浅析虚拟专业网络VPN技术

摘要：文章对虚拟专业网络VPN的隧道技术、加解密技术、密钥管理技术和身份认证技术进行了具体介绍，同时还提及了VPN的安全性问题，为后续进一步对VPN的研究和应用打下了理论基础。

关键词：VPN；隧道；加解密；认证；安全性

中图分类号：TP393.18 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01

Analysis of Virtual Professional Network VPN Technology

Wang Ke

(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)

Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.

Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security

一、VPN技术介绍

VPN主要采用隧道技术、加解密技术、密钥管理技术和身份认证技术。

（一）隧道技术

1.隧道技术基础。隧道技术是VPN的关键技术，主要包括数据封装、传输和数据拆封三个部分。隧道技术是一种通过公共网络的基础设施，在专用网络或专用设备之间实现加密数据通信的技术。通信的内容包括各种通信协议的数据包，隧道协议将这些数据包重新封装在新的包中发送，新的包头提供了路由信息，从而使封装的数据能够通过公共网络传递，传递时所经过的逻辑路径称为隧道，当数据包到达通信终点后，将被拆封并转发到最终目的地。隧道技术就是指包括数据封装，传输和解包在内的全过程，如图1所示。

图1：隧道传输过程

2.隧道协议。隧道的客户机和服务器双方必须使用相同的隧道协议创建隧道。隧道协议是隧道技术的核心，基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议有PPTP、L2TP和IPSec等协议。

（二）加解密技术

加解密技术主要就是处理好保密、认证和完整性这三个方面的问题。

1.保密。数据在网络传输的过程中，由于需要经过多个中间节点进行转发，因此很容易就被截获。为了保证数据的保密性，就需要对数据使用密文进行加密传输。密文即使被第三方截获，也无法解析其含义。

2.认证。接收方在收到数据后，为了验证数据确实是从发送放发来的，而不是第三方冒充的，就需要对发送方进行认证。认证需要使用一个凭据，即数字证书（Certificate），相当于个人的护照。Certificate由专门的证书管理机构CA（Certificate Authority）发放。

3.完整性。虽然数据在加密传输的过程中第三方无法截获内容，但是第三方还是可以对其实施破坏活动，譬如将数据截掉部分，接收者进行解密后便获得不了完整的信息。为了保证传送的数据完整性，对接收到的数据进行完整性校验是非常有必要的。

（三）密钥管理技术

密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。从密钥管理技术角度进行分类，可将其分为对称密钥管理和公开密钥管理（数字证书）两部分。

1.对称密钥管理技术。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。

2.公开密钥管理（数字证书）技术。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等，证书由专门的证书管理机构CA发放。

（四）身份认证技术

VPN需要解决的首要问题是网络上的用户与设备都需要有确定的身份认证。不管其它安全设施有多严密，一旦身份认证将错误，必将导致整个VPN的失效。随着技术的发展，常规用户名+密码方式（PAP）已经不能提供足够的安全保障。有专门机构发放的数字证书，可以为设备提供更安全的认证。

二、VPN的安全性问题介绍

VPN的核心问题时安全问题。目前，VPN主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现安全保证的。但是，当一个企业的VPN需要扩展到远程访问时，那么长时间在线就容易受到黑客的攻击。公司安全防御系统中的弱点就是远程工作员工通过防火墙之外的个人计算机可以接触到公司的核心内容。从安全的观点来看，在家办公的个人，是黑客攻击的重点目标，因为为家用计算机在安全软件使用方面没有公司做的到位。一般情况下，员工使用家用计算机时，仅仅是跟随计算机通过一条授权的连接进入公司网络系统，侵入者可以通过一个被信任的用户进入网络。

安全的加密隧道和正确的连接，也无法保证家庭计算机的安全。黑客为了侵入员工的家用计算机，首先需要做的是探测IP地址，如果在家办公人员具有一条诸如DSL的不间断连接链路（通常这种连接具有一个固定的IP地址），这时就要当心黑客的入侵。因此，必须在个人计算机上安装个人防火墙区有效的堵住远程访问VPN的安全漏洞，保护网络的安全。

三、总结

文章对虚拟专业网络VPN的隧道技术、加解密技术、密钥管理技术和身份认证技术进行了具体介绍，同时还提及了VPN的安全性问题，为后续进一步对VPN的研究和应用打下了理论基础。

参考文献：

[1]肖铭.VPN隧道封装性能分析与研究[J].计算机与数字工程,2003

[2]利业鞑.浅谈虚拟专业网络(VPN)及其应用[J].高技术纵览,2006

[3]边倩.虚拟专用网(VPN)的实现方法[J].计算机应用,2005

[4]宇.浅析虚拟专用网VPN技术[J].通信技术,2008