***是通過因特網上將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的辦法。它最大的優點在於異地子網間的通信就象在一個子網內一樣安全,虛擬專用網絡由此而得名。
***的三個基本要素
1. IP封裝
***系統的第一個基本要素是使用IP封裝。若一個IP包包含其他IP包時,就稱爲IP封裝。IP封裝可以使兩個實際上分離的網絡計算機看上去像比鄰的——相互之間只是由一個路由器分開,但是它們是通過許多網絡路由器和網關分開的,這些路由器和網關也可能不用同一個地址空間。
例如,若有兩個使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服務器連接的IP網絡,一個局域網的網絡地址是10.1.1,另一個是10.1.2。每個網絡上的RAS服務器都提供到Internet的連接。一個RAS服務器有一個局域網的IP地址10.1.1.1和一個ISP分配的因特網地址250.121.13.12,而另一個RAS服務器的局域網地址是10.1.2.1,ISP分配的因特網地址是110.121.112.34。這時若10.1.1網絡中的一個計算機,假設爲10.1.1.23,需向10.1.2網絡中的一個計算機,假設爲10.1.2.99,發送一個IP包。其通信過程爲:
1) 發送方的計算機首先注意到,目標地址10.1.2.99的網絡部分與它自己的網絡地址不匹配。
2) 發送方不將包直接發送給目標地址,而是將包發送給自己子網缺省的網關地址10.1.1.1。
3) 這個10.1.1網絡上的RAS服務器讀這個包。
4) 網絡10.1.1上的RAS服務器判斷出這個包應被放到10.1.2網絡的子網上。
5) RAS服務器加密這個包,並用另一個包將它封裝起來。
6)路由器從它的網絡接口上發送這個封裝的包(這個接口連接到因特網上,假設地址爲24.121.13.12)到10.1.2網絡子網的RAS服務器的因特網地址110.121.112.34上。
7)10.1.2網絡子網的RAS服務器從它的因特網接口讀這個封裝和加密的包。
8)10.1.2網絡子網的RAS服務器解密這個封裝的IP包,驗證它是一個有效的IP包,也就是它沒有被改動過並且來自可靠的地方。
9)10.1.2網絡子網的RAS服務器從它的適配器上將這個包發送到網絡子網的目標地址10.1.2.99。
10)目標計算機讀這個包。
這就是一個簡單的***的IP封裝過程。
2. 加密的身份認證
密碼身份認證用來安全有效地驗證遠程用戶的身份,這樣系統就可以判斷出適合這個用戶的安全級別。如***可使用密碼身份認證來決定用戶是否可以參與到加密通道中。
3. 數據有效負載加密
數據有效負載加密用來加密被封裝的數據。
國內外的***產品
***是一項新興技術。它比專用廣域網便宜,但比局域網慢,也不如單獨的局域網或廣域網安全。目前國內外許多大的網絡安全產品公司都推出了自己的***產品,這些***產品大部分都和自己的防火牆產品結合到一起,但也有一些公司的***產品是單獨的。國內的產品有天融信公司SJW11網絡密碼機(***)產品,東大阿爾派公司即將推出的NetEye ***等。