一、VPN技術(shù)介紹

    VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。

    (一)隧道技術(shù)

    1．隧道技術(shù)基礎(chǔ)。隧道技術(shù)是VPN的關(guān)鍵技術(shù)，主要包括數(shù)據(jù)封裝、傳輸和數(shù)據(jù)拆封三個(gè)部分。隧道技術(shù)是一種通過公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，在專用網(wǎng)絡(luò)或?qū)Ｓ迷O(shè)備之間實(shí)現(xiàn)加密數(shù)據(jù)通信的技術(shù)。通信的內(nèi)容包括各種通信協(xié)議的數(shù)據(jù)包，隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包中發(fā)送，新的包頭提供了路由信息，從而使封裝的數(shù)據(jù)能夠通過公共網(wǎng)絡(luò)傳遞，傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道，當(dāng)數(shù)據(jù)包到達(dá)通信終點(diǎn)后，將被拆封并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)就是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程，如圖1所示。

    圖1 隧道傳輸過程

    2．隧道協(xié)議。隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議創(chuàng)建隧道。隧道協(xié)議是隧道技術(shù)的核心，基于不同的隧道協(xié)議所實(shí)現(xiàn)的VPN是不同的。典型的隧道協(xié)議有PPTP、L2TP和IPSec等協(xié)議。

    (二)加解密技術(shù)

    加解密技術(shù)主要就是處理好保密、認(rèn)證和完整性這三個(gè)方面的問題

    1．保密。數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中，由于需要經(jīng)過多個(gè)中間節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)，因此很容易就被截獲。為了保證數(shù)據(jù)的保密性，就需要對數(shù)據(jù)使用密文進(jìn)行加密傳輸。密文即使被第三方截獲，也無法解析其含義。

    2．認(rèn)證。接收方在收到數(shù)據(jù)后，為了驗(yàn)證數(shù)據(jù)確實(shí)是從發(fā)送放發(fā)來的，而不是第三方冒充的，就需要對發(fā)送方進(jìn)行認(rèn)證。認(rèn)證需要使用一個(gè)憑據(jù)，即數(shù)字證書(Certificate)，相當(dāng)于個(gè)人的護(hù)照Certificate由專門的證書管理機(jī)構(gòu)CA(CertificateAuthority)發(fā)放。

    3．完整性。雖然數(shù)據(jù)在加密傳輸?shù)倪^程中第三方無法截獲內(nèi)容，但是第三方還是可以對其實(shí)施破壞活動(dòng)，譬如將數(shù)據(jù)截掉部分，接收者進(jìn)行解密后便獲得不了完整的信息。為了保證傳送的數(shù)據(jù)完整性，對接收到的數(shù)據(jù)進(jìn)行完整性校驗(yàn)是非常有必要的。

    (三)密鑰管理技術(shù)

    密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。從密鑰管理技術(shù)角度進(jìn)行分類，可將其分為對稱密鑰管理和公開密鑰管理(數(shù)字證書)兩部分。

    1．對稱密鑰管理技術(shù)。對稱加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。

    2．公開密鑰管理(數(shù)字證書)技術(shù)。貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。數(shù)字證書通常包含有唯一標(biāo)識(shí)證書所有者(即貿(mào)易方)的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等，證書由專門的證書管理機(jī)構(gòu)cA發(fā)放

    (四)身份認(rèn)證技術(shù)

    VPN需要解決的首要問題是網(wǎng)絡(luò)上的用戶與設(shè)備都需要有確定的身份認(rèn)證。不管其它安全設(shè)施有多嚴(yán)密，一旦身份認(rèn)證將錯(cuò)誤，必將導(dǎo)致整個(gè)VPN的失效。隨著技術(shù)的發(fā)展，常規(guī)用戶名+密碼方式(PAP)已經(jīng)不能提供足夠的安全保障。有專門機(jī)構(gòu)發(fā)放的數(shù)字證書，可以為設(shè)備提供更安全的認(rèn)證。

二、VPN的安全性問題介紹

    VPN的核心問題時(shí)安全問題。目前，VPN主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)安全保證的。但是， 當(dāng)一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問時(shí)，那么長時(shí)間在線就容易受到黑客的攻擊。公司安全防御系統(tǒng)中的弱點(diǎn)就是遠(yuǎn)程工作員工通過防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司的核心內(nèi)容。從安全的觀點(diǎn)來看，在家辦公的個(gè)人，是黑客攻擊的重點(diǎn)目標(biāo)，因?yàn)闉榧矣糜?jì)算機(jī)在安全軟件使用方面沒有公司做的到位。一般情況下，員工使用家用計(jì)算機(jī)時(shí)，僅僅是跟隨計(jì)算機(jī)通過一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)，侵入者可以通過一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。

    安全的加密隧道和正確的連接，也無法保證家庭計(jì)算機(jī)的安全。黑客為了侵入員工的家用計(jì)算機(jī)， 首先需要做的是探測IP地址，如果在家辦公人員具有一條諸如HDSL的不問斷連接鏈路(通常這種連接具有一個(gè)固定的IP地址)，這時(shí)就要當(dāng)心黑客的入侵。因此，必須在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻區(qū)有效的堵住遠(yuǎn)程訪問VPN的安全漏洞，保護(hù)網(wǎng)絡(luò)的安全。

三、總結(jié)

    文章對虛擬專業(yè)網(wǎng)絡(luò)VPN的隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)進(jìn)行了具體介紹，同時(shí)還提及了VPN的安全性問題，為后續(xù)進(jìn)一步對VPN的研究和應(yīng)用打下了理論基礎(chǔ)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：淺析虛擬專業(yè)網(wǎng)絡(luò)VPN技術(shù)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112157418.html