为了在Internet等公共网络基础设施上高效、安全的实现数据传输,VPN综合利用了隧道技术、加密技术、秘钥管理技术和身份认证技术。
1、隧道技术是VPN的核心技术,VPN的所有实现都是依赖于隧道。隧道主要利用协议的封装来实现的。即用一种网络协议来封装另一种网络协议的报文。
简单说:就是在隧道的一端把B协议报文封装在A协议报文中,然后按照A协议报文在已建立的隧道中进行传输,到达另一端的时候,在进行解封装的操作,从A协议报文中解析出B协议报文,将得到的原始数据交给对端设备。
在进行数据封装时,根据封装协议(隧道协议)在OSI/RM中位置的不同,可以分为第二层隧道技术和第三层隧道技术两种类型,其中,第二层隧道技术是在数据链路层使用隧道协议对数据进行封装,再把封装后的数据通过数据链路层的协议进行传输。
第三层隧道技术是在网络层进行数据封装,即利用网络层的隧道协议对数据进行封装,封装后的数据再通过网络层协议进行传输
| 协议名称 | RFC编号 | 封装化 | 协议号码 | L2/L3 | 加密与否 | LAN连接类型VPN | 远程访问类型VPN |
| L2F | 2341 | L2F | UDP(17) | 第二层 | 否 | × | √ |
| PPTP | 草案 | DRE | GRE(47) | 第二层 | 否 | √ | √ |
| L2TP | 草案 | L2TP | UDP(17) | 第二层 | 否 | √ | √ |
| ATMP | 2107 | GRE | GRE(47) | 第三层 | 否 | × | √ |
| BayDVS | 无 | GRE | GRE(47) | 第三层 | 否 | × | √ |
| GRE | 1701 | GRE | GRE(47) | 第三层 | 否 | √ | |
| IPSec ESP | 2406 | ESP | ESP(50) | 第三层 | 是 | √ | √ |
| IPSec AH | 2406 | AH | AH(51) | 第三层 | 否 | √ | √ |
二层隧道协议主要有:L2F、PPTP、L2TP,这三种协议通常是基于PPP协议的并且主要面向拨号用户,由此导致了这3种协议应用的局限性
三层隧道协议主要有:IPSec、GRE
在数据链路层上实现VPN具有一定的优点,加密时可使用硬件设备进行加密,这样做的好处在于速度快。缺点:不易扩展,而且仅在专用链路上才能很好的工作,另外,进行通信的两个实体必须在物理上连接到一起。
2.加密技术
加密技术对VPN来说是非常重要的技术。
信息加密体制包括对称加密体制和非对称加密体制,实际应用中通常是融合二者的混合加密技术,
非对称加密技术(公开秘钥)多用于认证、数字签名以及安全传输会话秘钥等场合,
对称加密技术则用于大量传输数据的加密和完整性保护。
在VPN解决方案中最普遍使用的对称加密算法主要有DES、3DES、AES、RC4、RC5和IDEA等算法
普遍使用的非对称加密算法主要有RSA、Diffie-Hellman和椭圆曲线加密等。
当VPN封闭在特定的ISP内并且该ISP能够保证VPN路由及安全性时,攻击者不大可能窃取数据,因此可以不采用加密技术。
3.秘钥管理技术
现行秘钥管理技术分为SKIP和ISAKMP/OAKLEY两种。
SKIP主要利用Diffie-Hellman算法在开放网络上安全传输秘钥,
而ISAKMP则采用公开秘钥机制,通信实体双方均有两把秘钥,分别为公钥、私钥,不同的VPN实现技术选用其一或者兼而有之。
4.身份认证技术
因为认证协议一般都要采用基于散列函数的消息摘要技术,因而还可以提供消息完整性验证。从实现技术来看,目前VPN采用的身份认证技术主要分为非PKI体系和PKI体系两类。
非PKI体系一般采用用户ID+密码的模式,主要包括以下几种:
(1)PAP(密码认证协议),以明文形式传送,PAP是一种不安全的协议
(2)SPAP(Shiva Password Authentication Protocol,密码认证协议),针对PAP不足而设计的,他会进行加密,但是加密形式不变,很容易受到攻击
(3)CHAP(Challenge-Handshake Authentication Protocol,挑战握手认证协议)。采用挑战-响应的方式进行身份的认证,认证端发送一个随机数给被认证者,被认证者发送给认证端的不是明文口令,而是将口令和随机数连接后经MD5算法处理而得到的散列值,一旦CHAP输入一次口令失败,就中断连接,不能再次输入。
(4)MS-CHAP(微软挑战握手认证协议),采用MPPE加密方法将用户的密码和数据同时进行加密后再发送,应答分组的格式和Windows网络的应答格式具有兼容性,散列算法采用MD4,还具有口令交换功能、认证失败时重输入等扩展功能。
(5)EAP(扩展身份认证协议)是一个提供多个认证方法的协议框架,允许用户来根据自己的需要来自行定义认证方式。EAP的认证使用非常广泛,它不仅用于系统之间的身份认证,而且还用于无线和有线网络的认证,除此之外,相关厂商可以自行开发所需要的EAP认证方式,例如视网膜认证、指纹认证等都可以使用EAP。
(6)RADIUS(Remote Authentication Dial In User Service),是为接入服务器开发的认证系统,具有集中管理远程拨号用户的数据库功能,
PKI体系主要通过CA,采用数字签名和散列函数保证信息的可靠性和完整性