国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

楊 春  李 彬（重慶郵電學(xué)院 重慶信科設(shè)計(jì)有限公司，重慶 400065）

　　【摘要】隨著Internet的廣泛應(yīng)用,虛擬專用網(wǎng)(VPN)技術(shù)越來越受到關(guān)注。本文介紹了VPN技術(shù)的基本概念、關(guān)鍵技術(shù)、各種隧道協(xié)議及其應(yīng)用領(lǐng)域，最后分析了VPN的新應(yīng)用技術(shù)VoIP VPN和基于VPN的多播技術(shù)。
　　【關(guān)鍵詞】VPN; 隧道協(xié)議;  Internet;  VoIP VPN; 多播;
 
　　近年來，隨著Internet的廣泛應(yīng)用，如何利用Internet的資源來組建企業(yè)的虛擬專用網(wǎng)絡(luò)(VPN)已成為IT業(yè)界的一個(gè)新熱點(diǎn)。VPN是通過一個(gè)公共網(wǎng)絡(luò)建立起來的一個(gè)臨時(shí)的、安全的連接，它是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全可靠傳輸，它從根本上解決了網(wǎng)絡(luò)面臨的不安全因素的威脅，大大提高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩�性、可靠性和保密性�?BR>一、VPN的基本概念                   
　　在VPN(Virtual Private Network)即虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明，用戶好像使用一條專用線路進(jìn)行通信。
　　虛擬專用網(wǎng)(VPN)是一個(gè)綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網(wǎng)絡(luò)架構(gòu)上(通常是Internet)利用安全、認(rèn)證、加密等技術(shù)建立企業(yè)的專用線路，在降低聯(lián)網(wǎng)費(fèi)用的同時(shí)確保信息的安全性、完整性和真實(shí)性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優(yōu)先級別，可構(gòu)筑于IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)上。
二、VPN的關(guān)鍵技術(shù)
　　目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。
(1) 隧道技術(shù)：
　　VPN是在公網(wǎng)中形成企業(yè)專用的鏈路，為了形成這樣的鏈路，采用了所謂的“隧道”技術(shù)。隧道技術(shù)是VPN的基本技術(shù)，它是分組封裝(Capsule)的技術(shù)，可以模仿點(diǎn)對點(diǎn)連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。
隧道是一種利用公網(wǎng)設(shè)施，在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報(bào)頭封裝幀，附加的報(bào)頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。
(2) 加解密技術(shù)：
　　加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP (Encapsulationg Security Payload)實(shí)現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密，當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)由接收者對數(shù)據(jù)進(jìn)行解密的處理過程，算法主要種類包括：對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。
對于對稱加密算法，通信雙方共享一個(gè)密鑰，發(fā)送方使用該密鑰將明文加密成密文，接收方使用相同的密鑰將密文還原成明文。對稱加密算法運(yùn)算速度快。
不對稱加密算法是通信雙方各使用兩個(gè)不同的密鑰，一個(gè)是只有發(fā)送方知道的密鑰，另一個(gè)則是與之對應(yīng)的公開密鑰，公開密鑰不需保密。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密，進(jìn)行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗(yàn)證發(fā)送方身份。
(3) 密鑰管理技術(shù)：
　　密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取�，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。
SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。
(4) 使用者與設(shè)備身份認(rèn)證技術(shù)：
　　使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名/口令或智能卡認(rèn)證等方式。
三、VPN隧道協(xié)議
　　隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質(zhì)區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。
　　第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec、GRE等。IPSec(IP Security)是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。
　　(1) PPTP(Point to Point Tunneling Protocol,點(diǎn)到點(diǎn)隧道協(xié)議)：PPTP是VPN的基礎(chǔ)。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生，PPTP協(xié)議采用擴(kuò)展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報(bào)進(jìn)行封裝。所謂擴(kuò)展GRE頭，即在通常GRE頭中，細(xì)化并修改了密鑰字段的利用，并增加了確認(rèn)、出現(xiàn)位和確認(rèn)號字段，從而提供了PPTP的流量控制功能。
　　(2) L2F(Layer 2 forwording)：L2F可以在多種介質(zhì)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)、它將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來傳送。因此，網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。
　　(3) L2TP(Layer 2 Tunneling Protocol)：是遠(yuǎn)程訪問型VPN今后的標(biāo)準(zhǔn)協(xié)議。它結(jié)合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)，以便擴(kuò)展功能。其格式基于L2F，信令基于PPTP。這種協(xié)議幾乎能實(shí)現(xiàn)PPTP和L2F協(xié)議能實(shí)現(xiàn)的所有服務(wù)，并且更加強(qiáng)大、靈活。它定義了利用公共網(wǎng)絡(luò)設(shè)施(如IP網(wǎng)絡(luò)、ATM、幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層PPP幀的方法。
　　(4) IPSec：是在IP層提供通信安全而提供的一套協(xié)議族，是一個(gè)開放性的標(biāo)準(zhǔn)框架。IPSec安全協(xié)議包括：封裝的安全負(fù)載ESP(Encapsulation Securiy Payload)和認(rèn)證報(bào)頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol)，它對所有鏈路層上的數(shù)據(jù)提供安全保護(hù)和透明服務(wù)。
　　AH用于通信雙方能夠驗(yàn)證數(shù)據(jù)在傳輸過程中是否被更改并能驗(yàn)證發(fā)方的身份，實(shí)現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認(rèn)證性和重放根據(jù)的保護(hù)的功能。
ISAKMP主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。
　　ESP 的基本思想是對整個(gè)IP包或更高層協(xié)議的數(shù)據(jù)進(jìn)行封裝,有2種模式：隧道(Tunnel)模式和傳輸(Transport)模式.在隧道模式下，IPSec把IPv4的整個(gè)IP包加密后封裝在新的安全I(xiàn)P包的數(shù)據(jù)段中,并生成一個(gè)新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進(jìn)行加密后再發(fā)送出去。
　　(5) 通用路由封裝(GRE, Generic Routing Encapsulation)：
　　GRE規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。所有在實(shí)際環(huán)境中它常和IPSec一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。
四、VPN的應(yīng)用領(lǐng)域
　　VPN主要應(yīng)用在企業(yè)內(nèi)部網(wǎng)Intranet、遠(yuǎn)程訪問以企業(yè)外部網(wǎng)Extranet，根據(jù)這應(yīng)用領(lǐng)域，VPN大致可分為3類：Intranet VPN、Access VPN與Extranet VPN。
Intranet VPN：:即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。
Access VPN：是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)。
Extranet VPN：即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。
五、VPN的新應(yīng)用技術(shù)
 5.1 VoIP VPN
　　許多大型公司及中小型企業(yè)都采用基于IP的VPN，來傳送大量的數(shù)據(jù)業(yè)務(wù)。但企業(yè)中的話音卻是通過另外租用線路來傳送，這種數(shù)據(jù)與話音業(yè)務(wù)分別傳送的方式成本很高。因此，話音以數(shù)據(jù)方式傳輸一直是業(yè)界最為關(guān)注的技術(shù)之一。
 一些通信公司如Cisco等，提出了VoIP VPN的解決方案，即利用VoIP技術(shù)使企業(yè)可以利用IP VPN來傳送話音業(yè)務(wù)，允許話音傳送就行一種數(shù)據(jù)業(yè)務(wù)一樣通過IP網(wǎng)絡(luò)。
 Cisco推出了一種能夠傳輸話音和視頻業(yè)務(wù)的IPSec VPN。該方案基于VPN路由器，通過使用服務(wù)類型字段對話音和視頻流量作標(biāo)記，將其顯示為IPSec報(bào)頭的一部分發(fā)向網(wǎng)絡(luò)，使其享有更高的優(yōu)先級，這樣企業(yè)可利用IP電話建立起自己的遠(yuǎn)程家庭辦公網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)除具備IP PBX的全部特性外，還有一條安全數(shù)據(jù)鏈路作備份。
 VoIP VPN使企業(yè)不必分別為話音和數(shù)據(jù)建立網(wǎng)絡(luò)，大大節(jié)省了企業(yè)開銷，是一項(xiàng)具有廣泛發(fā)展前景的技術(shù)。
 5.2 基于VPN 的安全多播
 　　多播應(yīng)用是當(dāng)今互聯(lián)網(wǎng)技術(shù)發(fā)展的熱點(diǎn)，多播數(shù)據(jù)傳輸?shù)陌踩�性和可靠性已成為多播技術(shù)發(fā)展亟待解決的兩個(gè)問題。因此有人提出了基于VPN的安全多播技術(shù), 它由安全多播網(wǎng)關(guān)和安全多播主機(jī)組成,充分利用現(xiàn)有的基于IPSec的VPN系統(tǒng)的體系結(jié)構(gòu)來實(shí)現(xiàn)多播數(shù)據(jù)的安全傳輸, 實(shí)現(xiàn)簡單, 結(jié)構(gòu)靈活, 與IPSec兼容。
　　基于VPN安全多播系統(tǒng)的安全多播網(wǎng)關(guān)中有一個(gè)網(wǎng)關(guān)充當(dāng)多播組的控制器, 一個(gè)網(wǎng)關(guān)充當(dāng)多播組的備份控制器. 組控制器對整個(gè)多播組的安全策略進(jìn)行管理, 備份控制器在主控制器失效時(shí)充當(dāng)多播組的主控制器. 多播報(bào)文在安全多播網(wǎng)關(guān)之間采用隧道進(jìn)行傳輸, 在多播安全網(wǎng)關(guān)和多播安全主機(jī)之間采用多播傳輸.
基于VPN的安全多播系統(tǒng)提高了多播數(shù)據(jù)傳輸時(shí)的安全性和可靠性。
六、結(jié)論
　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的安全保密問題日益嚴(yán)峻。虛擬專用網(wǎng)技術(shù)對于解決當(dāng)前網(wǎng)絡(luò)通信、資源共享所面臨的威脅和提高網(wǎng)絡(luò)通信的保密性、安全性具有重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)
[1]、 Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構(gòu)建虛擬專用網(wǎng)[M]. 人民郵電出版社, 2001.11.
[2]、 Thaddeus Fortenberry 著, 陸建業(yè)譯. Windows 2000虛擬專用網(wǎng)[M]. 清華大學(xué)出版社,  2001.8.
[3]、 戴宗坤, 唐三平. VPN與網(wǎng)絡(luò)安全[M]. 金城出版社,2000.
[4]、劉麗萍, 張文華. VPN中的話音業(yè)務(wù)[J]. 中國數(shù)據(jù)通信, 2003.
[5]、黃科烺, 方嬌莉. 基于VPN 的安全多播系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 昆明理工大學(xué)學(xué)報(bào), 2003.