VPN工作原理及關鍵技術

◇隧道技術

隧道技術通過對數(shù)據(jù)進行封裝，在公共網(wǎng)絡上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸，從協(xié)議層次看，主要有三種：第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。

第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進行的，先把各種網(wǎng)絡協(xié)議封裝到PPP包中，再把整個數(shù)據(jù)包裝人隧道協(xié)議中，這種經(jīng)過兩層封裝的數(shù)據(jù)包由第二層協(xié)議進行傳輸。第二層隧道協(xié)議主要有點到點隧道協(xié)議( Point to Point Tunneling Protocol，PPTP)和第二層隧道協(xié)議(Layer Two Tunneling Protocol，L2TP)。其中，PPTP在RFC-2637中定義，該協(xié)議將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內通過IP網(wǎng)絡（如Internet）進行傳送；而L2TP在RFC 2661中定義，結合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或訪問服務器端發(fā)起VPN連接。L2TP協(xié)議支持IP、X.25.幀中繼或ATM等作為傳輸協(xié)議。

第三層隧道協(xié)議是在網(wǎng)絡層進行的，把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議主要有IP Sec(IP Security)和通用路由封裝協(xié)議( General Routing Encapsulation，GRE)。IP Sec將在下面一節(jié)專門介紹。GRE通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如RIP2.0SPF等），用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI、AppleTalk、Banyan VINES、DECnet等。

第四層隧道協(xié)議是在傳輸層進行。一般地，通過將TCP數(shù)據(jù)包封裝后進行傳輸，如HTTP會話中的數(shù)據(jù)包。安全套接字隧道協(xié)議主要有SSL、TSL等協(xié)議。

◇加解密技術

VPN利用Internet自勺基礎設施傳輸企業(yè)私有的信息，通過加密措施確保網(wǎng)絡上未授權的用戶無法讀取該信息。一般來說，在VPN實現(xiàn)中，雙方大量的通信流量的加密使用對稱加密算法，而在管理和分發(fā)對稱加密的密鑰上采用非對稱加密技術。

使用者與設備身份認證技術

VPN需要解決的首要問題就是網(wǎng)絡上用戶與設備的身份認證。傳統(tǒng)的身份認證基本上采用的是用戶賬號加口令的模式，如口令認證協(xié)議( Password Authentication Protocol，PAP)、 詢問握手認證協(xié)議( Challenge Handshake Authentication Protocol，CHAP)、遠程認證撥號用戶服務( Remote Authentication Dial In User Service，RADIUS)等。使用PKI體系的身份認證的有SSL安全通信協(xié)議的身份認證、Kerberos等，這些協(xié)議中雙方通過交換、驗證數(shù)字證書來確認彼此的身份。