认证加密技术在实际中的应用—虚拟专用网VPN结构简析根据国际著名的网络安全研究公司Hurwitz Group的结论，在考虑网络安全问题的过程中，有五个方面的问题：网络的安全问题，操作系统的安全问题，用户的安全问题，应用程序的安全问题，以及数据的安全问题。

●网络层的安全性（Network Integrity）网络层的安全性问题即对网络的控制，即对进入网络的用户的地址进行检查和控制。

每一个用户都会通过一个独立的IP地址对网络进行访问，这一IP地址能够大致表明用户的来源所在地和来源系统。

目标网站通过对来源IP进行分析，便能够初步判断来自这一IP的数据是否安全。

防火墙产品和VPN———虚拟专用网就是用于解决网络层安全性问题的。

防火墙的主要目的在于判断来源IP，阻止危险或未经授权的IP的访问和交换数据。

VPN主要解决的是数据传输的安全问题，其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。

后面将对VPN作具体的介绍。

●操作系统的安全性（System Integrity）在系统安全性问题中，主要防止：一、病毒的威胁；二、黑客的破坏和侵入。

●用户的安全性（User Integrity）对于用户的安全性问题，考虑的是用户的合法性。

认证和密码就是用于这个问题的。

通常根据不同的安全等级对用户进行分组管理。

不同等级的用户只能访问与其等级相对应的系统资源和数据。

然后采用强有力的身份认证，并确保密码难以被他人猜测到。

●应用程序的安全性（Application Integrity）即只有合法的用户才能够对特定的数据进行合法的操作。

包括应用程序对数据的合法权限和应用程序对用户的合法权限。

●数据的安全性（Application Confidentiality）既用加密的方法保护机密数据。

在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理，以保证万一数据失窃，他人也读不懂其中的内容。

这是一种比较被动的安全手段，但往往能够收到最好的效果。

上述的五层安全体系并非孤立分散，它们是互相影响，互有关连的。

尤其是本课程所学习的加密和认证技术，在各个层次都有所应用，是网络安全的基础之一。

下面就应用了许多这些技术的网络层的安全技术VNP—虚拟专用网络做具体的讨论。

虚拟专用网络--- VPN以前，要想实现两个远地网络的互联，主要是采用专线连接方式。

这种方式虽然安全性高，也有一定的效率，成本太高。

随着Internet的兴起，产生了利用Internet网络模拟安全性较好的局域网的技术—虚拟专用网技术。

这种技术具有成本低的优势，还克服了Internet 不安全的弱点。

其实，简单来说就是在数据传送过程中加上了加密和认证的网络安全技术。

在VPN网络中，位于Internet两端的网络在Internet上传输信息时，其信息都是经过RSA非对称加密算法的Private/Public Key加密处理的，它的密钥（Key）则是通过Diffie-Hellman算法计算得出。

如，假设Ａ、Ｂ在Internet网络的两端，在Ａ端得到一个随机数，由VPN通过Diffie-Hellman算法算出一组密钥值，将这组密钥值存储在硬盘上，并发送随机数到B端，B端收到后，向A端确认，如果验证无误则在B端再由此产生一组密钥值，并将这组值送回A端，注册到Novell的目录服务中。

这样，双方在传递信息时便会依据约定的密钥随机数产生的密钥来加密数据。

确切来说，虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。

根据技术应用环境的特点，VPN大致包括三种典型的应用环境，即Intranet VPN，Remote Access VPN和Extranet VPN。

其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能；Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护；而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。

这三种方式中Extranet VPN应用的功能最完善，而其他两种均可在它的基础上生成，这里主要是针对Extranet VPN来谈。

VPN技术的优点主要有：(1) 信息的安全性。

虚拟专用网络采用安全隧道(Secure Tunnel)技术安全的端到端的连接服务，确保信息资源的安全。

(2) 方便的扩充性。

用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network)，实现异地业务人员的远程接入。

(3) 方便的管理。

VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。

同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。

(4) 显著的成本效益。

利用现有互联网络发达的网络构架组建企业内部专用网络，从而节省了大量的投资成本及后续的运营维护成本。

实现VPN的关键技术有：(1) 安全隧道技术(Secure Tunneling Technology)。

通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输.经过这样的处理，只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理，而对于其他用户而言只是无意义的信息。

(2) 用户认证技术(User Authentication Technology)。

在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。

(3) 访问控制技术(Access Control Technology)。

由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的访问控制，以实现对信息资源的最大限度的保护。

VPN系统的结构如下：VPN用户代理(User Agent, UA)向安全隧道代理(Secure Tunnel Agent, STA)请求建立安全隧道，安全隧道代理接受后，在VPN管理中心(Management Center,MC)的控制和管理下在公用互联网络上建立安全隧道，然后进行用户端信息的透明传输。

用户认证管理中心和VPN密钥分配中心向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，VPN用户代理又包括安全隧道终端功能(Secure Tunnel Function,STF)、用户认证功能(User Authentication Function,UAF)和访问控制功能(Access Control Function,ACF)三个部分，它们共同向用户高层应用提供完整的VPN服务.安全隧道代理(Secure Tunnel Agent, STA)和VPN管理中心(Management Center,MC)组成了VPN安全传输平面(Secure Transmission Plane,STP)，实现在公用互联网络基础上实现信息的安全传输和系统的管理功能。

公共功能平面(Common Function Plane,CFP)是安全传输平面的辅助平面，由用户认证管理中心(User Authentication & Administration Center,UAAC)和VPN密钥分配中心(Key Distribution Center,KDC)组成。

其主要功能是向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理。

用户认证管理中心（UAAC）与VPN用户代理直接联系，向安全隧道代理提供VPN用户代理的身份认证，必要时也可以同时与安全隧道代理（STA）联系，向VPN用户代理和安全隧道代理提供双向的身份认证。

下面分别对安全传输平面STP和公共功能平面CFP作详细的讨论：1．安全传输平面（STP）1．1 安全隧道代理（STA）安全隧道代理在管理中心组织下将多段点到点的安全通路连接成端到端的安全隧道，是VPN的主体，它主要的作用是：(1) 安全隧道的建立与释放(Secure Tunnel Connection & Release)。

按照用户代理（UA）的的请求，在UA与STA之间建立点到点的安全通道(Secure Channel)，然后在此安全通道中进行用户身份验证和服务等级协商的必要交互，然后在管理中心（MC）的控制下建立发送端到目的端之间由若干点到点的安全通道依次连接组成的端到端的安全隧道。

将初始化过程置于安全通道中进行，可以保护用户身份验证等重要信息的安全。

在信息传输结束之后，由通信双方的任一方代理提出释放隧道连接请求.(2) 用户身份的验证(User Authentication)。

在安全隧道建立的初始化过程中，STA要求UA提交用户认证中心提供的证书，通过证书验证以确认用户代理身份。

必要时还可进行UA对STA的反向认证以进一步提高系统的安全性。

(3) 服务等级的协商(Service Level Negotiation)。

用户身份验证通过之后，安全隧道代理与VPN用户代理进行服务等级的协商，根据其要求与VPN系统的资源现状确定可能提供的服务等级并报告至VPN管理中心。

(4) 信息的透明传输(Transparent Information Transmission)。

安全隧道建立之后，安全隧道代理负责通信双方之间信息的透明传输，并根据商定的服务参数进行相应的控制.(5) 远程拨号接入(Remote & Dial Access)。

为了实现异地接入功能，STA还需要与远程、拨号用户的用户代理进行必要的接口适配工作，进行协议的转换等处理。

这是远程接入VPN所特有的功能。

(6) 安全隧道的控制与管理(Secure Tunnel Control & Management)。

在安全隧道连接维持期间，安全隧道代理还要按照管理中心（MC）发出的VPN网络性能及服务等级有关的管理命令并对已经建立的安全隧道进行管理。

1．2VPN管理中心（MC）VPN管理中心只与安全隧道代理（STA）直接联系，负责协调安全传输平面上的各STA之间的工作，是整个VPN的核心部分。

其主要功能包括：(1) 安全隧道的管理与控制。

确定最佳路由，并向该路由上包含的所有STA 发出命令，建立连接。

隧道建立以后，VPN管理中心继续监视各隧道连接的工作状态，对出错的安全通道，VPN管理中心负责重新选择路由并将该连接更换到替代路由。

在信息传输过程中用户要求改变服务等级或者为了对整个网络性能优化的需要对已建立的隧道服务等级进行变更时，VPN管理中心向相应隧道连接上的STA发出更改服务等级命令。