VPN网络接入技术

VPN网络接入技术 ◆ 传输模式

传输模式用于两台主机之间，保护传输层协议头,实现端到端得安全。它所保护得数据包得通信终点也就是IPsｅc终点.当数据包从传输层递给网络层时，AH与ESＰ会进行＂拦截＂，在IP头与上层协议头之间需插入一个IPseｃ头(AH头或ESＰ头).当对一个同时应用AＨ与ＥＳP传输模式时，应先应用ＥSＰ，再应用ＡH,这样数据完整性可应用到ESＰ载荷. 因为传输模式不改变ＩP地址得头部,因此此种模式得ＶPＮ适用于合法IＰ地址之间得点对点通讯,适用范围比较窄。

◆ 隧道模式

要能够使得企业网内一个局网得数据透明得穿过公用网到达另一个局网， 虚拟专用网采用了一种称之为隧道得技术。隧道技术得基本过程就是在源局网与公用网得接口处将局网发送得数据（可以就是IＳO七层模型中得数据链路层或网络层数据）作为负载封装在一种可以在公用网上传输得数据格式中，在目得局域网与公用网得接口处将公用网得数据解析后，取出源局域网发送得数据在目得局域网传输.由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局网中得其她设备将不会觉察到这一过程。被封装得数据包在隧道得两个端点之间通过公共互联网络进行路由。被封装得数据包在公共互联网络上传递时所经过得逻辑路径称为隧道。

图2 隧道模式就是通过IPＩP

技术实现得，IPＩＰ协议就是将一个IP包作为另一个ＩP得负载来处理.举个简单得例子来说明IPIＰ协议得工作过程。一个IP包源为A，A所在得局网与Ｉｎteｒｎet得接口为Ｂ，目得地为远地得D，D所在得局网与Intｅrneｔ得接口为C，IP包要穿过Inteｒｎｅt到达D,可在B作如下图得封装，数据包在Ｉnternet上可以按照路由到达C,在C处解封装去掉外部IＰ协议头，将内部IＰ包在局网上发送。数据包将按照局网得路由到达D。

Mｅdiａ 外部目得C 外部源B 内部目得D 内部源A 用户数据 图3 ＩＰIＰ封装

IPＩP协议在具体得使用中要考虑如何建立外部IP协议头得内容，要考虑内部IP协议头中得某些内容如服务质量参数，就是否要拷贝到外部协议头中.实际上图得示意并不准确，在两个IＰ协议头之间可以插入其它得协议内容。IPSeｃ协议族在使用IPIＰ隧道时就可能插入另外两个协议头：

ＡH、ESP。IPSec协议族建立隧道可能采用如下得方式:

外部IP AＨ 内部ＩP 方式1 外部ＩP EＳP 方式2 外部IＰ AH ＥSＰ 方式３

3、4监控系统安全性

虽然系统通信采用公共网络，但就是我公司在系统软件设计时,数据通信协议为用户定义方式,具有可靠性高、保密性好得特点,并全部采用纠错编码技术,同时在数据通信过程中增加随机密钥(即在通信数据内部IP 内部IP 中加入随机变化得密码，保证系统运行时通信不受干扰。)，该密码由

加密算法产生,可阻止任何干扰数据对系统通信过程造成得影响，不会引起误报、误控等现象。该技术已经申报技术专利。另外VPN宽带网络也有自己独特得一种加密技术,确保系统通信安全。

ＶPN网络安全技术

由于VPN就是在不安全得Ｉnｔeｒnｅｔ中进行通信，而通信得内容可能涉及到企业得机密数据，因此其安全性就显得非常重要，必须采取一系列得安全机制来保证VPN得安全。通常由加密、认证及密钥交换与管理组成了VPN得安全机制。

1、认证技术

认证技术可以区分真实数据与伪造、被篡改过得数据。这对于网络数据传输,特别就是电子商务就是极其重要得.认证协议一般都要采用一种称为摘要得技术.摘要技术主要就是采用ＨASH函数将一段长得报文

通过函数变换,映射为一段短得报文（即摘要）。由于HAＳH函数得特性,使得要找到两个不同得报文具有相同得摘要就是困难得。该特性使得摘要技术在ＶPＮ中有两个用途:

? 验证数据得完整性。发送方将数据报文与报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。由于在报文摘要得计算过程中一般就是将一个双方共享得秘密信息连接上实际报文一同参与摘要得计算，不知道秘密信息将很难伪造一个匹配得摘要,从而保证了接收方可以辨认出伪造或篡改过得报文。

? 用户认证。该功能实际上就是上一种功能得延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要就是否正确来确定对方就是否拥有秘密信息,从而达到验证对方得目得。

常用得HASH函数有MＤ5，SＨA-1等。 2、加密技术简介

在VＰN中为了保证重要得数据在公共网上传输时不被她人窃取,采用了加密机制。ＩPSｅc通过ISAKMP/IＫE/Ｏakley协商确定几种可选得数据加密方法如DES、3DES。在现代密码学中，加密算法被分为对称加密算法与非对称加密算法。

对称加密算法采用同一把密钥进行加密与解密,优点就是速度快,但密钥得分发与交换不便于管理。

使用不对称加密时，通讯各方使用两个不同得密钥，一个就是只有发送方知道得专用密钥ｄ，另一个则就是对应得公用密钥ｅ,任何人都可以获得公用密钥ｅ。专用密钥与公用密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密.由于不对称加密运算量大，一般用于加密对称加密算法中使用得密钥。不对称加密还有一个重要用途即数字签名。