得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书

第二章 VPN技术概述

2.1 VPN技术

虚拟专用网(VPN)技术是指在公共网络中建立专用网络，数据通过安全的"加密管道"在公共网络中传输。

VPN的关键技术包括安全隧道技术、信息加密技术、用户认证技术和访问控制技术。隧道技术使得各种内部数据包可以通过公网进行传输；信息加密技术用于加密隐蔽传输信息；用户认证技术用于认证用户身份、抗否认等；网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。

VPN的实现可采用二层隧道技术和三层隧道技术。得安VPN系统采用的是标准的IPSec协议。IPSec是目前最流行、最完备的三层隧道技术，它是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准。它为IP及上层协议（如TCP和UDP）提供了安全保证。

数据在VPN中传输时，IPSec可有效地保护IP数据包的安全，它采取的具体保护形式是：

z 数据起源地验证：检验每个数据报是否由所声明的发送者产生的；

z 无连接数据的完整性验证：检验数据报的内容在传输过程中没有被篡改； z 数据内容的机密性：掩盖了传输消息的明文信息，典型地是使用加密方法； z 抗重传保护：确保攻击者不能截获一个数据报而在以后的某个时间进行重

传；

设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此，IPSec协议中涉及各种密码算法，具体的加密和认证算法的选择因IPSec实现的不同而不同，但为了保证互操作性，IPSec中规定了每个IPSec实现要强制实现的算法。

2.2 VPN的组网方式

虚拟专用网可以利用现存的世界范围的公网，为企业内部各部门之间和企业与企业之间提供安全、经济的通信方式。

随着企业业务的发展，企业网络的发展面临着一个新的模式：现在的企业网络地址：济南市高新开发区舜华路得安科技大厦 邮编：250101 电话：0531-8873355 传真：0531-8873355 5 网址：