因傳輸私有信息,VPN用戶相對在意數據的安全性。為確保信息安全,VPN技術應有以下基本功能。

①加密數據。確保由公網傳輸的信息儘管被截獲,還是不存在泄露。

②信息驗證和身份識別。確保信息的完整性、合理性,並可鑑別用戶身份。

③给予訪問控制。不一樣的用戶的訪問權限不一樣。

④地址管理。VPN方案得可向用戶分配備專用網絡上安全的地址。

⑤密鑰管理。VPN方案得可以產生且更新客戶端與服務器的加密密鑰。

⑥多協議支持。VPN方案得滿足公共網絡幾乎都使用的基本協議,包括IP、IPX等。

如今VPN主要藉助5項技術確保以上各項功能,這五項技術介紹分貝如下。

(1)隧道技術

隧道技術是VPN的底層支撐技術。隧道事實上為封裝的一種,即把一種協議(協議X)封裝進另一種協議(協議Y)里進行傳輸,從而達到協議X對公網的透明性。協議X叫封裝協議,協議Y叫封裝協議,封裝的時候通常也得加入指定的隧道控制信息,所以隧道協議的通常形式是((協議Y)隧道頭(協議X))。在公網上傳輸中,僅VPN端口或網關的IP位址在外邊。隧道解決了專網與公網的兼容問題,其好處是可隱藏發送者、接收者的IP位址及其他協議信息。VPN藉助隧道技術給用戶無縫、安全、端到端的連接服務,來使信息資源安全。

(2)加解密技術

加解密技術為的另外一個核心技術。為使數據在傳輸中安全,不被竊取或篡改,一般加密都在傳輸前,在接收方再對其解密。

(3)密鑰管理技術

密鑰管理技術的主要功能是在不被盜的情況下安全地在公共網絡上傳輸密鑰。现在密鑰管理的協議有ISAKMP、SKIP等。IKE是一種Internet安全關聯與密鑰管理協議語言,用於定義密鑰的交換,結合Oakley與SKEME的主要交換方案,利用協商安全策略得到相應的認證加密參數。IKE交換的最終是為了給出一個驗證過了的密鑰及在雙方願意前提下的安全服務。SKIP主要用Diffie-Hellman算法由網絡傳輸密鑰。

(4)身份認證技術

身份認證技術可預防第三方的主動攻擊。一般用戶和設備在交換數據前,先對證書進行核對,若準確沒有錯誤,雙方才實施數據的交換。用戶身份認證最常見的技術是用戶名和密碼方式。而設備認證需靠由CA頒發的電子證書。

(5)訪問控制技術

由VPN服務和最後網絡信息資源的供應者協商明確指定用戶訪問指定資源的權限,這樣來達到基於用戶的細粒度訪問控制,對信息資源進行最大程度的保護。