虚拟专用网络VPN的应用性（虚拟专用网络VPN的应用性）

在虚拟专用网络（VirtualPrivateNetwork，VPN）是在公共通信基础设备上构建的虚拟专用网或私有网，被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密通信协议，使联接互联网但位于不同地方的两个或多个网络之间，建立起一条专有通信线路。VPN的核心是利用公共网络建立虚拟私有网，通过提供跨公网的私有网络通信能力，保证通信的私密性。因此对于保密要求较高的重要部门，VPN的安全性不言而喻。信息时代，越来越多的日常工作需要通过计算机网络进行处理。

常用的VPN实现技术主要包括：L2TP协议、PPTP协议和IPSec协议。

（一）L2TP协议

L2TP（Layer2TunnelingProtocol）协议即第二层隧道协议，是典型的被动式隧道协议，可使用户从客户端或访问服务器端发起VPN联接。L2TP协议是把链路层PPP帧封装在公共网络设施中进行隧道传输的封装协议，主要由LAC（L2TPAccessConcentrator）和LNS（L2TPNetworkServer）构成。L2TP协议包括由远程拨号用户发起和直接由LAC客户发起这2种隧道模式。

（二）PPTP协议

PPTP（PointtoPointTunnelingProtocol）协议即点对点隧道协议，是在PPP协议基础上开发的一种增强型安全协议。为保证安全，可使用密码身份验证协议（PAP）、可扩展身份验证协议（EAP）、质询握手协议（CHAP）对终端进行身份验证。PPTP协议分为2部分：控制层链接和隧道。PPTP链接的建立过程可分为：TCP三次握手、PPTP控制连接建立、PPP协议LCP协商、PPP协议身份验证、PPP协议NCP协商和PPP协议CCP协商。

（三）IPSec协议

IPSec（IPSecurity）协议是互联网工程任务组（IETF）制定的一系列协议，可保证IP数据包安全。特定通信方在IP层，通过加密与数据源验证等方式，保证数据包在网络传输时的私有性、完整性、真实性和防重放。IPSec协议包括AH、ESP和IKE等3个基本协议及传输模式和隧道模式2种模式。

（一）L2TPVPN的安全性

L2TP协议支持多种传输介质，可穿越IP和非IP公共网络，因此L2TP控制报文和数据报文很容易受到攻击。例如，通过监听数据报文可以很容易发现用户身份标识符，可对L2TP数据报文和控制报文进行修改，可对L2TP协议和协议中的PPP联接进行攻击，也可通过对PPP的LCP认证协商过程进行监听和控制，减弱或取消PPP的认证过程，甚至获得用户口令。为防止攻击的发生，L2TP协议必须能为控制报文和数据报文提供认证、完整性、重发攻击和秘密性保护，以及对密钥进行有效管理的方法。L2TP协议、PPP协议提供的认证和加密机制无法满足L2TP协议的安全性要求。

（二）PPTPVPN的安全性

PPTPVPN在PPP协议阶段无法避免黑客攻击，在LCP认证阶段，攻击者可截获该过程的数据包，分别冒充客户端和服务器，通过伪造报文，使客户端和服务器发生重协商行为，最终使客户端与服务器由CHAP认证协议翻转为PAP协议。由于在PAP认证过程中的用户名和密码以明文形式传输，因此攻击者可获取用户名和密码，从而进一步获取通信双方信息。

（三）IPSecVPN的安全性

互联网交换密钥协议（IKE）在协商建立安全联盟（IKESA）时，通信双方通过互联网将公钥传递给对方，然后将自己的私钥与对方的公钥进行运算，从而得到双方共同拥有的密钥，监听者仅根据双方的公钥无法得到这个密钥。此外，网关通过认证中心（CA）获取对方公钥时，将采用静态方法，通过公钥实现与CA的认证。由于双方在建立IKESA时，采用了身份认证和加密技术，因此能防范“中间人”攻击。在IKESA建立后，所有通信都是在IKESA的密钥保护下进行，可有效防止“监听”和“中间人”攻击。当攻击者对IKE进行重传攻击时，由于IKE的ISAKMP中使用的Cookie都是独一无二的，且对定义它的特殊交换来说也是独一无二的，因此可防止新的数据流进入过期的数据包。如果对方要对整个IKE协商过程进行重传，由于每次使用的Cookie不同，攻击则无效。此外，攻击者截获被保护的IP包，只能获得IP头、ESP头中的部分信息，但由于ESP和AH中都有序列号字段，当包使用同样的SA发送时，每发一次序列号字段都将加1，它标示了每一个包及有多少个包使用同样的参数被发送。这样就可以通过检查包的序列号，把包含重复序列号的包丢弃，从而达到防范“报文重传”攻击的目的。

通过以上分析可知，L2TP协议和PPTP协议在数据传输过程中都存在一定安全隐患，基于IPSec协议的VPN技术可有效防止黑客入侵，保护用户的通信信息。因此，对于保密性要求较高的重要部门，建议选择使用基于IPSec协议实现的VPN，保证通信安全。