VPN技術(shù)原理與實(shí)現

2004年8月電腦學(xué)習第4期VPN技術(shù)原理與實(shí)現華文立*摘要介紹VPN技術(shù)的基本原理以及 IPSec規范.在此基礎上介紹J VPN技術(shù)的實(shí)現方法和幾種典型應用方案。關(guān)鍵詞VPN虛擬子網(wǎng)Ipsec 協(xié)議隧道模式傳翰模式The Principle and Application of Virtual Private NetworkHua WeniAbstract This paper deecibes tbe basic pinciple of Virtual Private Nerwrk (VPN) and Ipcc nomIt furtber itnoducesthe practical method and several typical applied palns of VPN.Keword VPN Vitual Subnet Ipce Pocol Tunnel Mode Trenepont Mode所謂VPN (Virtual Private Network, 虛擬私有網(wǎng)絡(luò ))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò )通過(guò)公用骨千網(wǎng)連接成1基于IPSec規范的VPN技術(shù)邏輯.上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Intermet。VPN1.1 IPSec 協(xié)議簡(jiǎn)介通俗一點(diǎn)說(shuō)就是使用加密的IP隧道，實(shí)現私有 IP包和其IPSec是IETF (Internet Engineer Task Force) 的安全他網(wǎng)絡(luò )協(xié)議(IPX, NetBEUI 等)包在Intermet. 上的傳輸,從標準，它把幾種安全技術(shù)結合在一起形成一個(gè)較為完整的而實(shí)現位于WAN上的不同LAN的各種協(xié)議虛報連接,即體系,通過(guò)對數據加密、認證、完整性檢查來(lái)保證數據傳輸虛擬的局域網(wǎng)(如圖1)。為了保障信息在Intemnet上傳輸的可靠性、私有性和保密性。IPSee 由IP認證頭AH (Au-的安全性, VPN技術(shù)采用了認證、存取控制、機密性、數據完thentication Header) 、P安全載荷負載ESP (Encapsulated整性等措施，以保證了信息在傳輸中不被偷看.篡改.復制。Security Payload) 和密鑰管理協(xié)議組成。1.2 IPSee 基本工作原理IPSee的工作原理(如圖2所示)類(lèi)似于包過(guò)濾防火墻,可以看作是對包過(guò)濾防火墻的一種擴展。當接收到一個(gè)TPNVFN \IP數據包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規則表中進(jìn)行匹配;當找到一個(gè)相匹配的規則時(shí)，包過(guò)濾防火墻就按照公司總鋪各心灣戶(hù)分支機構該規則制定的方法對接收到的IP數據包進(jìn)行處理。這里的處理工作只有兩種:丟棄或轉發(fā)。圖1 VPNt1拓撲示意圖自動(dòng)更改正文內所有引用C獻的編號。照，只要參考文獻部分-經(jīng)改動(dòng), 正文的引用部分也可自動(dòng)1.2”參照連接”的操作方9:更新，減少了論文撰寫(xiě)過(guò)程中的維護量。而且通過(guò)對每個(gè)引“參照連接"要求完成的功能是:只要在本文的正文部分用文獻定義專(zhuān)門(mén)的書(shū)簽名稱(chēng),運行”參照連接”的步驟,就能引用文獻的[編號]處按一下左鍵時(shí)， 會(huì )立刻跳到參考文獻在正文點(diǎn)擊引用文獻編號后,跳到對應的參考文獻處，能提部分的[編號]處。具體操作方法為:高學(xué)術(shù)文章寫(xiě)作效率,很有實(shí)用價(jià)值。選擇正文部分中的編號[3], 點(diǎn)擊”插入交叉引用",，參考文獻在"引用類(lèi)型”的下拉菜單中，選擇"書(shū)簽"。(必須勾選"以超級鍵接的形式插入”)。在"指定書(shū)簽”方塊中選擇”趙戰生1楊秀章. Word 2000中文版使用速成.北京:清華大學(xué)出199,按下“插入”按鈕即可。以后只要將光標移至正文編號版社, 2000[3]的地方,光標會(huì )變成超級鏈接狀，按下左鍵后會(huì )自動(dòng)跑2 Peter Weverka. Diane Poremsky. 中文Word 2002 專(zhuān)家.到參考文獻部分的[3]處。北京:機械工業(yè)出版社，20023李華斌. Word 2000 中文版技巧與實(shí)例.北京:中國水利2結論水電出版社, 1999本文介紹了使用WORD制作學(xué)術(shù)論文的自動(dòng)文獻參●華文立安徽電子信息職業(yè)技術(shù)學(xué)院計算機科學(xué)系講師(合肥工業(yè)大學(xué)在讀研中國煤化工機應用與軟件開(kāi)發(fā)。收稿●42.:YHCNMHGTPSec處理]1、管理模塊負責整個(gè)系統的配置和管理。由管理模塊IPPoU|PPOU來(lái)決定采取何種傳輸模式，對哪些IP數據包進(jìn)行加密解網(wǎng)卡驅動(dòng)程序- P POU二衛模塊TCP POU- CP模壩密:2、密鑰管理模塊負責完成身份認證和數據加密所需的密鑰生成和分配。其中密鑰的生成采取隨機生成的方式。各IP HEADER SP安全網(wǎng)關(guān)之間密鑰的分配采取手工分配的方式并存儲在密鑰數據庫中，支持以IP地址為關(guān)鍵字的快速查詢(xún)獲取;3、SPD身份認證模塊對IP數據包完成數字簽名的運算。數字簽名困2 IPSec工作原理示意圖.在保證數據完整性的同時(shí)，也起到了身份認證的作用，因為IPSec通過(guò)查詢(xún)SPD (Security P01icy Database安全策只有在有密鑰的情況之下,才能對數據進(jìn)行正確的簽名;4、略數據庫)決定對接收到的IP數據包的處理。但是IPSee數據加密解密模塊完成對IP數據包的加密和解密操作?？刹煌诎^(guò)濾防火墻的是,對IP數據包的處理方法除了丟選的加密算法有IDEA算法和DES算法;5、數據分組的封棄,直接轉發(fā)(繞過(guò)IPSec)外,還有一-種, 即進(jìn)行IPSec處裝/分解模塊實(shí)現對IP數據分組進(jìn)行安全封裝或分解。當從理。進(jìn)行IPSec處理意味著(zhù)對IP數據包進(jìn)行加密和認證。安全網(wǎng)關(guān)發(fā)送IP數據分組時(shí),數據分組封裝分解模塊為IP只有在對IP數據包實(shí)施了加密和認證后,才能保證在外部數據分組附加上身份認證頭AH和安全數據封裝頭ESP.網(wǎng)絡(luò )傳輸的數據包的機密性,真實(shí)性，完整性,通過(guò)Intermet當安全網(wǎng)關(guān)接收到IP數據分組時(shí)，數據分組封裝分解模進(jìn)新安全的通信才成為可能。塊對AH和ESP進(jìn)行協(xié)議分析，并根據包頭信息進(jìn)行身份2 Ipece提供的兩種工作模式和三個(gè)主要協(xié)議驗證和數據解密:6、加密函數庫為上述模塊提供統- -的加密服務(wù)。加密函數庫設計的一條基本原則是通過(guò)一-個(gè)統一2.1工作模式.IPSec主要提供IP網(wǎng)絡(luò )層上的加密通訊能力，既可以的函數接口界面與上述模塊進(jìn)行通信。這樣可以根據實(shí)際只對IP數據包進(jìn)行加密,或只進(jìn)行認證，也可以同時(shí)實(shí)施的需要，在掛接加密算法和加密強度不同的函數庫時(shí)，其它模塊不需作出改動(dòng)。二者。但無(wú)論是進(jìn)行加密還是進(jìn)行認證, IPSec都有兩種工4幾種典型的VPN應用方案作模式, -種是隧道模式;另一種是傳輸模式。(1)傳輸模式(Ipsec Transport) :只對IP數據包的有VPN的應用有兩種基本類(lèi)型:撥號式VPN與專(zhuān)用式效負載進(jìn)行加密或認證,對數據包的內容進(jìn)行加密，使用VPN.撥號VPN為移動(dòng)用戶(hù)與遠程辦公者提供遠程內部網(wǎng)原來(lái)的源地址和目的地址;(2)隧道模式(Ipee Tun-訪(fǎng)問(wèn),撥號VPN分為兩種:在用戶(hù)PC機上或在服務(wù)提供商nel) :整個(gè)IP包封裝起來(lái),重新形成一新的IP頭,包含進(jìn)的網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器 (NAS)上。專(zhuān)用VPN有多種形式，其共行路由功能的信息,主要用于網(wǎng)關(guān)與網(wǎng)關(guān)或防火墻與防火同的要素是為用戶(hù) 提供IP服務(wù),一般采用安全設備或客戶(hù)墻之間的加密邇訊。端的路由器等設備在IP網(wǎng)絡(luò )上完成服務(wù)。2.2 三個(gè)主要協(xié)議5結束語(yǔ)Psee實(shí)際上是一套協(xié)議包， 包括三個(gè)基本協(xié)議:AH總之,VPN是一項綜合性的網(wǎng)絡(luò )新技術(shù)，已顯示出強大(Authentication Header) 協(xié)議為IP包提供信息源身份驗證的生命力,Cisco.3Com、Ascend等公司已推出了各自的產(chǎn)和數據完整性保證: ESP (Encapsulaing Securty payloed)品。但是VPN產(chǎn)品能否被廣泛接受主要取決于以下兩點(diǎn):提供加密保證:密鑰管理協(xié)議IKE (Intemet Key Ex-一是VPN方案能否以線(xiàn)路速度進(jìn)行加密,否則將會(huì )產(chǎn)生瓶change) 提供雙方交流時(shí)的共享安全信息。頸;二是能否調度和引導VPN的數據流到網(wǎng)絡(luò )上的不同管3 VPN系統的設計理域。.如圖3所示，VPN的實(shí)現包含管理模塊、密鑰分配和生參考文獻成模塊、身份認證模塊、數據加密解密模塊、數據分組封裝/1張中荃。 程控交換與寬帶交換.北京:人民郵電出版杜，分解模塊和加密函數庫幾部分組成。2003,11.網(wǎng)絡(luò )管理員/+管加密函數庫2周明全.網(wǎng)絡(luò )信息安全技術(shù).西安:西安電子科技大學(xué)出internet用戶(hù)樓數據分組的封裝分解模塊版社, 2003,11.協(xié)議圖3 VPN實(shí)現示意圍中國煤化工MYHCNMHG●43.