杨 春  李 彬（重庆邮电学院 重庆信科设计有限公司，重庆 400065）

　　【摘要】随着Internet的广泛应用,虚拟专用网(VPN)技术越来越受到关注。本文介绍了VPN技术的基本概念、关键技术、各种隧道协议及其应用领域，最后分析了VPN的新应用技术VoIP VPN和基于VPN的多播技术。
　　【关键词】VPN; 隧道协议;  Internet;  VoIP VPN; 多播;
 
　　近年来，随着Internet的广泛应用，如何利用Internet的资源来组建企业的虚拟专用网络(VPN)已成为IT业界的一个新热点。VPN是通过一个公共网络建立起来的一个临时的、安全的连接，它是对企业内部网的扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全可靠传输，它从根本上解决了网络面临的不安全因素的威胁，大大提高了网络数据传输的安全性、可靠性和保密性。
一、VPN的基本概念                   
　　在VPN(Virtual Private Network)即虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明，用户好像使用一条专用线路进行通信。
　　虚拟专用网(VPN)是一个综合了保密性、安全性及可管理性于一身的解决方案。VPN就是在公共网络架构上(通常是Internet)利用安全、认证、加密等技术建立企业的专用线路，在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN可以提供与昂贵的专线(DDN)类似的安全性、可靠性、可管理性和优先级别，可构筑于IP网络、帧中继网络和ATM网络上。
二、VPN的关键技术
　　目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术：
　　VPN是在公网中形成企业专用的链路，为了形成这样的链路，采用了所谓的“隧道”技术。隧道技术是VPN的基本技术，它是分组封装(Capsule)的技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。
隧道是一种利用公网设施，在一个网络之上的“网络”传输数据的方法，被传输的数据可以是另一协议的帧。隧道协议用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
(2) 加解密技术：
　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP (Encapsulationg Security Payload)实现。主要是发送者在发送数据之前对数据加密，当数据到达接收者时由接收者对数据进行解密的处理过程，算法主要种类包括：对称加密(单钥加密)算法、不对称加密(公钥加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(发明者Rivest、Shamir和Adleman名字的首字符)。
对于对称加密算法，通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方使用相同的密钥将密文还原成明文。对称加密算法运算速度快。
不对称加密算法是通信双方各使用两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需保密。在通信过程中，发送方用接收方的公开密钥加密消息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。
(3) 密钥管理技术：
　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。
(4) 使用者与设备身份认证技术：
　　使用者与设备身份认证技术最常用的是用户名/口令或智能卡认证等方式。
三、VPN隧道协议
　　隧道协议分为第二、三层隧道协议。它们的本质区别再也用户的数据包是被封装在哪一层的数据包在隧道里传输。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。
　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec、GRE等。IPSec(IP Security)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。
　　(1) PPTP(Point to Point Tunneling Protocol,点到点隧道协议)：PPTP是VPN的基础。PPTP的封装在数据链路层产生，PPTP协议采用扩展GRE(Generic Routing Encapsulation)头对PPP/SLIP报进行封装。所谓扩展GRE头，即在通常GRE头中，细化并修改了密钥字段的利用，并增加了确认、出现位和确认号字段，从而提供了PPTP的流量控制功能。
　　(2) L2F(Layer 2 forwording)：L2F可以在多种介质(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网、它将链路层的协议(如PPP,HDLC等)封装起来传送。因此，网络的链路层完全独立于用户的链路层协议。
　　(3) L2TP(Layer 2 Tunneling Protocol)：是远程访问型VPN今后的标准协议。它结合了PPTP协议和L2F协议的优点，以便扩展功能。其格式基于L2F，信令基于PPTP。这种协议几乎能实现PPTP和L2F协议能实现的所有服务，并且更加强大、灵活。它定义了利用公共网络设施(如IP网络、ATM、帧中继网络)封装传输链路层PPP帧的方法。
　　(4) IPSec：是在IP层提供通信安全而提供的一套协议族，是一个开放性的标准框架。IPSec安全协议包括：封装的安全负载ESP(Encapsulation Securiy Payload)和认证报头AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol)，它对所有链路层上的数据提供安全保护和透明服务。
　　AH用于通信双方能够验证数据在传输过程中是否被更改并能验证发方的身份，实现访问控制、数据完整性、数据源的认证性和重放根据的保护的功能。
ISAKMP主要用于通信双方协商加密密钥和加密算法,它是基于D-H的密钥交换协议,并且用户的公钥和私钥是由可信任第三方TTP(Trusted Third Party)产生的。
　　ESP 的基本思想是对整个IP包或更高层协议的数据进行封装,有2种模式：隧道(Tunnel)模式和传输(Transport)模式.在隧道模式下，IPSec把IPv4的整个IP包加密后封装在新的安全IP包的数据段中,并生成一个新的IP包,在传输模式下只是将原IP包中的数据进行加密后再发送出去。
　　(5) 通用路由封装(GRE, Generic Routing Encapsulation)：
　　GRE规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义。GRE只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。所有在实际环境中它常和IPSec一起使用，由IPSec提供用户数据的加密，从而给用户提供更好的安全性。
四、VPN的应用领域
　　VPN主要应用在企业内部网Intranet、远程访问以企业外部网Extranet，根据这应用领域，VPN大致可分为3类：Intranet VPN、Access VPN与Extranet VPN。
Intranet VPN：:即企业的总部与分支机构间通过公网构筑的虚拟网。
Access VPN：是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。
Extranet VPN：即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。
五、VPN的新应用技术
 5.1 VoIP VPN
　　许多大型公司及中小型企业都采用基于IP的VPN，来传送大量的数据业务。但企业中的话音却是通过另外租用线路来传送，这种数据与话音业务分别传送的方式成本很高。因此，话音以数据方式传输一直是业界最为关注的技术之一。
 一些通信公司如Cisco等，提出了VoIP VPN的解决方案，即利用VoIP技术使企业可以利用IP VPN来传送话音业务，允许话音传送就行一种数据业务一样通过IP网络。
 Cisco推出了一种能够传输话音和视频业务的IPSec VPN。该方案基于VPN路由器，通过使用服务类型字段对话音和视频流量作标记，将其显示为IPSec报头的一部分发向网络，使其享有更高的优先级，这样企业可利用IP电话建立起自己的远程家庭办公网络系统。该系统除具备IP PBX的全部特性外，还有一条安全数据链路作备份。
 VoIP VPN使企业不必分别为话音和数据建立网络，大大节省了企业开销，是一项具有广泛发展前景的技术。
 5.2 基于VPN 的安全多播
 　　多播应用是当今互联网技术发展的热点，多播数据传输的安全性和可靠性已成为多播技术发展亟待解决的两个问题。因此有人提出了基于VPN的安全多播技术, 它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec的VPN系统的体系结构来实现多播数据的安全传输, 实现简单, 结构灵活, 与IPSec兼容。
　　基于VPN安全多播系统的安全多播网关中有一个网关充当多播组的控制器, 一个网关充当多播组的备份控制器. 组控制器对整个多播组的安全策略进行管理, 备份控制器在主控制器失效时充当多播组的主控制器. 多播报文在安全多播网关之间采用隧道进行传输, 在多播安全网关和多播安全主机之间采用多播传输.
基于VPN的安全多播系统提高了多播数据传输时的安全性和可靠性。
六、结论
　　随着网络技术的发展,计算机网络的安全保密问题日益严峻。虚拟专用网技术对于解决当前网络通信、资源共享所面临的威胁和提高网络通信的保密性、安全性具有重要的现实意义。

参考文献
[1]、 Steven brown著, 董晓宇,魏鸿,马洁等译. 构建虚拟专用网[M]. 人民邮电出版社, 2001.11.
[2]、 Thaddeus Fortenberry 著, 陆建业译. Windows 2000虚拟专用网[M]. 清华大学出版社,  2001.8.
[3]、 戴宗坤, 唐三平. VPN与网络安全[M]. 金城出版社,2000.
[4]、刘丽萍, 张文华. VPN中的话音业务[J]. 中国数据通信, 2003.
[5]、黄科烺, 方娇莉. 基于VPN 的安全多播系统的设计与实现[J]. 昆明理工大学学报, 2003.