VPN技术比较

xlming126

从总体来说，VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，VPN主要包含隧道技术与安全技术。 　　隧道技术 隧道技术对于构建 VPN 来说，是一个关键性技术。它的基本过程是在源局域网与公网的接口处，将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。这样，被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。 目前VPN隧道协议有四种。 　　点对点隧道协议PPTP PPTP（Point to Point Tunneling Protocol）协议将控制包与数据包分开。控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE（通用路由协议封装） V2协议中。目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。 　　第二层隧道协议L2TP L2TP（Layer 2 Tunneling Protocol）协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F（Layer 2 Forwarding，二层转发协议）协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是，L2TP没有任何加密措施，更多的是和IPSec协议结合使用，提供隧道验证。 　　IPSec协议 IPSec（网络协议安全）协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构。它包括网络安全协议AH (Authentication Header)协议和ESP (Encapsulating Security Payload)协议、密钥管理协议IKE (Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网服务。 　　现在一种发展趋势，是将L2TP和IPSec结合起来，即用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN都采用这类技术。 它的优点是定义了一套用于保护私有性和完整性的标准协议，可确保运行在TCP/IP协议上VPN之间的互操作性；不足之处在于，除了包过滤外，它没有指定其他访问控制方法，对于采用NAT（网络地址翻译）方式访问公共网络的情况难以处理，为此最适合于可信LAN到LAN之间VPN的场合应用。 　　SOCKS v5协议 SOCKS v5工作在OSI（Open System Internet）模型中的第五层——会话层，可作为建立高度安全的VPN基础。SOCKS v5协议的优势在于访问控制，因此适用于安全性较高的VPN。 SOCKS v5现在被IETF（互联网工程任务组），建议作为建立VPN的标准。 它的优点是能够非常详细地进行访问控制，即在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术；SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。但是，它也有不少令人遗憾之处：性能比低层次协议差，必须制定更复杂的安全管理策略。这样，它最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。 　　安全技术 VPN常常需要在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。 　　认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。 　　加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES（Data Encryption Stamdard）、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。 　　密钥交换与管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况；密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）和Oakley

edwardk

学习中。。。。。