意的ISP（網(wǎng)絡(luò)提供商）經(jīng)常利用修改通道的終點(diǎn)的方法讓信息轉(zhuǎn)到一個(gè)存在風(fēng)險(xiǎn)的網(wǎng)關(guān)。安全在網(wǎng)關(guān)中的風(fēng)險(xiǎn)：數(shù)據(jù)在安全網(wǎng)關(guān)中是沒(méi)有經(jīng)過(guò)加密的，所以網(wǎng)關(guān)管理員可以隨意查看機(jī)密數(shù)據(jù)，網(wǎng)關(guān)本身也會(huì)存在漏洞，一旦被黑客攻破，流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)將面臨風(fēng)險(xiǎn)。單位內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)：內(nèi)部網(wǎng)中可能存在被內(nèi)部惡意人員或者惡意程序控制的主機(jī)、路由器等，內(nèi)部員工可以獲得企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文。

數(shù)據(jù)源身份偽造：發(fā)送信息者偽造別人的身份進(jìn)行信息的傳送，而接收者不能明確的確定發(fā)送者的身份，從而給接收者帶來(lái)不必要的損失。在公司企業(yè)中如果接收到偽造公司領(lǐng)導(dǎo)身份發(fā)送重要的決策指令將會(huì)給公司和企業(yè)帶來(lái)重大的損失。

信息篡改，截?cái)啵寒?dāng)黑客通過(guò)其他相關(guān)手段掌握了信息的傳遞方式，以及信息格式等相應(yīng)的規(guī)律后，通過(guò)各種方法，將網(wǎng)絡(luò)上傳送的報(bào)文信息在中間路由器上被修改，然后再發(fā)向目的地，這種方式是惡意者常使用的方法 [9]。

重放攻擊：重放攻擊又稱重播攻擊、回放攻擊是計(jì)算機(jī)世界黑客常用的攻擊方式，所謂重放攻擊就是惡意人員發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，讓系統(tǒng)重新執(zhí)行相關(guān)操作來(lái)進(jìn)行惡意活的過(guò)程，這種方式主要用來(lái)身份認(rèn)證階段。

1.2 VPN協(xié)議介紹

采用VPN技術(shù)，通過(guò)使用VPN服務(wù)器可以通暢的鏈接單組或組織內(nèi)部網(wǎng)，同時(shí)又能保證信息的安全保密。當(dāng)前直接使用路由器可以很容易實(shí)現(xiàn)不同主機(jī)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)特別用途的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器進(jìn)行網(wǎng)絡(luò)信息的管控，只有符合單位身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)信息的權(quán)限。此外，VPN服務(wù)器可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，部門內(nèi)部的局域網(wǎng)對(duì)其他用戶來(lái)說(shuō)是不可見(jiàn)的，從而確保數(shù)據(jù)的安全性。

常用的VPN協(xié)議有：L2F（Layer 2 Forwarding Protocol），是由思科系統(tǒng)公司開(kāi)發(fā)的，創(chuàng)建在互聯(lián)網(wǎng)上的虛擬專用網(wǎng)絡(luò)連接的隧道協(xié)議。L2F協(xié)議本身并不提供加密或保密；它依賴于協(xié)議被傳輸以提供保密，L2F是專為隧道點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）通信[3]。L2TP（Layer Two Tunneling Protocol，第二層隧道協(xié)議）是一種虛擬隧道協(xié)議，是一種虛擬專用網(wǎng)的協(xié)議。L2TP協(xié)議本身不具有加密的功能 ，因此必須跟其他協(xié)議配和使用才能完成保密通信的工作。與L2TP協(xié)議搭配的加密協(xié)議是IPsec，通常稱為L(zhǎng)2TP/IPsec。點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point to Point Tunneling Protocol）是實(shí)現(xiàn)虛擬專用網(wǎng)（VPN）的方式之一，PPTP使用傳輸控制協(xié)議（TCP）創(chuàng)建控制通道來(lái)發(fā)送控制命令，以及利用通用路由封裝（GRE）通道來(lái)封裝點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）數(shù)據(jù)包以發(fā)送數(shù)據(jù)，這個(gè)協(xié)議最早由微軟等廠商主導(dǎo)開(kāi)發(fā)，但因?yàn)樗募用芊绞饺菀妆黄平?，微軟已?jīng)不再建議使用這個(gè)協(xié)議。

1.3 VPN隧道技術(shù)

隧道技術(shù)是一種在現(xiàn)在網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上，通過(guò)在現(xiàn)有報(bào)文中增加相關(guān)的內(nèi)容，讓帶有這樣信息的報(bào)文在公共的網(wǎng)絡(luò)中進(jìn)行安全傳輸。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。這些包含有VPN相關(guān)協(xié)議的幀或包封裝到新帶有路由信息的包頭中，從而使封裝的負(fù)載數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)絡(luò)傳遞。

經(jīng)過(guò)封裝的數(shù)據(jù)包在網(wǎng)絡(luò)上的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行傳輸，這段公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道[16]。一旦到達(dá)接收數(shù)據(jù)的網(wǎng)絡(luò)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)的本質(zhì)就是數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過(guò)程如圖1所示。

PPP（Point to Point Protocol）協(xié)議隧道技術(shù)建立過(guò)程：

階段1：創(chuàng)建PPP鏈路

PPP使用鏈路控制協(xié)議（LCP）進(jìn)行物理鏈路的鏈接，鏈路創(chuàng)建的過(guò)程中首先是選擇通信的方式；通信雙方的驗(yàn)證協(xié)議；通信雙方的數(shù)據(jù)壓縮或加密方式。

階段2：用戶驗(yàn)證

這此階段客戶端將自己的身份信息發(fā)送給你遠(yuǎn)端接入服務(wù)器，這個(gè)過(guò)程是以安全的方式進(jìn)行的避免信息的泄露。這個(gè)過(guò)程通常使用包括口令驗(yàn)證協(xié)議（PAP），挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）和微軟挑戰(zhàn)握手驗(yàn)證協(xié)議（MSCHAP）。

階段3：PPP回叫控制

回叫控制階段是PPP中的一個(gè)可選的階段。當(dāng)驗(yàn)證完成后遠(yuǎn)程客戶和網(wǎng)絡(luò)訪問(wèn)服務(wù)器斷開(kāi)，然后由網(wǎng)絡(luò)服務(wù)器使用特點(diǎn)的電話號(hào)碼進(jìn)行回叫。這樣能夠?qū)h(yuǎn)程客戶身份進(jìn)行重新確認(rèn)，有效增加了通信的安全性。

階段4：調(diào)用網(wǎng)絡(luò)層協(xié)議

在上面階段完成后，在數(shù)據(jù)進(jìn)行傳輸以前要完成網(wǎng)絡(luò)層協(xié)議的調(diào)用，當(dāng)前網(wǎng)絡(luò)層的一般為IP協(xié)議，此時(shí)IP控制協(xié)議就會(huì)為用戶分配動(dòng)態(tài)地址。在微軟的PPP方案中還會(huì)調(diào)用壓縮控制協(xié)議和數(shù)據(jù)加密協(xié)議。

階段5：數(shù)據(jù)傳輸階段

在此階段PPP就開(kāi)始在連接對(duì)等雙方之間數(shù)據(jù)轉(zhuǎn)發(fā)。每個(gè)被傳送的數(shù)據(jù)包都被封裝在PPP包頭內(nèi)，該包頭將會(huì)在到達(dá)接收方后被去除。如果選擇使用數(shù)據(jù)壓縮并且完成了協(xié)商，數(shù)據(jù)將會(huì)在被傳送之前進(jìn)行壓縮。同樣如果選擇了數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)將會(huì)在傳送之前進(jìn)行加密。

1.4 IPSec隧道數(shù)據(jù)傳輸過(guò)程

IPSec是網(wǎng)絡(luò)層的協(xié)議標(biāo)準(zhǔn)，主要負(fù)責(zé)數(shù)據(jù)的安全傳輸是當(dāng)前使用較多的網(wǎng)絡(luò)協(xié)議。IPsec對(duì)規(guī)定了IP數(shù)據(jù)流的加密機(jī)制，并且制定了隧道模式的數(shù)據(jù)包格式，使用IPsec協(xié)議隧道一般稱為IPSEC隧道。由一個(gè)隧道客戶和隧道服務(wù)器組成IPSec隧道，兩端都配置使用IPSec隧道技術(shù)，加密機(jī)制采用協(xié)商完成。為實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩?，IPSEC隧道模式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過(guò)網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包，負(fù)載IP包在經(jīng)過(guò)正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地[4]。

一個(gè)數(shù)據(jù)包經(jīng)IPsecVPN隧道的傳送過(guò)程，由左邊的VPN保護(hù)子網(wǎng)內(nèi)的PC機(jī)向右邊VPN保護(hù)子網(wǎng)內(nèi)的PC機(jī)傳送數(shù)據(jù)時(shí)。1HostA發(fā)送的數(shù)據(jù)由VPN網(wǎng)關(guān)1內(nèi)口；2VPN網(wǎng)關(guān)1內(nèi)口接收后發(fā)現(xiàn)需要經(jīng)過(guò)隧道，則把數(shù)據(jù)交由VPN網(wǎng)關(guān)1加密；3加完密后再由左eth0外口發(fā)送到VPN網(wǎng)關(guān)2的eth0外口；4右VPN網(wǎng)關(guān)2外口收到數(shù)據(jù)發(fā)現(xiàn)需要解密；5則由右VPN網(wǎng)關(guān)2內(nèi)口解完密后交由右內(nèi)網(wǎng)交換機(jī)轉(zhuǎn)發(fā)或由本機(jī)接收，具圖如圖2所示。

2 VPN技術(shù)應(yīng)用

2.1 用VPN連接分支機(jī)構(gòu)

隨著社會(huì)的發(fā)展當(dāng)前有很多大型的公司企業(yè)他們?cè)谌蛴泻芏喾种C(jī)構(gòu)，而每個(gè)分支機(jī)構(gòu)都要與總部進(jìn)行頻繁信息傳輸，這些信息之中有很多是重要的商業(yè)機(jī)密信息一旦泄露會(huì)給公司帶來(lái)巨大的損失。所以分支構(gòu)與總部以及分支之間的信息通信一定要進(jìn)行保護(hù)，由于公司地域范圍太大不可能建立私的網(wǎng)絡(luò)。使用VPN連接公司的各個(gè)各支機(jī)構(gòu)是進(jìn)行保密通信是VPN是當(dāng)前最好的選擇。由于公司各個(gè)分支以及總部的內(nèi)部都是安全的線路，只要在公共網(wǎng)上保證信息的保密就能保證信息的安全，所在各個(gè)分支以及總部接入到公網(wǎng)以前架設(shè)VPN網(wǎng)關(guān)，雙方的通信信息發(fā)出時(shí)對(duì)信息進(jìn)行加密，接收到信息對(duì)信息進(jìn)行解密，保證通信的安全?？偛颗c分支機(jī)構(gòu)之間VPN組網(wǎng)的示意如：圖3所示。

2.2用VPN連接合作伙伴

當(dāng)前很多大型的生產(chǎn)性企業(yè)都有很多的原料供應(yīng)商，眾多的原料供應(yīng)商是公司的業(yè)務(wù)伙伴。公司與這些原料供商之間有相應(yīng)的數(shù)據(jù)進(jìn)行傳輸。這種模式跟總部與分支機(jī)構(gòu)之間的關(guān)系是不相同的，公司與合作伙伴有時(shí)有競(jìng)爭(zhēng)關(guān)系業(yè)務(wù)伙伴間的主機(jī)不是可信任的，所以合作雙方對(duì)自己的數(shù)據(jù)都會(huì)使用更高級(jí)別的保護(hù)，因此在VPN網(wǎng)的設(shè)計(jì)時(shí)公司網(wǎng)與VPN網(wǎng)關(guān)之間的通信信息也要進(jìn)行保密保護(hù)。公司與合作機(jī)構(gòu)的VPN方案如圖4所示。

2.3 用VPN連接遠(yuǎn)程用戶

為保障單位內(nèi)部網(wǎng)的安全，很多應(yīng)用不會(huì)對(duì)公網(wǎng) 放，比如辦公協(xié)同OA系統(tǒng)、財(cái)務(wù)查詢系統(tǒng)等。但是有時(shí)候又需要在單位以外訪問(wèn)，比如當(dāng)放假期間，老師可能需要在家里登陸OA查看學(xué)校最近發(fā)布的通知，這時(shí)可通過(guò)VPN的方式實(shí)現(xiàn)安全登錄單位內(nèi)部網(wǎng)。如圖所示在個(gè)人用戶在訪問(wèn)到公司內(nèi)部網(wǎng)之前保證信息的安全，所以從個(gè)人到ISP提供商之間的網(wǎng)通信息也要進(jìn)行信息的保護(hù)，這時(shí)用戶一般使用戶名密碼的方式進(jìn)行登錄，然后取得雙方進(jìn)行通信的證書(shū)，然后通信雙方通過(guò)證書(shū)中指定的加密方式進(jìn)行保密通信，此方法是個(gè)人和單位進(jìn)行通信的常用方法。

3 結(jié)論

本文從Internet的發(fā)展說(shuō)明VPN技術(shù)產(chǎn)生的背景和意義，再對(duì)VNP的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析，對(duì)VPN中重要技術(shù)隧道的原量進(jìn)行了詳細(xì)的剖析。在此基礎(chǔ)上，結(jié)合當(dāng)前VPN的實(shí)際使用情況對(duì)三類使用方式結(jié)合示意進(jìn)行了說(shuō)明。當(dāng)前對(duì)公共網(wǎng)絡(luò)進(jìn)行保密通信的技術(shù)還有很多新的技術(shù)的出現(xiàn)，本人會(huì)繼續(xù)對(duì)相關(guān)內(nèi)容進(jìn)行關(guān)注。

參考文獻(xiàn)：

[1] Gasey Wilson， Peter Doak. 虛擬專用網(wǎng)的創(chuàng)建與實(shí)現(xiàn)[M]. 鐘鳴， 魏允韜，譯. 北京： 機(jī)械工業(yè)出版社， 2000.

[2] 戴宗坤， 唐三平. VPN 與網(wǎng)絡(luò)安全[M]. 北京： 電子工業(yè)出版社， 2002（8）.

[3] 卿斯?jié)h等. 密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全[M]. 清華大學(xué)出版社， 2001： 121-125.

[4] 張鵬， 李建， 王坤. IPsec 和 SSL 的分析和比較[J]. 信息工程大學(xué)學(xué)報(bào)， 2002，3（1）： 68-70.