VPN技術(shù)應用

ISSN1009-3044E-mail: jslt@dnzs net cnComputer Knowledge and Technology電腦知識與技術(shù)Vol 11. No 27 September 2015Tel:+86-551-6569096365690964VPN技術(shù)應用朱梅,樊中奎(江西理工大學(xué)軟件學(xué)院,江西南昌330013)摘要:PN(虛擬專(zhuān)用網(wǎng))技術(shù)是采用隧道技術(shù)以及加密、身份認證等方法在公共網(wǎng)絡(luò )上構建企業(yè)網(wǎng)絡(luò )的技術(shù)。該文首先對VPN的基本原理進(jìn)行說(shuō)明,結合TCPP協(xié)議、加密技術(shù)等與ⅴPN相關(guān)基礎知識較詳細論述了ⅴPN通道技術(shù)以及Isec協(xié)議和VNP的兩個(gè)主要協(xié)議:認證頭協(xié)議(AH)和封裝安全載荷協(xié)議ZTP)。最后展示了ⅤPN的不同應用場(chǎng)景。關(guān)鍵詞:PN;隧道;安全傳輸中圖分類(lèi)號:TP393文獻標識碼:A文章編號:1009-3044(2015)27-0042-03隨著(zhù)網(wǎng)絡(luò )技術(shù)的快速發(fā)展,越來(lái)越多的組織或單位的員工絡(luò )上傳送的報文信息在中間路由器上被修改,然后再發(fā)向目的需要隨時(shí)隨地連接到總部的網(wǎng)絡(luò ),很多跨國企業(yè)在全球建立多地,這種方式是惡意者常使用的方法門(mén)。個(gè)分支機構,同時(shí)企業(yè)也要使用網(wǎng)絡(luò )與合作伙伴或客戶(hù)之間進(jìn)重放攻擊:重放攻擊又稱(chēng)重播攻擊、回放攻擊是計算機世行動(dòng)態(tài)的聯(lián)系,這些都會(huì )給企業(yè)帶來(lái)了網(wǎng)絡(luò )的管理和安全性問(wèn)界黑客常用的攻擊方式,所謂重放攻擊就是惡意人員發(fā)送一個(gè)題。 VPN(visual Private Network)技術(shù)就是在這種形勢下應運目的主機已接收過(guò)的包,讓系統重新執行相關(guān)操作來(lái)進(jìn)行惡意而生它使企業(yè)能夠在公共網(wǎng)絡(luò )上創(chuàng )建自己的專(zhuān)用網(wǎng)絡(luò ),使得活的過(guò)程,這種方式主要用來(lái)身份認證階段企業(yè)員工,分支機構,以及合作伙伴之間可以進(jìn)行安全保密的12vPN協(xié)議介紹通信。VPN已經(jīng)是當前網(wǎng)絡(luò )中的一項重要的應用。采用VPN技術(shù),通過(guò)使用VPN服務(wù)器可以通暢的鏈接單lVPN的工作原理組或組織內部網(wǎng),同時(shí)又能保證信息的安全保密。當前直接使VPN就是在當前現有網(wǎng)絡(luò )協(xié)議的基礎之上通過(guò)附加相關(guān)用路由器可以很容易實(shí)現不同主機網(wǎng)絡(luò )之間的互聯(lián),但是并不的協(xié)議使通信雙方可以在公共網(wǎng)絡(luò )上進(jìn)行通信時(shí)能夠實(shí)施數能對特別用途的數據進(jìn)行限制。使用VPN服務(wù)器進(jìn)行網(wǎng)絡(luò )信據機密性保護,數據完整性保護,數據源身份認證,數據重放避息的管控,只有符合單位身份要求的用戶(hù)才能連接VPN服務(wù)器免的方法進(jìn)行數據保護的技術(shù)獲得訪(fǎng)問(wèn)信息的權限。此外,VPN服務(wù)器可以對所有ⅤPN數據11網(wǎng)絡(luò )風(fēng)險進(jìn)行加密,部門(mén)內部的局域網(wǎng)對其他用戶(hù)來(lái)說(shuō)是不可見(jiàn)的,從而確保數據的安全性。數據泄漏風(fēng)險是指網(wǎng)絡(luò )通信過(guò)程中撥入段數據泄漏風(fēng)險常用的PN協(xié)議有:L2F( Layer2 Forwarding protocol),是包括:攻擊者在撥入鏈路上實(shí)施監聽(tīng);IsP查看用戶(hù)的數據;In-由思科系統公司開(kāi)發(fā)的,創(chuàng )建在互聯(lián)網(wǎng)上的虛擬專(zhuān)用網(wǎng)絡(luò )連接ternet數據泄漏的風(fēng)險。信息在到達請求或返回信息服務(wù)點(diǎn)的隧道協(xié)議。L2F協(xié)議本身并不提供加密或保密;它依賴(lài)于協(xié)之前穿越多個(gè)路由器,明文傳輸的數據很容易在路由器上被查議被傳輸以提供保密,L2F是專(zhuān)為隧道點(diǎn)對點(diǎn)協(xié)議(P)通信看和修改。竊聽(tīng)者可以在其中任一段網(wǎng)絡(luò )鏈路上監聽(tīng)數據,叫。12P( Laver two Tunneling protocol,第二層隧道協(xié)議是一段加密不能防止報文在路由器上被抓取,惡意的IsP(網(wǎng)絡(luò )提種虛擬隧道協(xié)議,是一種虛擬專(zhuān)用網(wǎng)的協(xié)議。L2TP協(xié)議本身商)經(jīng)常利用修改通道的終點(diǎn)的方法讓信息轉到一個(gè)存在風(fēng)不具有加密的功能,因此必須跟其他協(xié)議配和使用才能完成險的網(wǎng)關(guān)。安全在網(wǎng)關(guān)中的風(fēng)險:數據在安全網(wǎng)關(guān)中是沒(méi)有經(jīng)保密通信的工作。與L2TP協(xié)議搭配的加密協(xié)議是 IPsec,通常過(guò)加密的,所以網(wǎng)關(guān)管理員可以隨意查看機密數據,網(wǎng)關(guān)本身稱(chēng)為L(cháng)2 TP/IPsec。點(diǎn)對點(diǎn)隧道協(xié)議( Point to Point Tunneling也會(huì )存在漏洞,一旦被黑客攻破,流經(jīng)安全網(wǎng)關(guān)的數據將面臨 Protocol)是實(shí)現虛擬專(zhuān)用網(wǎng)(VPN)的方式之一,PPTP使用傳輸風(fēng)險。單位內部網(wǎng)中數據泄漏的風(fēng)險:內部網(wǎng)中可能存在被內控制協(xié)議(TCP)創(chuàng )建控制通道來(lái)發(fā)送控制命令,以及利用通用部惡意人員或者惡意程序控制的主機、路由器等,內部員工可路由封裝(CRE)通道來(lái)封裝點(diǎn)對點(diǎn)協(xié)議(PP數據包以發(fā)送數以獲得企業(yè)內部網(wǎng)的數據報文。據,這個(gè)協(xié)議最早由微軟等廠(chǎng)商主導開(kāi)發(fā),但因為它的加密方數據源身份偽造:發(fā)送信息者偽造別人的身份進(jìn)行信息的式容易被破解,微軟已經(jīng)不再建議使用這個(gè)協(xié)議。傳送,而接收者不能明確的確定發(fā)送者的身份,從而給接收者帶來(lái)不必要的損失。在公司企業(yè)中如果接收到偽造公司領(lǐng)導13VPN隧道技術(shù)身份發(fā)送重要的決策指令將會(huì )給公司和企業(yè)帶來(lái)重大的損失。隧道技術(shù)是一種在現在網(wǎng)絡(luò )協(xié)議的基礎之上,通過(guò)在現有信息篡改,截斷:當黑客通過(guò)其他相關(guān)手段掌握了信息的報文中增加相關(guān)的內容,讓帶有這樣信息的報文在公共的網(wǎng)絡(luò )傳遞方式,以及信息格式等相應的規律后,通過(guò)各種方法,將網(wǎng)中進(jìn)行安全傳輸。使用隧道傳遞的數據(或負載)可以是不同H中國煤化工CNMHG收稿日期:2015-09-02作者簡(jiǎn)介:朱梅(1980—),女,江蘇無(wú)錫人,主要研究方向:信息安全,人機交互網(wǎng)絡(luò )通訊及安全本欄目責任編輯代影第11卷第27期(2015年9月)omputer Knowledge and Technology電腦知識與技術(shù)協(xié)議的數據幀或包。這些包含有VPN相關(guān)協(xié)議的幀或包封裝包,負載IP包在經(jīng)過(guò)正常處理之后被路由到位于目標網(wǎng)絡(luò )的目到新帶有路由信息的包頭中,從而使封裝的負載數據能夠通過(guò)的地?；ヂ?lián)網(wǎng)絡(luò )傳遞。個(gè)數據包經(jīng) IPsecvPN隧道的傳送過(guò)程,由左邊的ⅤPN經(jīng)過(guò)封裝的數據包在網(wǎng)絡(luò )上的兩個(gè)端點(diǎn)之間通過(guò)公共互保護子網(wǎng)內的PC機向右邊ⅤPN保護子網(wǎng)內的PC機傳送數據聯(lián)網(wǎng)絡(luò )進(jìn)行傳輸,這段公共互聯(lián)網(wǎng)絡(luò )上傳遞時(shí)所經(jīng)過(guò)的邏輯路時(shí)。① HostA發(fā)送的數據由ⅤPN網(wǎng)關(guān)1內口;②VPN網(wǎng)關(guān)1內徑稱(chēng)為隧道。一旦到達接收數據的網(wǎng)絡(luò ),數據將被解包并轉口接收后發(fā)現需要經(jīng)過(guò)隧道,則把數據交由VPN網(wǎng)關(guān)1加密發(fā)到最終目的地。隧道技術(shù)的本質(zhì)就是數據封裝,傳輸和解包③加完密后再由左eth0外口發(fā)送到VPN網(wǎng)關(guān)2的eth0外口;④在內的全過(guò)程如圖1所示。右VPN網(wǎng)關(guān)2外口收到數據發(fā)現需要解密;⑤則由右VPN網(wǎng)ClientA uthenticating關(guān)2內口解完密后交由右內網(wǎng)交換機轉發(fā)或由本機接收,具圖Device如圖2所示。InternetChallenge= session iD, Challenge stringResponse s MD5 Hash(session ID, Challenge String, User Password), User Nam圖1VPN隧道技術(shù)PPP( Point to point protocol)協(xié)議隧道技術(shù)建立過(guò)程經(jīng)過(guò)e核心處理以后階段1:創(chuàng )建PPP鏈路經(jīng)過(guò)e核心處理以稻PPP使用鏈路控制協(xié)議(LCP)進(jìn)行物理鏈路的鏈接,鏈路創(chuàng )建的過(guò)程中首先是選擇通信的方式;通信雙方的驗證協(xié)議通信雙方的數據壓縮或加密方式階段2:用戶(hù)驗證圖2 IPSec隧道數據傳輸示意圖這此階段客戶(hù)端將自己的身份信息發(fā)送給你遠端接入服2VN技術(shù)應用務(wù)器,這個(gè)過(guò)程是以安全的方式進(jìn)行的避免信息的泄露。這個(gè)21用VN連接分支機構過(guò)程通常使用包括口令驗證協(xié)議(PAP),挑戰握手驗證協(xié)議(CHAP)和微軟挑戰握手驗證協(xié)議( MSCHAP)。隨著(zhù)社會(huì )的發(fā)展當前有很多大型的公司企業(yè)他們在全球階段3:PPP回叫控制有很多分支機構,而每個(gè)分支機構都要與總部進(jìn)行頻繁信息傳回叫控制階段是PP中的一個(gè)可選的階段。當驗證完成輸,這些信息之中有很多是重要的商業(yè)機密信息一旦泄露會(huì )給后遠程客戶(hù)和網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器斷開(kāi),然后由網(wǎng)絡(luò )服務(wù)器使用特公司帶來(lái)巨大的損失。所以分支構與總部以及分支之間的信點(diǎn)的電話(huà)號碼進(jìn)行回叫。這樣能夠對遠程客戶(hù)身份進(jìn)行重新息通信一定要進(jìn)行保護,由于公司地域范圍太大不可能建立私確認,有效增加了通信的安全性的網(wǎng)絡(luò )。使用PN連接公司的各個(gè)各支機構是進(jìn)行保密通信用網(wǎng)絡(luò )層協(xié)議是VPN是當前最好的選擇。由于公司各個(gè)分支以及總部的內在上面階段完成后,在數據進(jìn)行傳輸以前要完成網(wǎng)絡(luò )層協(xié)部都是安全的線(xiàn)路,只要在公共網(wǎng)上保證信息的保密就能保證議的調用,當前網(wǎng)絡(luò )層的一般為P協(xié)議,此時(shí)P控制協(xié)議就會(huì )信息的安全,所在各個(gè)分支以及總部接入到公網(wǎng)以前架設VPN為用戶(hù)分配動(dòng)態(tài)地址。在微軟的PP方案中還會(huì )調用壓縮控關(guān),雙方的通信信息發(fā)出時(shí)對信息進(jìn)行加密,接收到信息對制協(xié)議和數據加密協(xié)議支機構階段5:數據傳輸階段網(wǎng)的示意如:圖3所示在此階段PPP就開(kāi)始在連接對等雙方之間數據轉發(fā)。每個(gè)被傳送的數據包都被封裝在PPP包頭內,該包頭將會(huì )在到達接收方后被去除。如果選擇使用數據壓縮并且完成了協(xié)商,數據將會(huì )在被傳送之前進(jìn)行壓縮。同樣如果選擇了數據加密并完成了協(xié)商,數據將會(huì )在傳送之前進(jìn)行加密1.4 IPSec隧道數據傳輸過(guò)程IPSec是網(wǎng)絡(luò )層的協(xié)議標準,主要負責數據的安全傳輸是當前使用較多的網(wǎng)絡(luò )協(xié)議。Isec對規定了m數據流的加密機制,并且制定了隧道模式的數據包格式,使用 IPsec協(xié)議隧道一般稱(chēng)為 IPSEC隧道。由一個(gè)隧道客戶(hù)和隧道服務(wù)器組成 IPSec隧道,兩端都配置使用ISec隧道技術(shù),加密機制采用協(xié)商完圖3總部與分支機構PN連接示意圖成。為實(shí)現數據傳輸的安全PSEC隧道模式封裝和加密整個(gè)2用VPN連接中國煤化工IP包。然后對加密的負載再次封裝在明文P包頭內通過(guò)網(wǎng)絡(luò )當前很多CNMHG原料供應商,眾多發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對收到的數據報進(jìn)行處理,的原料供應商是見(jiàn)…J,舅丌。與這些原料供商之間在去除明文P包頭,對內容進(jìn)行解密之后,獲的最初的負載IP有相應的數據進(jìn)行傳輸。這種模式跟總部與分支機構之間的本欄目責任編輯代影網(wǎng)絡(luò )通訊及安全43Computer Knowledge and Technology電腦知識與技術(shù)第11卷第27期(2015年9月)關(guān)系是不相同的,公司與合作伙伴有時(shí)有競爭關(guān)系業(yè)務(wù)伙伴間主機必須支的主機不是可信任的,所以合作雙方對自己的數據都會(huì )使用更高級別的保護,因此在ⅤPN網(wǎng)的設計時(shí)公司網(wǎng)與VPN網(wǎng)關(guān)之間的通信信息也要進(jìn)行保密保護。公司與合作機構的VPN方案如圖4所示。主權專(zhuān)只生已:召搖在信一是的擔一是認證的圖5公司與合作機構ⅤPN連接示意圖3結論圖4公司與合作機構ⅤPN連接示意圖本文從 Internet的發(fā)展說(shuō)明ⅤPN技術(shù)產(chǎn)生的背景和意義再對VNP的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析,對VPN中重要技23用VPN連接遠程用戶(hù)術(shù)隧道的原量進(jìn)行了詳細的剖析。在此基礎上結合當前ⅤPN為保障單位內部網(wǎng)的安全很多應用不會(huì )對公網(wǎng)放比如的實(shí)際使用情況對三類(lèi)使用方式結合示意進(jìn)行了說(shuō)明。當前辦公協(xié)同OA系統、財務(wù)查詢(xún)系統等。但是有時(shí)候又需要在單對公共網(wǎng)絡(luò )進(jìn)行保密通信的技術(shù)還有很多新的技術(shù)的出現,本位以外訪(fǎng)問(wèn),比如當放假期間,老師可能需要在家里登陸OA査人會(huì )繼續對相關(guān)內容進(jìn)行關(guān)注看學(xué)校最近發(fā)布的通知,這時(shí)可通過(guò)VPN的方式實(shí)現安全登錄參考文獻保證信息的安全,所以從個(gè)人到SP提供商之間的網(wǎng)通信息也1] Casey wilson,, Peter Doak虛擬專(zhuān)用網(wǎng)的創(chuàng )建與實(shí)現鐘要進(jìn)行信息的保護,這時(shí)用戶(hù)一般使用戶(hù)名密碼的方式進(jìn)行登鳴,魏允韜,譯.北京:機械工業(yè)出版社,2000錄然后取得雙方進(jìn)行通信的證書(shū),然后通信雙方通過(guò)證書(shū)中[2戴宗坤,唐三平.VPN與網(wǎng)絡(luò )安全MN北京:電子工業(yè)出版指定的加密方式進(jìn)行保密通信,此方法是個(gè)人和單位進(jìn)行通信社,2002(8的常用方法?！?]卿斯漢等.密碼學(xué)與計算機網(wǎng)絡(luò )安全IM清華大學(xué)出版社,2001:121-125「4]張鵬,李建,王坤. IPsec和SSL的分析和比較J信息工程大學(xué)學(xué)報,2002,3(1:68-70中國煤化工CNMHG網(wǎng)絡(luò )通訊及安全本欄目責任編輯代影