VPN的实现技术

1、VPN 的实现技术为了在 Internet 等公共网络基础设施上高效、安全的实现数据传输，VPN综合利用了隧道技术、加密技术、秘钥管理技术和身份认证技术。1、隧道技术是VPN的核心技术，VPN的所有实现都是依赖于隧道。隧道主要利用协议的封装来实现的。即用一种网络协议来封装另一种网络协议的报文。简单说： 就是在隧道的一端把B 协议报文封装在A 协议报文中，然后按照 A 协议报文在已建立的隧道中进行传输，到达另一端的时候，在进行解封装的操作，从A 协议报文中解析出 B 协议报文，将得到的原始数据交给对端设备。在进行数据封装时， 根据封装协议 （隧道协议） 在 OSI/RM中位置的不同，可以分为第二

2、层隧道技术和第三层隧道技术两种类型，其中，第二层隧道技术是在数据链路层使用隧道协议对数据进行封装，再把封装后的数据通过数据链路层的协议进行传输。第三层隧道技术是在网络层进行数据封装，即利用网络层的隧道协议对数据进行封装，封装后的数据再通过网络层协议进行传输协议名 称RFC编号封装 化协议号码L2/L3加 密 与 否LAN 连接 旧 VPN远程访问类型VPNL2F2341L2FUDP (17)第二层否XV1PPTP草案DREGRE (47)第二层否VVL2TP草案L2TPUDP (17)第二层否VVATMP2107GREGRE (47)第三层否XVBayDVS无GREGRE (47)第三层否XV

3、GRE1701GREGRE (47)第三层否VIPSecESP2406ESPESP (50)第三层是VVIPSec AH2406AHAH (51)第三层否VV二层隧道协议主要有：L2F、PPTP L2TP,这三种协议通常是基于PPP协议的并且主要面向拨号用户，由此导致了这 3种协议应用的局限性三层隧道协议主要有：IPSec、GRE在数据链路层上实现 VPN具有一定的优点,加密时可使用硬件设备进行加密，这样做的好处在于速度快。缺点：不易扩展，而且仅在专用链路上才能很好的工作，另外，进行通信的两个实体必须在物理上连接到一起。加密技术加密技术对VPN来说是非常重要的技术。信息加密体制包括对称加密体制

4、和非对称加密体制，实际应用中通常是融合二者的混合加密技术，非对称加密技术（公开秘钥）多用于认证、数字签名以及安全传输会话秘钥等场合，对称加密技术则用于大量传输数据的加密和完整性保护。在VPN解决方案中最普遍使用的对称加密算法主要有DES3DES AES RC4 RC5和 IDEA等算法普遍使用的非对称加密算法主要有RSA、 Diffie-Hellman 和椭圆曲线加密等。当VPNfef闭在特定的ISP内并且该ISP能够保证VPN路由及安全性时，攻击者不大可能窃取数据，因此可以不采用加密技术。秘钥管理技术现行秘钥管理技术分为SKIP和ISAKMP/OAKLE两种。SKIP 主要利用 Diffie

5、-Hellman 算法在开放网络上安全传输秘钥，而ISAKMP则采用公开秘钥机制，通信实体双方均有两把秘钥，分别为公钥、私钥，不同的VPN实现技术选用其一或者兼而有之。身份认证技术因为认证协议一般都要采用基于散列函数的消息摘要技术，因而还可以提供消息完整性验证。 从实现技术来看， 目前 VPN采用的身份认证技术主要分为非PKI 体系和 PKI 体系两类。非PKI体系一般采用用户ID+密码的模式，主要包括以下几种：PAP (密码认证协议)，以明文形式传送，PAP是一种不安全的协议2 ) SPAP( Shiva Password Authentication Protocol密码认证协议），针对P

6、AP不足而设计的，他会进行加密，但是加密形式不变，很容易受到攻击（ 3 ） CHAP （ Challenge-Handshake AuthenticationProtocol ，挑战握手认证协议）。采用挑战 - 响应的方式进行身份的认证，认证端发送一个随机数给被认证者，被认证者发送给认证端的不是明文口令，而是将口令和随机数连接后经MD5算法处理而得到的散列值，一旦CHAP俞入一次口令失败，就中断连接，不能再次输入。MS-CHAP微软挑战握手认证协议），采用MPPE力口密方法将用户的密码和数据同时进行加密后再发送，应答分组的格式和 Windows 网络的应答格式具有兼容性，散列算法采用MD4还具有口令交换功能、认证失败时重输入等扩展功能。EAP （扩展身份认证协议）是一个提供多个认证方法的协议框架，允许用户来根据自己的需要来自行定义认证方式。EAP 的认证使用非常广泛，它不仅用于系统之间的身份认证，而且还用于无线和有线网络的认证，除此之外，相关厂商可以自行开发所需要的EAP认证方式，例如视网膜认证、指纹认证等都可以使用EAP。( 6 ) RADIUS( Remote Au