虚拟专用网 VPN技术把需要经过公共网络传递的报文加密处理后由公共网络发送到目的地。..

VPN是一种建立在公网上的虚拟专用网络，它利用IPSec、PFTP、LZTP和建立在PKI基础上的加密与数字签名技术获得机密性保护。在VPN中使用PKI技术能增强VPN的身份认证能力，确保数据的完整性和不可否认性。使用PKI技术能够有效建立和管理信任关系，利用数字证书既能阻止非法用户访问VPN，又能够限制合法用户对VPN的访问，同时还能对用户的各种活动进行严格审计。

VPN技术

1）传统的VPN技术

虚拟专用网是通过公共网络实现远程用户或远程局域网之间的互联，主要采用隧道技术，让报文通过如Internet或其他商用网络等公共网络进行传输。

传统的VPN技术主要是基于数据安全传输的协议来完成，主要包括两个层次的数据安全传输协议：2层协议和3层协议。

（1）2层协议主要是对传统拨号协议PPP的扩展，通过定义多协议跨越第二层点对点链接的一个封装机制，来整合多协议拨号服务至现有的因特网服务提供商，保证分散的远程客户端通过隧道方式经由Internet等网络访问企业内部网络。其典型协议为L2TP。

（2）3层协议主要定义了在一种网络层协议上封装另一个协议的规范，可以在VPN寄生的网络上进行传递，使得各个VPN之间可以借助隧道进行通信。典型的3层协议包括IPSec和GRE。

2）MPLS VPN技术

MPLS（Multi-Protocol Label Switching，多协议标记交换）是基于标记的IP路由选择方法，这些标记能被用来代表逐跳式或显式路由。MPLS为每个IP数据包提供一个标记，将之和IP数据包封装于新的MPLS数据包，由此决定IP数据包的传输路径及优先顺序，而和MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无须再去读取每个IP数据包中的IP地址等信息，因此数据包的交换转发速度大大加快。

MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP-VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

加密

保密与加密

保密就是保证敏感信息不被非授权的人知道。加密是指通过将信息进行编码而使得侵入者不能够阅读或理解的方法，目的是保护数据和信息。解密是将加密的过程反过来，即将编码信息转化为原来的形式。古时候的人就已经发明了密码技术，而现今的密码技术已经从外交和军事领域走向了公开，并结合了数学、计算机科学、电子与通信等诸多学科而成为了一门交叉学科。现今的密码技术不仅具有保证信息机密性的信息加密功能，而且还具有数字签名、身份验证、秘密分存、系统安全等功能，来鉴别信息的来源以防止信息被篡改、伪造和假冒，保证信息的完整性和确定性。

加密与解密机制

加密的基本过程包括对原来的可读信息（称为明文或平文）进行翻译，译成的代码称为密码或密文，加密算法中使用的参数称为加密密钥。密文经解密算法作用后形成明文，解密算法也有一个密钥，这两个密钥可以相同也可以不相同。信息编码的和解码方法可以很简单也可以很复杂，需要一些加密算法和解密算法来完成。

从破译者的角度来看，密码分析所面对的问题有三种主要的变型：①“只有密文”问题（仅有密文而无明文）；②“已知明文”问题（已有了一批相匹配的明文与密文）；③“选择明文”（能够加密自己所选的明文）。如果密码系统仅能经得起第一种类型的攻击，那么它还不能算是真正的安全，因为破译者完全可能从统计学的角度与一般的通信规律中猜测出一部分的明文，而得到一些相匹配的明文与密文，进而全部解密。因此，真正安全的密码机制应使破译者即使拥有了一些匹配的明文与密文也无法破译其他的密文。

如果加密算法是可能公开的，那么真正的秘密就在于密钥了，密钥长度越长，密钥空间就越大，破译密钥所花的时间就越长，破译的可能性就越小。所以应该采用尽量长的密钥，并对密钥进行保密和实施密钥管理。

国家明确规定严格禁止直接使用国外的密码算法和安全产品，原因主要有两点：①国外禁止出口密码算法和产品，目前所出口的密码算法都有破译手段，②国外的算法和产品中可能存在“后门”，要防止其在关键时刻危害我国安全。

密码算法

密码技术用来进行鉴别和保密，选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法（又称为对称密码算法）和公开密钥密码算法（又称为非对称密码算法）两类，对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。

对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类（这两种体制之间还有许多中间类型）。

序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是：通过有限状态机产生性能优良的伪随机序列，使用该序列将信息流逐比特加密从而得到密文序列。可以看出，序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组（如64比特一组），对每一组明文用同一个密钥和同一种算法来加密，输出的密文也是固定长度的。在序列密码体制中，密文不仅与最初给定的密码算法和密钥有关，同时也是被处理的数据段在明文中所处的位置的函数；而在分组密码体制中，经过加密所得到的密文仅与给定的密码算法和密钥有关，而与被处理的明数据段在整个明文中所处的位置无关。

不同于传统的对称密钥密码体制，非对称密码算法要求密钥成对出现，一个为加密密钥（可以公开），另一个为解密密钥（用户要保护好），并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。另外，公钥加密也用来对专用密钥进行加密。

公钥算法不需要联机密钥服务器，只在通信双方之间传送专用密钥，而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单，所以极大简化了密钥管理，但公共密钥方案较保密密钥方案处理速度慢，因此，通常把公共密钥与专用密钥技术结合起来实现最佳性能。

密钥及密钥管理

密钥是密码算法中的可变参数。有时候密码算法是公开的，而密钥是保密的，而密码分析者通常通过获得密钥来破译密码体制。也就是说，密码体制的安全性建立在对密钥的依赖上。所以，保守密钥秘密是非常重要的。

密钥管理一般包括以下8个内容。

（1）产生密钥：密钥由随机数生成器产生，并且应该有专门的密钥管理部门或授权人员负责密钥的产生和检验。

（2）分发密钥：密钥的分发可以采取人工、自动或者人工与自动相结合的方式。加密设备应当使用经过认证的密钥分发技术。

（3）输入和输出密钥：密钥的输入和输出应当经由合法的密钥管理设备进行。人工分发的密钥可以用明文形式输入和输出，并将密钥分段处理；电子形式分发的密钥应以加密的形式输入和输出。输入密钥时不应显示明文密钥。

（4）更换密钥：密钥的更换可以由人工或自动方式按照密钥输入和密钥输出的要求来实现。

（5）存储密钥：密钥在加密设备内采用明文形式存储，但是不能被任何外部设备访问。

（6）保存和备份密钥：密钥应当尽量分段保存，可以分成两部分并且保存在不同的地方，例如一部分存储在保密设备中，另一部分存储在IC卡上。密钥的备份也应当注意安全并且要加密保存。

（7）密钥的寿命：密钥不可以无限期使用，密钥使用得越久风险也就越大。密钥应当定期更换。

（8）销毁密钥：加密设备应能对设备内的所有明文密钥和其他没受到保护的重要保护参数清零。

虚拟专用网

虚拟专用网络（Virtual Private Network，VPN）提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样，VPN也由客户机、传输介质和服务器3部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Internet或Intranet。

VPN可以实现不同网络的组件和资源之间的相互连接，利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

实现VPN的关键技术：

（1）安全隧道技术（tunneling）：隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。

（2）加解密技术：VPN利用已有的加解密技术实现保密通信。

（3）密钥管理技术：建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性。

（4）身份认证技术：假如VPN的用户都要通过身份认证，通常使用用户名和密码，或者智能卡实现。

（5）访问控制技术：由VPN服务的提供者根据在各种预定义的组中的用户身份标识，来限制用户对网络信息或资源的访问控制的机制。

隧道技术可以分别以第2、3层隧道协议为基础。第2层隧道协议对应OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP（Point to Point Tunneling Protocol，点对点隧道协议），L2TP（Layer Two Tunneling Protocol，第二层通道协议）和L2F（Level 2 Forwarding protocol，第2层转发）都属于第2层隧道协议，都是将数据封装在PPP帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPoverIP及IPSec（Internet Protocol Security，IP协议安全性）隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。

PPTP是一种支持多协议虚拟专用网络的网络技术。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分，那么即可通过该IP网络与PPTP服务器取得连接；而如果PPTP客户机尚未连入网络，比如在Internet拨号用户的情形下，PPTP客户机必须首先拨打NAS（Network Access Server，网络接入服务器）以建立IP连接。

L2TP是VPDN（Virtual Private Dail-up Network，虚拟专用拨号网络）技术的一种，专门用来进行第2层数据的通道传送，即将第2层数据单元，如点到点协议（Point-to-Point Protocol，PPP）数据单元，封装在IP或UDP载荷内，以顺利通过包交换网络（如Internet），抵达目的地。

如果需要在传输层实现VPN，则可使用TLS（Transport Layer Security，传输层安全协议）协议。TLS是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信，TLS确保没有第三方能窃听或盗取信息。TLS是SSL的后继协议。TLS由两层构成：TLS记录协议和TLS握手协议。TLS记录协议使用机密方法（如DES）来保证连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并协商加密算法和密钥。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5