VPN工作原理及關(guān)鍵技術(shù)

◇隧道技術(shù)

隧道技術(shù)通過對數(shù)據(jù)進(jìn)行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸，從協(xié)議層次看，主要有三種：第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。

第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個數(shù)據(jù)包裝人隧道協(xié)議中，這種經(jīng)過兩層封裝的數(shù)據(jù)包由第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議主要有點(diǎn)到點(diǎn)隧道協(xié)議( Point to Point Tunneling Protocol，PPTP)和第二層隧道協(xié)議(Layer Two Tunneling Protocol，L2TP)。其中，PPTP在RFC-2637中定義，該協(xié)議將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內(nèi)通過IP網(wǎng)絡(luò)（如Internet）進(jìn)行傳送；而L2TP在RFC 2661中定義，結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接。L2TP協(xié)議支持IP、X.25.幀中繼或ATM等作為傳輸協(xié)議。

第三層隧道協(xié)議是在網(wǎng)絡(luò)層進(jìn)行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議主要有IP Sec(IP Security)和通用路由封裝協(xié)議( General Routing Encapsulation，GRE)。IP Sec將在下面一節(jié)專門介紹。GRE通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如RIP2.0SPF等），用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI、AppleTalk、Banyan VINES、DECnet等。

第四層隧道協(xié)議是在傳輸層進(jìn)行。一般地，通過將TCP數(shù)據(jù)包封裝后進(jìn)行傳輸，如HTTP會話中的數(shù)據(jù)包。安全套接字隧道協(xié)議主要有SSL、TSL等協(xié)議。

◇加解密技術(shù)

VPN利用Internet自勺基礎(chǔ)設(shè)施傳輸企業(yè)私有的信息，通過加密措施確保網(wǎng)絡(luò)上未授權(quán)的用戶無法讀取該信息。一般來說，在VPN實(shí)現(xiàn)中，雙方大量的通信流量的加密使用對稱加密算法，而在管理和分發(fā)對稱加密的密鑰上采用非對稱加密技術(shù)。

使用者與設(shè)備身份認(rèn)證技術(shù)

VPN需要解決的首要問題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認(rèn)證。傳統(tǒng)的身份認(rèn)證基本上采用的是用戶賬號加口令的模式，如口令認(rèn)證協(xié)議( Password Authentication Protocol，PAP)、 詢問握手認(rèn)證協(xié)議( Challenge Handshake Authentication Protocol，CHAP)、遠(yuǎn)程認(rèn)證撥號用戶服務(wù)( Remote Authentication Dial In User Service，RADIUS)等。使用PKI體系的身份認(rèn)證的有SSL安全通信協(xié)議的身份認(rèn)證、Kerberos等，這些協(xié)議中雙方通過交換、驗(yàn)證數(shù)字證書來確認(rèn)彼此的身份。