ＶＰＮ技術(shù)及其應(yīng)用的研究

摘要：該文介紹了VPN（虛擬專(zhuān)用網(wǎng)）的基本概念、工作原理、關(guān)鍵技術(shù)、主要特點(diǎn)及其應(yīng)用方案，同時(shí)比較VPN應(yīng)用中常用的兩種VPN技術(shù)——IPSec VPN和SSL VPN。

關(guān)鍵詞：VPN；隧道；虛擬專(zhuān)用網(wǎng)；IPSec；SSL

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0798-02

The Rearch for the VPN Technique and its Application

CHEN Zhen

(School for Intensive Instruction， Nanjing Normal University， Nanjing 210046， China)

Abstract: This text introduces the basic concept，working principle，key technique，main characteristics and the application of VPN(Virtual Private Network).Then it compares the difference between the two commonly used VPN technology——IPSec VPN and SSL VPN.

Key words: VPN; tunnel; virtual private network; IPSec; SSL

1 引言

隨著Internet的普及，人們需要隨時(shí)隨地連入企業(yè)網(wǎng)。同時(shí)隨著企業(yè)的發(fā)展壯大，企業(yè)的分支機(jī)構(gòu)越來(lái)越多，企業(yè)內(nèi)各個(gè)分布之間也需要網(wǎng)絡(luò)通信，這就意味著使用傳統(tǒng)的租用線路的方法實(shí)現(xiàn)私有網(wǎng)絡(luò)互聯(lián)會(huì)給企業(yè)帶來(lái)很大的經(jīng)濟(jì)負(fù)擔(dān)。虛擬專(zhuān)用網(wǎng)（VPN，Virtual Private Network）的出現(xiàn)，為當(dāng)今企業(yè)發(fā)展所需的網(wǎng)絡(luò)通信提供了經(jīng)濟(jì)安全的實(shí)現(xiàn)途徑。VPN可以使得企業(yè)以低廉的價(jià)格享有公用網(wǎng)絡(luò)上的“專(zhuān)用”安全通道的便利。

2 VPN技術(shù)

2.1 VPN概念

虛擬專(zhuān)用網(wǎng)（VPN，Virtual Private Network）不是真正的專(zhuān)用網(wǎng)絡(luò)，卻能夠?qū)崿F(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能。VPN是一種通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)上傳輸私有數(shù)據(jù)，同時(shí)保證私有網(wǎng)絡(luò)安全性的技術(shù)。它兼?zhèn)淞斯W(wǎng)的便捷和專(zhuān)用網(wǎng)的安全，實(shí)現(xiàn)了利用公網(wǎng)通過(guò)加密等手段來(lái)實(shí)現(xiàn)單位組織的“專(zhuān)用網(wǎng)”。

2.2 VPN原理

需要進(jìn)行機(jī)密數(shù)據(jù)傳輸?shù)膬蓚€(gè)端點(diǎn)均連接在公共通信網(wǎng)上，當(dāng)需要進(jìn)行機(jī)密數(shù)據(jù)傳輸時(shí)，通過(guò)端點(diǎn)上的VPN設(shè)備在公共網(wǎng)上建立一條虛擬的專(zhuān)用網(wǎng)絡(luò)通道，并且所有數(shù)據(jù)均經(jīng)過(guò)加密后再在網(wǎng)上傳輸，這樣就保證了機(jī)密數(shù)據(jù)的安全傳輸。

2.3 VPN技術(shù)

VPN技術(shù)是指支持在公共通信基礎(chǔ)設(shè)施上構(gòu)成虛擬專(zhuān)用連接或虛擬專(zhuān)用網(wǎng)絡(luò)的技術(shù)。這些技術(shù)包括配置管理技術(shù)、隧道技術(shù)、協(xié)議封裝技術(shù)和密碼技術(shù)等。這些技術(shù)可應(yīng)用在TCP/IP協(xié)議層的數(shù)據(jù)鏈路層、IP層、TCP層和應(yīng)用層。

從安全角度看，采用密碼技術(shù)或加密隧道封裝在公共通信網(wǎng)絡(luò)上構(gòu)建的VPN，其安全強(qiáng)度最高，隧道技術(shù)次之，協(xié)議封裝較差，過(guò)濾路由最差。必要時(shí)，可以同時(shí)將兩種以上的VPN技術(shù)組合，以滿(mǎn)足安全要求。

從VPN工作原理中可以看出，實(shí)現(xiàn)VPN的最關(guān)鍵的部分是在公網(wǎng)上建立虛擬信道，而建立虛擬信道是利用隧道技術(shù)實(shí)現(xiàn)的。而隧道技術(shù)是利用一種協(xié)議傳輸另一種協(xié)議的技術(shù)，主要利用隧道協(xié)議來(lái)實(shí)現(xiàn)VPN功能，VPN隧道協(xié)議工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。同時(shí)為了保證信息在隧道中的安全傳輸，VPN系統(tǒng)采用加密技術(shù)。通過(guò)隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個(gè)安全性、互操作性的VPN。但是虛擬專(zhuān)用網(wǎng)要想成為用戶(hù)真正的選擇，必須能夠保障一定的帶寬、可靠性和安全性。為此有必要采用QoS策略控制方案來(lái)控制數(shù)據(jù)流量。

總的來(lái)說(shuō)，VPN中采用的關(guān)鍵技術(shù)主要包括隧道技術(shù)、安全加密技術(shù)及QoS技術(shù)。

2.3.1 實(shí)現(xiàn)VPN的隧道技術(shù)

隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同的協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其他協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。隧道技術(shù)是指包括數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過(guò)程。此外創(chuàng)建隧道的客戶(hù)機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。

隧道的實(shí)現(xiàn)機(jī)制主要設(shè)計(jì)兩個(gè)方面，其一是所建立的虛連接是在第二層還是在第三層。第二層隧道協(xié)議對(duì)應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位，主要有PPT，L2TP和L2F等，主要優(yōu)點(diǎn)是協(xié)議簡(jiǎn)單，易于加密，但由于其需要維護(hù)大量的PPP會(huì)話連接狀態(tài)，故其傳輸效率和系統(tǒng)的擴(kuò)展均受到影響。第三層隧道協(xié)議對(duì)應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位，主要有GRE以及IPSec等，由于第三層隧道是IP in IP，其可靠性及擴(kuò)展性方面均優(yōu)于第二層隧道。

其二是在網(wǎng)絡(luò)是的什么層次上實(shí)現(xiàn)IP隧道的問(wèn)題。目前較多的是IP協(xié)議實(shí)現(xiàn)IP隧道，但也有用UDP等協(xié)議來(lái)實(shí)現(xiàn)IP隧道的，如L2TP。對(duì)于IP隧道來(lái)說(shuō)，當(dāng)在隧道的開(kāi)啟處封裝及在隧道中止處還原裝配數(shù)據(jù)報(bào)時(shí)，進(jìn)行包的過(guò)濾、檢查非常方便，所以VPN網(wǎng)關(guān)通過(guò)“過(guò)濾型”隧道可直接融入“包過(guò)濾”防火墻機(jī)制，進(jìn)一步增強(qiáng)了VPN的安全性。

2.3.2 實(shí)現(xiàn)VPN的安全加密技術(shù)

在VPN中，由于數(shù)據(jù)通過(guò)公共通信網(wǎng)絡(luò)傳輸，從而為保證信息在隧道中的安全傳輸，VPN系統(tǒng)要采用加密技術(shù)。數(shù)據(jù)加密的基本過(guò)程就是對(duì)明文文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為一段不可讀的“密文”，使其只能在輸入相應(yīng)的密鑰后才能正確顯示出本來(lái)的內(nèi)容。通過(guò)這樣的方法來(lái)保證VPN通信過(guò)程中的數(shù)據(jù)安全。

根據(jù)密鑰類(lèi)型不同，加密技術(shù)可以分為兩大類(lèi)：對(duì)稱(chēng)式和非對(duì)稱(chēng)式。對(duì)稱(chēng)式加密就是加密和解密使用同一個(gè)密鑰，這種加密技術(shù)目前被廣泛使用，如EDS加密標(biāo)準(zhǔn)。非對(duì)稱(chēng)式加密就是加密和解密多使用的密鑰不是同一個(gè)，通常有兩個(gè)密鑰，“公鑰”和“密鑰”，他們必須配對(duì)，否則不能打開(kāi)加密文件，而為了保證公用密鑰的完整性，公用密鑰隨證書(shū)一同發(fā)布。

2.3.3 實(shí)現(xiàn)VPN的QoS技術(shù)

QoS(Quality ofService)是指服務(wù)質(zhì)量，也是指數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)時(shí)的性能。它的目的是向用戶(hù)提供端到端的服務(wù)質(zhì)量保證。它有一套度量指標(biāo)，包括業(yè)務(wù)可用性、延遲、可變延遲、吞吐量和丟包率。

3 VPN的特點(diǎn)

3.1 VPN的優(yōu)點(diǎn)

1) 降低成本。

與專(zhuān)用網(wǎng)絡(luò)相比，借助ISP來(lái)建立VPN可以節(jié)省大量的通信費(fèi)用，同時(shí)企業(yè)節(jié)省了大量人力物力。

2) 簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)。

借助ISP的，企業(yè)只需少量對(duì)遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)

3) 實(shí)現(xiàn)網(wǎng)絡(luò)安全。

數(shù)據(jù)傳輸前的用戶(hù)認(rèn)證以及VPN傳輸過(guò)程中的安全和加密協(xié)議都保證了增強(qiáng)了網(wǎng)絡(luò)的安全性。

4) 容易擴(kuò)展。

如果想擴(kuò)大VPN容量和覆蓋范圍，企業(yè)只需與ISP簽訂新的合約，幾條命令即可。

5) 可隨意與合作伙伴聯(lián)網(wǎng)。

6) 完全控制主動(dòng)權(quán)。

7) 支持新興應(yīng)用

3.2 VPN的缺點(diǎn)

1) 盡管VPN的設(shè)備供應(yīng)商們可以為遠(yuǎn)程辦公室或Extranet服務(wù)的專(zhuān)線或幀中繼提供有效方式，可是VPN的服務(wù)提供商們只保證數(shù)據(jù)在其管轄范圍內(nèi)的性能，一旦出了其“轄區(qū)”則安全沒(méi)有保證。

2) 不同廠商的VPN的管理和配置管理起來(lái)是最難的，這需要同時(shí)熟悉不同廠商的執(zhí)行方式，不同術(shù)語(yǔ)。

4 應(yīng)用研究

圖書(shū)館局域網(wǎng)內(nèi)有豐富的數(shù)字資源，在局域網(wǎng)內(nèi)可直接訪問(wèn)?，F(xiàn)在圖書(shū)館內(nèi)建立一個(gè)VPN服務(wù)器，局域網(wǎng)外用戶(hù)便可通過(guò)它從校外遠(yuǎn)程訪問(wèn)數(shù)字資源，并通過(guò)適當(dāng)?shù)脑L問(wèn)策略配置，保證網(wǎng)絡(luò)安全。IPSec VPN、SSL VPN 是目前使用主流的Internet遠(yuǎn)程安全接入技術(shù)，它們具有類(lèi)似功能特性，但也存在很大不同。

IPSec協(xié)議（因特網(wǎng)安全協(xié)議）是網(wǎng)絡(luò)層上為保障IP通信而提供的一系列協(xié)議族，針對(duì)數(shù)據(jù)在通過(guò)公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問(wèn)題設(shè)計(jì)的一套隧道、加密和認(rèn)證方案。SSL（安全套層協(xié)議）是保障在Internet上基于Web的通信安全而提供的協(xié)議。如表1是兩種VPN接入方式的比較。

從表1看出，IPSEC和SSL VPN各有優(yōu)缺點(diǎn)，互為補(bǔ)充，目前最好的方式是，采用IPSEC/SSL二合一的VPN安全網(wǎng)關(guān)，這樣能夠充分發(fā)揮IPSEC和SSL VPN各自的技術(shù)優(yōu)勢(shì)，而且一機(jī)二用，無(wú)需分別購(gòu)買(mǎi)兩種網(wǎng)關(guān)，節(jié)省費(fèi)用。

5 小結(jié)

VPN技術(shù)是一種在公網(wǎng)上實(shí)現(xiàn)私有網(wǎng)絡(luò)連接的技術(shù)，為企業(yè)學(xué)校內(nèi)部互連、資源共享提供了一種經(jīng)濟(jì)、靈活、安全的連網(wǎng)方式。VPN技術(shù)是計(jì)算領(lǐng)域內(nèi)多種技術(shù)的統(tǒng)一起來(lái)的技術(shù)，現(xiàn)在其發(fā)展還不成熟，存在許多需要改進(jìn)和完成地方，但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展以及企業(yè)對(duì)VPN的需求，VPN技術(shù)擁有廣闊的發(fā)展前景。

參考文獻(xiàn)：

[1] 戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社，2002.

[2] 高海應(yīng)，薛元興，辛陽(yáng).VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社，2004.

[3] 張銘.VPN技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].福建電腦，2008(11).

[4] 李順新，陳建勛.虛擬專(zhuān)用網(wǎng)技術(shù)及其應(yīng)用的研究[J].網(wǎng)絡(luò)安全，2005(3).

[5] 趙云華.VPN技術(shù)在圖書(shū)館資源共享中的應(yīng)用[J].圖書(shū)館界，2008(3).