VPN技术原理与实现

2004年8月电脑学习第4期VPN技术原理与实现华文立*摘要介绍VPN技术的基本原理以及 IPSec规范.在此基础上介绍J VPN技术的实现方法和几种典型应用方案。关键词VPN虚拟子网Ipsec 协议隧道模式传翰模式The Principle and Application of Virtual Private NetworkHua WeniAbstract This paper deecibes tbe basic pinciple of Virtual Private Nerwrk (VPN) and Ipcc nomIt furtber itnoducesthe practical method and several typical applied palns of VPN.Keword VPN Vitual Subnet Ipce Pocol Tunnel Mode Trenepont Mode所谓VPN (Virtual Private Network, 虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨千网连接成1基于IPSec规范的VPN技术逻辑.上的虚拟子网，这里的公用网主要指Intermet。VPN1.1 IPSec 协议简介通俗一点说就是使用加密的IP隧道，实现私有 IP包和其IPSec是IETF (Internet Engineer Task Force) 的安全他网络协议(IPX, NetBEUI 等)包在Intermet. 上的传输,从标准，它把几种安全技术结合在一起形成一个较为完整的而实现位于WAN上的不同LAN的各种协议虚报连接,即体系,通过对数据加密、认证、完整性检查来保证数据传输虚拟的局域网(如图1)。为了保障信息在Intemnet上传输的可靠性、私有性和保密性。IPSee 由IP认证头AH (Au-的安全性, VPN技术采用了认证、存取控制、机密性、数据完thentication Header) 、P安全载荷负载ESP (Encapsulated整性等措施，以保证了信息在传输中不被偷看.篡改.复制。Security Payload) 和密钥管理协议组成。1.2 IPSee 基本工作原理IPSee的工作原理(如图2所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个TPNVFN \IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配;当找到一个相匹配的规则时，包过滤防火墙就按照公司总铺各心湾户分支机构该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。图1 VPNt1拓扑示意图自动更改正文内所有引用C献的编号。照，只要参考文献部分-经改动, 正文的引用部分也可自动1.2”参照连接”的操作方9:更新，减少了论文撰写过程中的维护量。而且通过对每个引“参照连接"要求完成的功能是:只要在本文的正文部分用文献定义专门的书签名称,运行”参照连接”的步骤,就能引用文献的[编号]处按一下左键时， 会立刻跳到参考文献在正文点击引用文献编号后,跳到对应的参考文献处，能提部分的[编号]处。具体操作方法为:高学术文章写作效率,很有实用价值。选择正文部分中的编号[3], 点击”插入交叉引用",，参考文献在"引用类型”的下拉菜单中，选择"书签"。(必须勾选"以超级键接的形式插入”)。在"指定书签”方块中选择”赵战生1杨秀章. Word 2000中文版使用速成.北京:清华大学出199,按下“插入”按钮即可。以后只要将光标移至正文编号版社, 2000[3]的地方,光标会变成超级链接状，按下左键后会自动跑2 Peter Weverka. Diane Poremsky. 中文Word 2002 专家.到参考文献部分的[3]处。北京:机械工业出版社，20023李华斌. Word 2000 中文版技巧与实例.北京:中国水利2结论水电出版社, 1999本文介绍了使用WORD制作学术论文的自动文献参●华文立安徽电子信息职业技术学院计算机科学系讲师(合肥工业大学在读研中国煤化工机应用与软件开发。收稿●42.:YHCNMHGTPSec处理]1、管理模块负责整个系统的配置和管理。由管理模块IPPoU|PPOU来决定采取何种传输模式，对哪些IP数据包进行加密解网卡驱动程序- P POU二卫模块TCP POU- CP模坝密:2、密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各IP HEADER SP安全网关之间密钥的分配采取手工分配的方式并存储在密钥数据库中，支持以IP地址为关键字的快速查询获取;3、SPD身份认证模块对IP数据包完成数字签名的运算。数字签名困2 IPSec工作原理示意图.在保证数据完整性的同时，也起到了身份认证的作用，因为IPSec通过查询SPD (Security P01icy Database安全策只有在有密钥的情况之下,才能对数据进行正确的签名;4、略数据库)决定对接收到的IP数据包的处理。但是IPSee数据加密解密模块完成对IP数据包的加密和解密操作。可不同于包过滤防火墙的是,对IP数据包的处理方法除了丢选的加密算法有IDEA算法和DES算法;5、数据分组的封弃,直接转发(绕过IPSec)外,还有一-种, 即进行IPSec处装/分解模块实现对IP数据分组进行安全封装或分解。当从理。进行IPSec处理意味着对IP数据包进行加密和认证。安全网关发送IP数据分组时,数据分组封装分解模块为IP只有在对IP数据包实施了加密和认证后,才能保证在外部数据分组附加上身份认证头AH和安全数据封装头ESP.网络传输的数据包的机密性,真实性，完整性,通过Intermet当安全网关接收到IP数据分组时，数据分组封装分解模进新安全的通信才成为可能。块对AH和ESP进行协议分析，并根据包头信息进行身份2 Ipece提供的两种工作模式和三个主要协议验证和数据解密:6、加密函数库为上述模块提供统- -的加密服务。加密函数库设计的一条基本原则是通过一-个统一2.1工作模式.IPSec主要提供IP网络层上的加密通讯能力，既可以的函数接口界面与上述模块进行通信。这样可以根据实际只对IP数据包进行加密,或只进行认证，也可以同时实施的需要，在挂接加密算法和加密强度不同的函数库时，其它模块不需作出改动。二者。但无论是进行加密还是进行认证, IPSec都有两种工4几种典型的VPN应用方案作模式, -种是隧道模式;另一种是传输模式。(1)传输模式(Ipsec Transport) :只对IP数据包的有VPN的应用有两种基本类型:拨号式VPN与专用式效负载进行加密或认证,对数据包的内容进行加密，使用VPN.拨号VPN为移动用户与远程办公者提供远程内部网原来的源地址和目的地址;(2)隧道模式(Ipee Tun-访问,拨号VPN分为两种:在用户PC机上或在服务提供商nel) :整个IP包封装起来,重新形成一新的IP头,包含进的网络访问服务器 (NAS)上。专用VPN有多种形式，其共行路由功能的信息,主要用于网关与网关或防火墙与防火同的要素是为用户 提供IP服务,一般采用安全设备或客户墙之间的加密邇讯。端的路由器等设备在IP网络上完成服务。2.2 三个主要协议5结束语Psee实际上是一套协议包， 包括三个基本协议:AH总之,VPN是一项综合性的网络新技术，已显示出强大(Authentication Header) 协议为IP包提供信息源身份验证的生命力,Cisco.3Com、Ascend等公司已推出了各自的产和数据完整性保证: ESP (Encapsulaing Securty payloed)品。但是VPN产品能否被广泛接受主要取决于以下两点:提供加密保证:密钥管理协议IKE (Intemet Key Ex-一是VPN方案能否以线路速度进行加密,否则将会产生瓶change) 提供双方交流时的共享安全信息。颈;二是能否调度和引导VPN的数据流到网络上的不同管3 VPN系统的设计理域。.如图3所示，VPN的实现包含管理模块、密钥分配和生参考文献成模块、身份认证模块、数据加密解密模块、数据分组封装/1张中荃。 程控交换与宽带交换.北京:人民邮电出版杜，分解模块和加密函数库几部分组成。2003,11.网络管理员/+管加密函数库2周明全.网络信息安全技术.西安:西安电子科技大学出internet用户楼数据分组的封装分解模块版社, 2003,11.协议图3 VPN实现示意围中国煤化工MYHCNMHG●43.