|
|
|
虚拟专用网络(Virtual Private Network,VPN)提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样,VPN也由客户机、传输介质和服务器3部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或Intranet。
|
|
|
|
VPN可以实现不同网络的组件和资源之间的相互连接,利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
|
|
|
|
|
|
(1)安全隧道技术(tunneling):隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。
|
|
|
|
(2)加解密技术:VPN利用已有的加解密技术实现保密通信。
|
|
|
|
(3)密钥管理技术:建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和跟踪,以及验证密钥的真实性。
|
|
|
|
(4)身份认证技术:假如VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡实现。
|
|
|
|
(5)访问控制技术:由VPN服务的提供者根据在各种预定义的组中的用户身份标识,来限制用户对网络信息或资源的访问控制的机制。
|
|
|
|
隧道技术可以分别以第2、3层隧道协议为基础。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP(Point to Point Tunneling Protocol,点对点隧道协议),L2TP(Layer Two Tunneling Protocol,第二层通道协议)和L2F(Level 2 Forwarding protocol,第2层转发)都属于第2层隧道协议,都是将数据封装在PPP帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPoverIP及IPSec(Internet Protocol Security,IP协议安全性)隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
|
|
|
|
PPTP是一种支持多协议虚拟专用网络的网络技术。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,比如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS(Network Access Server,网络接入服务器)以建立IP连接。
|
|
|
|
L2TP是VPDN(Virtual Private Dail-up Network,虚拟专用拨号网络)技术的一种,专门用来进行第2层数据的通道传送,即将第2层数据单元,如点到点协议(Point-to-Point Protocol,PPP)数据单元,封装在IP或UDP载荷内,以顺利通过包交换网络(如Internet),抵达目的地。
|
|
|
|
如果需要在传输层实现VPN,则可使用TLS(Transport Layer Security,传输层安全协议)协议。TLS是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信,TLS确保没有第三方能窃听或盗取信息。TLS是SSL的后继协议。TLS由两层构成:TLS记录协议和TLS握手协议。TLS记录协议使用机密方法(如DES)来保证连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。
|
|
|
