网络安全防护技术之虚拟专用网VPN工作原理及关键技术
VPN工作原理及关键技术
◇隧道技术
隧道技术通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输,从协议层次看,主要有三种:第二层隧道协议、第三层隧道协议和第四层隧道协议。
第二层隧道协议是在数据链路层进行的,先把各种网络协议封装到PPP包中,再把整个数据包装人隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议主要有点到点隧道协议( Point to Point Tunneling Protocol,PPTP)和第二层隧道协议(Layer Two Tunneling Protocol,L2TP)。其中,PPTP在RFC-2637中定义,该协议将PPP数据包封装在IP数据包内通过IP网络(如Internet)进行传送;而L2TP在RFC 2661中定义,结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP协议支持IP、X.25.帧中继或ATM等作为传输协议。
第三层隧道协议是在网络层进行的,把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议主要有IP Sec(IP Security)和通用路由封装协议( General Routing Encapsulation,GRE)。IP Sec将在下面一节专门介绍。GRE通用的路由封装协议,支持全部的路由协议(如RIP2.0SPF等),用于在IP包中封装任何协议的数据包,包括IP、IPX、NetBEUI、AppleTalk、Banyan VINES、DECnet等。
第四层隧道协议是在传输层进行。一般地,通过将TCP数据包封装后进行传输,如HTTP会话中的数据包。安全套接字隧道协议主要有SSL、TSL等协议。
◇加解密技术
VPN利用Internet自勺基础设施传输企业私有的信息,通过加密措施确保网络上未授权的用户无法读取该信息。一般来说,在VPN实现中,双方大量的通信流量的加密使用对称加密算法,而在管理和分发对称加密的密钥上采用非对称加密技术。
使用者与设备身份认证技术
VPN需要解决的首要问题就是网络上用户与设备的身份认证。传统的身份认证基本上采用的是用户账号加口令的模式,如口令认证协议( Password Authentication Protocol,PAP)、 询问握手认证协议( Challenge Handshake Authentication Protocol,CHAP)、远程认证拨号用户服务( Remote Authentication Dial In User Service,RADIUS)等。使用PKI体系的身份认证的有SSL安全通信协议的身份认证、Kerberos等,这些协议中双方通过交换、验证数字证书来确认彼此的身份。