VPN技术应用

ISSN1009-3044E-mail: jslt@dnzs net cnComputer Knowledge and Technology电脑知识与技术Vol 11. No 27 September 2015Tel:+86-551-6569096365690964VPN技术应用朱梅,樊中奎(江西理工大学软件学院,江西南昌330013)摘要:PN(虚拟专用网)技术是采用隧道技术以及加密、身份认证等方法在公共网络上构建企业网络的技术。该文首先对VPN的基本原理进行说明,结合TCPP协议、加密技术等与ⅴPN相关基础知识较详细论述了ⅴPN通道技术以及Isec协议和VNP的两个主要协议:认证头协议(AH)和封装安全载荷协议ZTP)。最后展示了ⅤPN的不同应用场景。关键词:PN;隧道;安全传输中图分类号:TP393文献标识码:A文章编号:1009-3044(2015)27-0042-03随着网络技术的快速发展,越来越多的组织或单位的员工络上传送的报文信息在中间路由器上被修改,然后再发向目的需要随时随地连接到总部的网络,很多跨国企业在全球建立多地,这种方式是恶意者常使用的方法門。个分支机构,同时企业也要使用网络与合作伙伴或客户之间进重放攻击:重放攻击又称重播攻击、回放攻击是计算机世行动态的联系,这些都会给企业带来了网络的管理和安全性问界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个题。 VPN(visual Private Network)技术就是在这种形势下应运目的主机已接收过的包,让系统重新执行相关操作来进行恶意而生它使企业能够在公共网络上创建自己的专用网络,使得活的过程,这种方式主要用来身份认证阶段企业员工,分支机构,以及合作伙伴之间可以进行安全保密的12vPN协议介绍通信。VPN已经是当前网络中的一项重要的应用。采用VPN技术,通过使用VPN服务器可以通畅的链接单lVPN的工作原理组或组织内部网,同时又能保证信息的安全保密。当前直接使VPN就是在当前现有网络协议的基础之上通过附加相关用路由器可以很容易实现不同主机网络之间的互联,但是并不的协议使通信双方可以在公共网络上进行通信时能够实施数能对特别用途的数据进行限制。使用VPN服务器进行网络信据机密性保护,数据完整性保护,数据源身份认证,数据重放避息的管控,只有符合单位身份要求的用户才能连接VPN服务器免的方法进行数据保护的技术获得访问信息的权限。此外,VPN服务器可以对所有ⅤPN数据11网络风险进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。数据泄漏风险是指网络通信过程中拨入段数据泄漏风险常用的PN协议有:L2F( Layer2 Forwarding protocol),是包括:攻击者在拨入链路上实施监听;IsP查看用户的数据;In-由思科系统公司开发的,创建在互联网上的虚拟专用网络连接ternet数据泄漏的风险。信息在到达请求或返回信息服务点的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协之前穿越多个路由器,明文传输的数据很容易在路由器上被查议被传输以提供保密,L2F是专为隧道点对点协议(P)通信看和修改。窃听者可以在其中任一段网络链路上监听数据,叫。12P( Laver two Tunneling protocol,第二层隧道协议是一段加密不能防止报文在路由器上被抓取,恶意的IsP(网络提种虛拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身商)经常利用修改通道的终点的方法让信息转到一个存在风不具有加密的功能,因此必须跟其他协议配和使用才能完成险的网关。安全在网关中的风险:数据在安全网关中是没有经保密通信的工作。与L2TP协议搭配的加密协议是 IPsec,通常过加密的,所以网关管理员可以随意查看机密数据,网关本身称为L2 TP/IPsec。点对点隧道协议( Point to Point Tunneling也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临 Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输风险。单位内部网中数据泄漏的风险:内部网中可能存在被内控制协议(TCP)创建控制通道来发送控制命令,以及利用通用部恶意人员或者恶意程序控制的主机、路由器等,内部员工可路由封装(CRE)通道来封装点对点协议(PP数据包以发送数以获得企业内部网的数据报文。据,这个协议最早由微软等厂商主导开发,但因为它的加密方数据源身份伪造:发送信息者伪造别人的身份进行信息的式容易被破解,微软已经不再建议使用这个协议。传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导13VPN隧道技术身份发送重要的决策指令将会给公司和企业带来重大的损失。隧道技术是一种在现在网络协议的基础之上,通过在现有信息篡改,截断:当黑客通过其他相关手段掌握了信息的报文中增加相关的内容,让带有这样信息的报文在公共的网络传递方式,以及信息格式等相应的规律后,通过各种方法,将网中进行安全传输。使用隧道传递的数据(或负载)可以是不同H中国煤化工CNMHG收稿日期:2015-09-02作者简介:朱梅(1980—),女,江苏无锡人,主要研究方向:信息安全,人机交互网络通讯及安全本栏目责任编辑代影第11卷第27期(2015年9月)omputer Knowledge and Technology电脑知识与技术协议的数据帧或包。这些包含有VPN相关协议的帧或包封装包,负载IP包在经过正常处理之后被路由到位于目标网络的目到新带有路由信息的包头中,从而使封装的负载数据能够通过的地。互联网络传递。个数据包经 IPsecvPN隧道的传送过程,由左边的ⅤPN经过封装的数据包在网络上的两个端点之间通过公共互保护子网内的PC机向右边ⅤPN保护子网内的PC机传送数据联网络进行传输,这段公共互联网络上传递时所经过的逻辑路时。① HostA发送的数据由ⅤPN网关1内口;②VPN网关1内径称为隧道。一旦到达接收数据的网络,数据将被解包并转口接收后发现需要经过隧道,则把数据交由VPN网关1加密发到最终目的地。隧道技术的本质就是数据封装,传输和解包③加完密后再由左eth0外口发送到VPN网关2的eth0外口;④在内的全过程如图1所示。右VPN网关2外口收到数据发现需要解密;⑤则由右VPN网ClientA uthenticating关2内口解完密后交由右内网交换机转发或由本机接收,具图Device如图2所示。InternetChallenge= session iD, Challenge stringResponse s MD5 Hash(session ID, Challenge String, User Password), User Nam图1VPN隧道技术PPP( Point to point protocol)协议隧道技术建立过程经过e核心处理以后阶段1:创建PPP链路经过e核心处理以稻PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议通信双方的数据压缩或加密方式阶段2:用户验证图2 IPSec隧道数据传输示意图这此阶段客户端将自己的身份信息发送给你远端接入服2VN技术应用务器,这个过程是以安全的方式进行的避免信息的泄露。这个21用VN连接分支机构过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议( MSCHAP)。随着社会的发展当前有很多大型的公司企业他们在全球阶段3:PPP回叫控制有很多分支机构,而每个分支机构都要与总部进行频繁信息传回叫控制阶段是PP中的一个可选的阶段。当验证完成输,这些信息之中有很多是重要的商业机密信息一旦泄露会给后远程客户和网络访问服务器断开,然后由网络服务器使用特公司带来巨大的损失。所以分支构与总部以及分支之间的信点的电话号码进行回叫。这样能够对远程客户身份进行重新息通信一定要进行保护,由于公司地域范围太大不可能建立私确认,有效增加了通信的安全性的网络。使用PN连接公司的各个各支机构是进行保密通信用网络层协议是VPN是当前最好的选择。由于公司各个分支以及总部的内在上面阶段完成后,在数据进行传输以前要完成网络层协部都是安全的线路,只要在公共网上保证信息的保密就能保证议的调用,当前网络层的一般为P协议,此时P控制协议就会信息的安全,所在各个分支以及总部接入到公网以前架设VPN为用户分配动态地址。在微软的PP方案中还会调用压缩控关,双方的通信信息发出时对信息进行加密,接收到信息对制协议和数据加密协议支机构阶段5:数据传输阶段网的示意如:图3所示在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密1.4 IPSec隧道数据传输过程IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。Isec对规定了m数据流的加密机制,并且制定了隧道模式的数据包格式,使用 IPsec协议隧道一般称为 IPSEC隧道。由一个隧道客户和隧道服务器组成 IPSec隧道,两端都配置使用ISec隧道技术,加密机制采用协商完图3总部与分支机构PN连接示意图成。为实现数据传输的安全PSEC隧道模式封装和加密整个2用VPN连接中国煤化工IP包。然后对加密的负载再次封装在明文P包头内通过网络当前很多CNMHG原料供应商,众多发送到隧道服务器端。隧道服务器对收到的数据报进行处理,的原料供应商是見…J,舅丌。与这些原料供商之间在去除明文P包头,对内容进行解密之后,获的最初的负载IP有相应的数据进行传输。这种模式跟总部与分支机构之间的本栏目责任编辑代影网络通讯及安全43Computer Knowledge and Technology电脑知识与技术第11卷第27期(2015年9月)关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间主机必须支的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在ⅤPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。主权专只生已:召摇在信一是的担一是认证的图5公司与合作机构ⅤPN连接示意图3结论图4公司与合作机构ⅤPN连接示意图本文从 Internet的发展说明ⅤPN技术产生的背景和意义再对VNP的相关技术、协议进行研究与分析,对VPN中重要技23用VPN连接远程用户术隧道的原量进行了详细的剖析。在此基础上结合当前ⅤPN为保障单位内部网的安全很多应用不会对公网放比如的实际使用情况对三类使用方式结合示意进行了说明。当前办公协同OA系统、财务查询系统等。但是有时候又需要在单对公共网络进行保密通信的技术还有很多新的技术的出现,本位以外访问,比如当放假期间,老师可能需要在家里登陆OA査人会继续对相关内容进行关注看学校最近发布的通知,这时可通过VPN的方式实现安全登录参考文献保证信息的安全,所以从个人到SP提供商之间的网通信息也1] Casey wilson,, Peter Doak虚拟专用网的创建与实现钟要进行信息的保护,这时用户一般使用户名密码的方式进行登鸣,魏允韬,译.北京:机械工业出版社,2000录然后取得双方进行通信的证书,然后通信双方通过证书中[2戴宗坤,唐三平.VPN与网络安全MN北京:电子工业出版指定的加密方式进行保密通信,此方法是个人和单位进行通信社,2002(8的常用方法。「3]卿斯汉等.密码学与计算机网络安全IM清华大学出版社,2001:121-125「4]张鹏,李建,王坤. IPsec和SSL的分析和比较J信息工程大学学报,2002,3(1:68-70中国煤化工CNMHG网络通讯及安全本栏目责任编辑代影