ＶＰＮ技术及其典型应用

陈显毅

[摘要]首先给出VPN的分类，接着讨论了VPN的隧道、加解密、身份认证等关键性技术，最后指出VPN的典型应用。

[关键词]VPN Internet 隧道

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0510122－01

一、引言

虚拟专用网（Virtual Private Network，VPN），是近年来发展起来的一种新技术，用以实现在公用网络上构建专用网络。VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用，从VPN用户角度来看，使用VPN与传统专网没有区别。

随着Internet应用的不断扩展，越来越多要求安全和保密的业务需要通过Internet实现，而Internet是一个开放的网络环境，没有任何安全措施。因此，VPN技术得到广泛关注，各个国际组织、团体都在研究和开发与VPN相关的理论、技术、协议、标准等。

二、VPN的分类

（一）按组网模型划分

1．拟专用拨号网络（VPDN）

VPDN（Virtual Private Dial Network）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

2．拟专用LAN网段（VPLS）业务

VPLS（Virtual Private LAN Segment）借助IP公共网络实现LAN之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。

3．拟专用路由网（VPRN）业务

VPRN（Virtual Private Routing Network）借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连。

（二）按实现层次划分

（1）3VPN：包括BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN等。

（2）2VPN：包括Martini方式的MPLS L2VPN、Kompalla方式的MPLS L2VPN、SVC方式MPLS L2VPN、VPLS。

（3）PDN：包括L2TP、PPTP等。

三、VPN的关键技术

（一）隧道技术

隧道技术是一种通过使用互联网基础设施在网络之间传递数据的方式。隧道协议将其它协议的数据包重新封装在新的包头中发送，新的包头提供了可路由信息，从而能够通过互联网传递。隧道协议分为第二层隧道协议和第三层隧道协议。

1．第二层隧道协议。第二层隧道协议是将整个PPP帧封装在内部隧道中。第二层隧道协议主要的有：

PPTP（Point-to-Point Tunneling Protocol）：点到点隧道协议，该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的GRE技术为传输的PPP报文提供流控和拥塞控制的封装服务。

L2F（Layer 2 Forwarding）：二层转发协议，该协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。

L2TP（Layer 2 Tunneling Protocol）：二层隧道协议，该协议结合了上述两个协议的优点，已经成为标准RFC。L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。

2．第三层隧道协议。第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。第三层隧道协议主要有：

GRE（Generic Routing Encapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。

IPSec（IP Security）协议：IPSec是一个协议簇，包括AH（Authent

ication Header）、ESP（Encapsulating Security Payload）、IKE（Int

Ernet Key Exchange）等协议。

（二）加解密技术

1．DES（Data Encryption Standard）。DES算法使用56位密钥和密码块的方法，明文被分成64位大小的数据块，对每个块进行19次变换，其中16次变换由56位的密钥进行加密，最后产生64位的密文块。

2．3DES（Triple DES）。3DES是DES加密算法的一种模式，是DES的一个更安全的变形。它以DES为基本模块，使用3个64位的密钥对数据进行三次加密。若三个密钥互不相同，本质上就相当于用一个长为168位的密钥进行加密。若数据对安全性要求不那么高，两个密钥可以相同，此时密钥的有效长度为112位。

3．IDEA（International Data Encryption Algorithm）。IDEA算法使用128位的密钥，把明文分成64位的数据块，每个数据块又被分成4个16位的子分组，这4个子分组成为算法的每一轮输入，总共经过8轮迭代加密。在每一轮中，4个子分组、6个子密钥之间需要进行异或、相加、相乘操作。

4．RSA（Rivest, Shamir, and Adleman）。RSA是一种公钥加密算法，它的安全性是依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。RSA的缺点主要有：产生密钥很麻烦，难以做到一次一密；分组长度太大，为保证安全性，大数至少要600 bits以上，使得运算代价很高，加密速度慢，比对称密码算法慢几个数量级。因此，RSA适用于加密少量数据的场合。

（三）身份认证技术

1．MD5（Message Digest Algorithm 5）。MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。

2．SHA（Secure Hash Algorithm）。SHA算法对长度不超过264二进制位的消息，产生160位的消息摘要输出。由于SHA的报文摘要比MD5的长，因此其安全性较高，但速度较慢。

3．HMAC（Hashed Message Authentication Code）。HMAC是一种利用对称密钥生成报文认证码的散列算法，可以提供数据完整性和数据源身份认证。HMAC使用现有的散列函数，如MD5或SHA-1。

（四）密钥管理技术

密钥管理是信息安全的核心技术之一，IATF定义的密钥管理技术主要包括：适用于封闭网的KMI机制；适用于开放网的PKI机制；适用于专用网的SPK技术。

四、VPN典型应用

（一）Intranet VPN（企业内部虚拟专网）

Intranet VPN通过公用网络进行企业内部各个LAN的安全互联。传统的LAN互联采用专线方式，但实现费用昂贵。现在可以在Internet上组建全球范围内的Intranet VPN，一方面利用Internet资源保证网络的互通，另一方面利用隧道、加密和认证等技术保证信息的安全传输。

Intranet VPN典型应用于公司总部与各分支机构之间的互联；政府各部委与对应下属机构间的互联；学校各个校区间的互联等等。

（二）Extranet VPN（扩展的企业内部虚拟专网）

Extranet VPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。Extranet VPN可以方便地提供接入控制和身份认证，动态地提供企业业务和数据的访问权限。

Extranet VPN典型应用于企业B2B之间的安全访问服务；企业与供应商、客户、相关团体之间的互联。

（三）Access VPN（远程访问虚拟专网）

Access VPN向出差流动员工、远程办公人员和远程办公提供了通过公用网络与企业的Intranet和Extranet建立专有的网络连接。Access VPN的结构有两种类型，一种是用户发起的VPN连接，另一种是接入服务器发起的VPN连接。Access VPN典型应用于企业提供B2C的安全访问服务；企业内部人员有移动或远程办公的需求。

五、结束语

VPN利用公共网络进行信息通讯，使企业以更低的成本连接远地办事机构、出差人员和业务伙伴，极大地提高了网络的资源利用率。同时，VPN可以在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性，这对于实现电子商务或金融网络与通讯网络的融合具有特别重要的意义。