ISSN1009-3044E-mail: jslt@dnzs net cnComputer Knowledge and Technology電腦知識(shí)與技術(shù)Vol 11. No 27 September 2015Tel:+86-551-6569096365690964VPN技術(shù)應(yīng)用朱梅,樊中奎(江西理工大學(xué)軟件學(xué)院,江西南昌330013)摘要:PN(虛擬專用網(wǎng))技術(shù)是采用隧道技術(shù)以及加密、身份認(rèn)證等方法在公共網(wǎng)絡(luò)上構(gòu)建企業(yè)網(wǎng)絡(luò)的技術(shù)。該文首先對(duì)VPN的基本原理進(jìn)行說(shuō)明,結(jié)合TCPP協(xié)議、加密技術(shù)等與ⅴPN相關(guān)基礎(chǔ)知識(shí)較詳細(xì)論述了ⅴPN通道技術(shù)以及Isec協(xié)議和VNP的兩個(gè)主要協(xié)議:認(rèn)證頭協(xié)議(AH)和封裝安全載荷協(xié)議ZTP)。最后展示了ⅤPN的不同應(yīng)用場(chǎng)景。關(guān)鍵詞:PN;隧道;安全傳輸中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2015)27-0042-03隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,越來(lái)越多的組織或單位的員工絡(luò)上傳送的報(bào)文信息在中間路由器上被修改,然后再發(fā)向目的需要隨時(shí)隨地連接到總部的網(wǎng)絡(luò),很多跨國(guó)企業(yè)在全球建立多地,這種方式是惡意者常使用的方法門。個(gè)分支機(jī)構(gòu),同時(shí)企業(yè)也要使用網(wǎng)絡(luò)與合作伙伴或客戶之間進(jìn)重放攻擊:重放攻擊又稱重播攻擊、回放攻擊是計(jì)算機(jī)世行動(dòng)態(tài)的聯(lián)系,這些都會(huì)給企業(yè)帶來(lái)了網(wǎng)絡(luò)的管理和安全性問界黑客常用的攻擊方式,所謂重放攻擊就是惡意人員發(fā)送一個(gè)題。 VPN(visual Private Network)技術(shù)就是在這種形勢(shì)下應(yīng)運(yùn)目的主機(jī)已接收過的包,讓系統(tǒng)重新執(zhí)行相關(guān)操作來(lái)進(jìn)行惡意而生它使企業(yè)能夠在公共網(wǎng)絡(luò)上創(chuàng)建自己的專用網(wǎng)絡(luò),使得活的過程,這種方式主要用來(lái)身份認(rèn)證階段企業(yè)員工,分支機(jī)構(gòu),以及合作伙伴之間可以進(jìn)行安全保密的12vPN協(xié)議介紹通信。VPN已經(jīng)是當(dāng)前網(wǎng)絡(luò)中的一項(xiàng)重要的應(yīng)用。采用VPN技術(shù),通過使用VPN服務(wù)器可以通暢的鏈接單lVPN的工作原理組或組織內(nèi)部網(wǎng),同時(shí)又能保證信息的安全保密。當(dāng)前直接使VPN就是在當(dāng)前現(xiàn)有網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上通過附加相關(guān)用路由器可以很容易實(shí)現(xiàn)不同主機(jī)網(wǎng)絡(luò)之間的互聯(lián),但是并不的協(xié)議使通信雙方可以在公共網(wǎng)絡(luò)上進(jìn)行通信時(shí)能夠?qū)嵤?shù)能對(duì)特別用途的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器進(jìn)行網(wǎng)絡(luò)信據(jù)機(jī)密性保護(hù),數(shù)據(jù)完整性保護(hù),數(shù)據(jù)源身份認(rèn)證,數(shù)據(jù)重放避息的管控,只有符合單位身份要求的用戶才能連接VPN服務(wù)器免的方法進(jìn)行數(shù)據(jù)保護(hù)的技術(shù)獲得訪問信息的權(quán)限。此外,VPN服務(wù)器可以對(duì)所有ⅤPN數(shù)據(jù)11網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行加密,部門內(nèi)部的局域網(wǎng)對(duì)其他用戶來(lái)說(shuō)是不可見的,從而確保數(shù)據(jù)的安全性。數(shù)據(jù)泄漏風(fēng)險(xiǎn)是指網(wǎng)絡(luò)通信過程中撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)常用的PN協(xié)議有:L2F( Layer2 Forwarding protocol),是包括:攻擊者在撥入鏈路上實(shí)施監(jiān)聽;IsP查看用戶的數(shù)據(jù);In-由思科系統(tǒng)公司開發(fā)的,創(chuàng)建在互聯(lián)網(wǎng)上的虛擬專用網(wǎng)絡(luò)連接ternet數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。信息在到達(dá)請(qǐng)求或返回信息服務(wù)點(diǎn)的隧道協(xié)議。L2F協(xié)議本身并不提供加密或保密;它依賴于協(xié)之前穿越多個(gè)路由器,明文傳輸?shù)臄?shù)據(jù)很容易在路由器上被查議被傳輸以提供保密,L2F是專為隧道點(diǎn)對(duì)點(diǎn)協(xié)議(P)通信看和修改。竊聽者可以在其中任一段網(wǎng)絡(luò)鏈路上監(jiān)聽數(shù)據(jù),叫。12P( Laver two Tunneling protocol,第二層隧道協(xié)議是一段加密不能防止報(bào)文在路由器上被抓取,惡意的IsP(網(wǎng)絡(luò)提種虛擬隧道協(xié)議,是一種虛擬專用網(wǎng)的協(xié)議。L2TP協(xié)議本身商)經(jīng)常利用修改通道的終點(diǎn)的方法讓信息轉(zhuǎn)到一個(gè)存在風(fēng)不具有加密的功能,因此必須跟其他協(xié)議配和使用才能完成險(xiǎn)的網(wǎng)關(guān)。安全在網(wǎng)關(guān)中的風(fēng)險(xiǎn):數(shù)據(jù)在安全網(wǎng)關(guān)中是沒有經(jīng)保密通信的工作。與L2TP協(xié)議搭配的加密協(xié)議是 IPsec,通常過加密的,所以網(wǎng)關(guān)管理員可以隨意查看機(jī)密數(shù)據(jù),網(wǎng)關(guān)本身稱為L(zhǎng)2 TP/IPsec。點(diǎn)對(duì)點(diǎn)隧道協(xié)議( Point to Point Tunneling也會(huì)存在漏洞,一旦被黑客攻破,流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)將面臨 Protocol)是實(shí)現(xiàn)虛擬專用網(wǎng)(VPN)的方式之一,PPTP使用傳輸風(fēng)險(xiǎn)。單位內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn):內(nèi)部網(wǎng)中可能存在被內(nèi)控制協(xié)議(TCP)創(chuàng)建控制通道來(lái)發(fā)送控制命令,以及利用通用部惡意人員或者惡意程序控制的主機(jī)、路由器等,內(nèi)部員工可路由封裝(CRE)通道來(lái)封裝點(diǎn)對(duì)點(diǎn)協(xié)議(PP數(shù)據(jù)包以發(fā)送數(shù)以獲得企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文。據(jù),這個(gè)協(xié)議最早由微軟等廠商主導(dǎo)開發(fā),但因?yàn)樗募用芊綌?shù)據(jù)源身份偽造:發(fā)送信息者偽造別人的身份進(jìn)行信息的式容易被破解,微軟已經(jīng)不再建議使用這個(gè)協(xié)議。傳送,而接收者不能明確的確定發(fā)送者的身份,從而給接收者帶來(lái)不必要的損失。在公司企業(yè)中如果接收到偽造公司領(lǐng)導(dǎo)13VPN隧道技術(shù)身份發(fā)送重要的決策指令將會(huì)給公司和企業(yè)帶來(lái)重大的損失。隧道技術(shù)是一種在現(xiàn)在網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上,通過在現(xiàn)有信息篡改,截?cái)?當(dāng)黑客通過其他相關(guān)手段掌握了信息的報(bào)文中增加相關(guān)的內(nèi)容,讓帶有這樣信息的報(bào)文在公共的網(wǎng)絡(luò)傳遞方式,以及信息格式等相應(yīng)的規(guī)律后,通過各種方法,將網(wǎng)中進(jìn)行安全傳輸。使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同H中國(guó)煤化工CNMHG收稿日期:2015-09-02作者簡(jiǎn)介:朱梅(1980—),女,江蘇無(wú)錫人,主要研究方向:信息安全,人機(jī)交互網(wǎng)絡(luò)通訊及安全本欄目責(zé)任編輯代影第11卷第27期(2015年9月)omputer Knowledge and Technology電腦知識(shí)與技術(shù)協(xié)議的數(shù)據(jù)幀或包。這些包含有VPN相關(guān)協(xié)議的幀或包封裝包,負(fù)載IP包在經(jīng)過正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目到新帶有路由信息的包頭中,從而使封裝的負(fù)載數(shù)據(jù)能夠通過的地。互聯(lián)網(wǎng)絡(luò)傳遞。個(gè)數(shù)據(jù)包經(jīng) IPsecvPN隧道的傳送過程,由左邊的ⅤPN經(jīng)過封裝的數(shù)據(jù)包在網(wǎng)絡(luò)上的兩個(gè)端點(diǎn)之間通過公共互保護(hù)子網(wǎng)內(nèi)的PC機(jī)向右邊ⅤPN保護(hù)子網(wǎng)內(nèi)的PC機(jī)傳送數(shù)據(jù)聯(lián)網(wǎng)絡(luò)進(jìn)行傳輸,這段公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路時(shí)。① HostA發(fā)送的數(shù)據(jù)由ⅤPN網(wǎng)關(guān)1內(nèi)口;②VPN網(wǎng)關(guān)1內(nèi)徑稱為隧道。一旦到達(dá)接收數(shù)據(jù)的網(wǎng)絡(luò),數(shù)據(jù)將被解包并轉(zhuǎn)口接收后發(fā)現(xiàn)需要經(jīng)過隧道,則把數(shù)據(jù)交由VPN網(wǎng)關(guān)1加密發(fā)到最終目的地。隧道技術(shù)的本質(zhì)就是數(shù)據(jù)封裝,傳輸和解包③加完密后再由左eth0外口發(fā)送到VPN網(wǎng)關(guān)2的eth0外口;④在內(nèi)的全過程如圖1所示。右VPN網(wǎng)關(guān)2外口收到數(shù)據(jù)發(fā)現(xiàn)需要解密;⑤則由右VPN網(wǎng)ClientA uthenticating關(guān)2內(nèi)口解完密后交由右內(nèi)網(wǎng)交換機(jī)轉(zhuǎn)發(fā)或由本機(jī)接收,具圖Device如圖2所示。InternetChallenge= session iD, Challenge stringResponse s MD5 Hash(session ID, Challenge String, User Password), User Nam圖1VPN隧道技術(shù)PPP( Point to point protocol)協(xié)議隧道技術(shù)建立過程經(jīng)過e核心處理以后階段1:創(chuàng)建PPP鏈路經(jīng)過e核心處理以稻PPP使用鏈路控制協(xié)議(LCP)進(jìn)行物理鏈路的鏈接,鏈路創(chuàng)建的過程中首先是選擇通信的方式;通信雙方的驗(yàn)證協(xié)議通信雙方的數(shù)據(jù)壓縮或加密方式階段2:用戶驗(yàn)證圖2 IPSec隧道數(shù)據(jù)傳輸示意圖這此階段客戶端將自己的身份信息發(fā)送給你遠(yuǎn)端接入服2VN技術(shù)應(yīng)用務(wù)器,這個(gè)過程是以安全的方式進(jìn)行的避免信息的泄露。這個(gè)21用VN連接分支機(jī)構(gòu)過程通常使用包括口令驗(yàn)證協(xié)議(PAP),挑戰(zhàn)握手驗(yàn)證協(xié)議(CHAP)和微軟挑戰(zhàn)握手驗(yàn)證協(xié)議( MSCHAP)。隨著社會(huì)的發(fā)展當(dāng)前有很多大型的公司企業(yè)他們?cè)谌螂A段3:PPP回叫控制有很多分支機(jī)構(gòu),而每個(gè)分支機(jī)構(gòu)都要與總部進(jìn)行頻繁信息傳回叫控制階段是PP中的一個(gè)可選的階段。當(dāng)驗(yàn)證完成輸,這些信息之中有很多是重要的商業(yè)機(jī)密信息一旦泄露會(huì)給后遠(yuǎn)程客戶和網(wǎng)絡(luò)訪問服務(wù)器斷開,然后由網(wǎng)絡(luò)服務(wù)器使用特公司帶來(lái)巨大的損失。所以分支構(gòu)與總部以及分支之間的信點(diǎn)的電話號(hào)碼進(jìn)行回叫。這樣能夠?qū)h(yuǎn)程客戶身份進(jìn)行重新息通信一定要進(jìn)行保護(hù),由于公司地域范圍太大不可能建立私確認(rèn),有效增加了通信的安全性的網(wǎng)絡(luò)。使用PN連接公司的各個(gè)各支機(jī)構(gòu)是進(jìn)行保密通信用網(wǎng)絡(luò)層協(xié)議是VPN是當(dāng)前最好的選擇。由于公司各個(gè)分支以及總部的內(nèi)在上面階段完成后,在數(shù)據(jù)進(jìn)行傳輸以前要完成網(wǎng)絡(luò)層協(xié)部都是安全的線路,只要在公共網(wǎng)上保證信息的保密就能保證議的調(diào)用,當(dāng)前網(wǎng)絡(luò)層的一般為P協(xié)議,此時(shí)P控制協(xié)議就會(huì)信息的安全,所在各個(gè)分支以及總部接入到公網(wǎng)以前架設(shè)VPN為用戶分配動(dòng)態(tài)地址。在微軟的PP方案中還會(huì)調(diào)用壓縮控關(guān),雙方的通信信息發(fā)出時(shí)對(duì)信息進(jìn)行加密,接收到信息對(duì)制協(xié)議和數(shù)據(jù)加密協(xié)議支機(jī)構(gòu)階段5:數(shù)據(jù)傳輸階段網(wǎng)的示意如:圖3所示在此階段PPP就開始在連接對(duì)等雙方之間數(shù)據(jù)轉(zhuǎn)發(fā)。每個(gè)被傳送的數(shù)據(jù)包都被封裝在PPP包頭內(nèi),該包頭將會(huì)在到達(dá)接收方后被去除。如果選擇使用數(shù)據(jù)壓縮并且完成了協(xié)商,數(shù)據(jù)將會(huì)在被傳送之前進(jìn)行壓縮。同樣如果選擇了數(shù)據(jù)加密并完成了協(xié)商,數(shù)據(jù)將會(huì)在傳送之前進(jìn)行加密1.4 IPSec隧道數(shù)據(jù)傳輸過程IPSec是網(wǎng)絡(luò)層的協(xié)議標(biāo)準(zhǔn),主要負(fù)責(zé)數(shù)據(jù)的安全傳輸是當(dāng)前使用較多的網(wǎng)絡(luò)協(xié)議。Isec對(duì)規(guī)定了m數(shù)據(jù)流的加密機(jī)制,并且制定了隧道模式的數(shù)據(jù)包格式,使用 IPsec協(xié)議隧道一般稱為 IPSEC隧道。由一個(gè)隧道客戶和隧道服務(wù)器組成 IPSec隧道,兩端都配置使用ISec隧道技術(shù),加密機(jī)制采用協(xié)商完圖3總部與分支機(jī)構(gòu)PN連接示意圖成。為實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩玃SEC隧道模式封裝和加密整個(gè)2用VPN連接中國(guó)煤化工IP包。然后對(duì)加密的負(fù)載再次封裝在明文P包頭內(nèi)通過網(wǎng)絡(luò)當(dāng)前很多CNMHG原料供應(yīng)商,眾多發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理,的原料供應(yīng)商是見…J,舅丌。與這些原料供商之間在去除明文P包頭,對(duì)內(nèi)容進(jìn)行解密之后,獲的最初的負(fù)載IP有相應(yīng)的數(shù)據(jù)進(jìn)行傳輸。這種模式跟總部與分支機(jī)構(gòu)之間的本欄目責(zé)任編輯代影網(wǎng)絡(luò)通訊及安全43Computer Knowledge and Technology電腦知識(shí)與技術(shù)第11卷第27期(2015年9月)關(guān)系是不相同的,公司與合作伙伴有時(shí)有競(jìng)爭(zhēng)關(guān)系業(yè)務(wù)伙伴間主機(jī)必須支的主機(jī)不是可信任的,所以合作雙方對(duì)自己的數(shù)據(jù)都會(huì)使用更高級(jí)別的保護(hù),因此在ⅤPN網(wǎng)的設(shè)計(jì)時(shí)公司網(wǎng)與VPN網(wǎng)關(guān)之間的通信信息也要進(jìn)行保密保護(hù)。公司與合作機(jī)構(gòu)的VPN方案如圖4所示。主權(quán)專只生已:召搖在信一是的擔(dān)一是認(rèn)證的圖5公司與合作機(jī)構(gòu)ⅤPN連接示意圖3結(jié)論圖4公司與合作機(jī)構(gòu)ⅤPN連接示意圖本文從 Internet的發(fā)展說(shuō)明ⅤPN技術(shù)產(chǎn)生的背景和意義再對(duì)VNP的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析,對(duì)VPN中重要技23用VPN連接遠(yuǎn)程用戶術(shù)隧道的原量進(jìn)行了詳細(xì)的剖析。在此基礎(chǔ)上結(jié)合當(dāng)前ⅤPN為保障單位內(nèi)部網(wǎng)的安全很多應(yīng)用不會(huì)對(duì)公網(wǎng)放比如的實(shí)際使用情況對(duì)三類使用方式結(jié)合示意進(jìn)行了說(shuō)明。當(dāng)前辦公協(xié)同OA系統(tǒng)、財(cái)務(wù)查詢系統(tǒng)等。但是有時(shí)候又需要在單對(duì)公共網(wǎng)絡(luò)進(jìn)行保密通信的技術(shù)還有很多新的技術(shù)的出現(xiàn),本位以外訪問,比如當(dāng)放假期間,老師可能需要在家里登陸OA査人會(huì)繼續(xù)對(duì)相關(guān)內(nèi)容進(jìn)行關(guān)注看學(xué)校最近發(fā)布的通知,這時(shí)可通過VPN的方式實(shí)現(xiàn)安全登錄參考文獻(xiàn)保證信息的安全,所以從個(gè)人到SP提供商之間的網(wǎng)通信息也1] Casey wilson,, Peter Doak虛擬專用網(wǎng)的創(chuàng)建與實(shí)現(xiàn)鐘要進(jìn)行信息的保護(hù),這時(shí)用戶一般使用戶名密碼的方式進(jìn)行登鳴,魏允韜,譯.北京:機(jī)械工業(yè)出版社,2000錄然后取得雙方進(jìn)行通信的證書,然后通信雙方通過證書中[2戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全MN北京:電子工業(yè)出版指定的加密方式進(jìn)行保密通信,此方法是個(gè)人和單位進(jìn)行通信社,2002(8的常用方法?！?]卿斯?jié)h等.密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全I(xiàn)M清華大學(xué)出版社,2001:121-125「4]張鵬,李建,王坤. IPsec和SSL的分析和比較J信息工程大學(xué)學(xué)報(bào),2002,3(1:68-70中國(guó)煤化工CNMHG網(wǎng)絡(luò)通訊及安全本欄目責(zé)任編輯代影