2004年8月電腦學(xué)習(xí)第4期VPN技術(shù)原理與實(shí)現(xiàn)華文立*摘要介紹VPN技術(shù)的基本原理以及 IPSec規(guī)范.在此基礎(chǔ)上介紹J VPN技術(shù)的實(shí)現(xiàn)方法和幾種典型應(yīng)用方案。關(guān)鍵詞VPN虛擬子網(wǎng)Ipsec 協(xié)議隧道模式傳翰模式The Principle and Application of Virtual Private NetworkHua WeniAbstract This paper deecibes tbe basic pinciple of Virtual Private Nerwrk (VPN) and Ipcc nomIt furtber itnoducesthe practical method and several typical applied palns of VPN.Keword VPN Vitual Subnet Ipce Pocol Tunnel Mode Trenepont Mode所謂VPN (Virtual Private Network, 虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨千網(wǎng)連接成1基于IPSec規(guī)范的VPN技術(shù)邏輯.上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Intermet。VPN1.1 IPSec 協(xié)議簡(jiǎn)介通俗一點(diǎn)說(shuō)就是使用加密的IP隧道，實(shí)現(xiàn)私有 IP包和其IPSec是IETF (Internet Engineer Task Force) 的安全他網(wǎng)絡(luò)協(xié)議(IPX, NetBEUI 等)包在Intermet. 上的傳輸,從標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的而實(shí)現(xiàn)位于WAN上的不同LAN的各種協(xié)議虛報(bào)連接,即體系,通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸虛擬的局域網(wǎng)(如圖1)。為了保障信息在Intemnet上傳輸?shù)目煽啃?、私有性和保密性。IPSee 由IP認(rèn)證頭AH (Au-的安全性, VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完thentication Header) 、P安全載荷負(fù)載ESP (Encapsulated整性等措施，以保證了信息在傳輸中不被偷看.篡改.復(fù)制。Security Payload) 和密鑰管理協(xié)議組成。1.2 IPSee 基本工作原理IPSee的工作原理(如圖2所示)類(lèi)似于包過(guò)濾防火墻,可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)TPNVFN \IP數(shù)據(jù)包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配;當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過(guò)濾防火墻就按照公司總鋪各心灣戶(hù)分支機(jī)構(gòu)該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。圖1 VPNt1拓?fù)涫疽鈭D自動(dòng)更改正文內(nèi)所有引用C獻(xiàn)的編號(hào)。照，只要參考文獻(xiàn)部分-經(jīng)改動(dòng), 正文的引用部分也可自動(dòng)1.2”參照連接”的操作方9:更新，減少了論文撰寫(xiě)過(guò)程中的維護(hù)量。而且通過(guò)對(duì)每個(gè)引“參照連接"要求完成的功能是:只要在本文的正文部分用文獻(xiàn)定義專(zhuān)門(mén)的書(shū)簽名稱(chēng),運(yùn)行”參照連接”的步驟,就能引用文獻(xiàn)的[編號(hào)]處按一下左鍵時(shí)， 會(huì)立刻跳到參考文獻(xiàn)在正文點(diǎn)擊引用文獻(xiàn)編號(hào)后,跳到對(duì)應(yīng)的參考文獻(xiàn)處，能提部分的[編號(hào)]處。具體操作方法為:高學(xué)術(shù)文章寫(xiě)作效率,很有實(shí)用價(jià)值。選擇正文部分中的編號(hào)[3], 點(diǎn)擊”插入交叉引用",，參考文獻(xiàn)在"引用類(lèi)型”的下拉菜單中，選擇"書(shū)簽"。(必須勾選"以超級(jí)鍵接的形式插入”)。在"指定書(shū)簽”方塊中選擇”趙戰(zhàn)生1楊秀章. Word 2000中文版使用速成.北京:清華大學(xué)出199,按下“插入”按鈕即可。以后只要將光標(biāo)移至正文編號(hào)版社, 2000[3]的地方,光標(biāo)會(huì)變成超級(jí)鏈接狀，按下左鍵后會(huì)自動(dòng)跑2 Peter Weverka. Diane Poremsky. 中文Word 2002 專(zhuān)家.到參考文獻(xiàn)部分的[3]處。北京:機(jī)械工業(yè)出版社，20023李華斌. Word 2000 中文版技巧與實(shí)例.北京:中國(guó)水利2結(jié)論水電出版社, 1999本文介紹了使用WORD制作學(xué)術(shù)論文的自動(dòng)文獻(xiàn)參●華文立安徽電子信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)系講師(合肥工業(yè)大學(xué)在讀研中國(guó)煤化工機(jī)應(yīng)用與軟件開(kāi)發(fā)。收稿●42.:YHCNMHGTPSec處理]1、管理模塊負(fù)責(zé)整個(gè)系統(tǒng)的配置和管理。由管理模塊IPPoU|PPOU來(lái)決定采取何種傳輸模式，對(duì)哪些IP數(shù)據(jù)包進(jìn)行加密解網(wǎng)卡驅(qū)動(dòng)程序- P POU二衛(wèi)模塊TCP POU- CP模壩密:2、密鑰管理模塊負(fù)責(zé)完成身份認(rèn)證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生成采取隨機(jī)生成的方式。各IP HEADER SP安全網(wǎng)關(guān)之間密鑰的分配采取手工分配的方式并存儲(chǔ)在密鑰數(shù)據(jù)庫(kù)中，支持以IP地址為關(guān)鍵字的快速查詢(xún)獲取;3、SPD身份認(rèn)證模塊對(duì)IP數(shù)據(jù)包完成數(shù)字簽名的運(yùn)算。數(shù)字簽名困2 IPSec工作原理示意圖.在保證數(shù)據(jù)完整性的同時(shí)，也起到了身份認(rèn)證的作用，因?yàn)镮PSec通過(guò)查詢(xún)SPD (Security P01icy Database安全策只有在有密鑰的情況之下,才能對(duì)數(shù)據(jù)進(jìn)行正確的簽名;4、略數(shù)據(jù)庫(kù))決定對(duì)接收到的IP數(shù)據(jù)包的處理。但是IPSee數(shù)據(jù)加密解密模塊完成對(duì)IP數(shù)據(jù)包的加密和解密操作?？刹煌诎^(guò)濾防火墻的是,對(duì)IP數(shù)據(jù)包的處理方法除了丟選的加密算法有IDEA算法和DES算法;5、數(shù)據(jù)分組的封棄,直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外,還有一-種, 即進(jìn)行IPSec處裝/分解模塊實(shí)現(xiàn)對(duì)IP數(shù)據(jù)分組進(jìn)行安全封裝或分解。當(dāng)從理。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。安全網(wǎng)關(guān)發(fā)送IP數(shù)據(jù)分組時(shí),數(shù)據(jù)分組封裝分解模塊為IP只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后,才能保證在外部數(shù)據(jù)分組附加上身份認(rèn)證頭AH和安全數(shù)據(jù)封裝頭ESP.網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性,真實(shí)性，完整性,通過(guò)Intermet當(dāng)安全網(wǎng)關(guān)接收到IP數(shù)據(jù)分組時(shí)，數(shù)據(jù)分組封裝分解模進(jìn)新安全的通信才成為可能。塊對(duì)AH和ESP進(jìn)行協(xié)議分析，并根據(jù)包頭信息進(jìn)行身份2 Ipece提供的兩種工作模式和三個(gè)主要協(xié)議驗(yàn)證和數(shù)據(jù)解密:6、加密函數(shù)庫(kù)為上述模塊提供統(tǒng)- -的加密服務(wù)。加密函數(shù)庫(kù)設(shè)計(jì)的一條基本原則是通過(guò)一-個(gè)統(tǒng)一2.1工作模式.IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力，既可以的函數(shù)接口界面與上述模塊進(jìn)行通信。這樣可以根據(jù)實(shí)際只對(duì)IP數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施的需要，在掛接加密算法和加密強(qiáng)度不同的函數(shù)庫(kù)時(shí)，其它模塊不需作出改動(dòng)。二者。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證, IPSec都有兩種工4幾種典型的VPN應(yīng)用方案作模式, -種是隧道模式;另一種是傳輸模式。(1)傳輸模式(Ipsec Transport) :只對(duì)IP數(shù)據(jù)包的有VPN的應(yīng)用有兩種基本類(lèi)型:撥號(hào)式VPN與專(zhuān)用式效負(fù)載進(jìn)行加密或認(rèn)證,對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行加密，使用VPN.撥號(hào)VPN為移動(dòng)用戶(hù)與遠(yuǎn)程辦公者提供遠(yuǎn)程內(nèi)部網(wǎng)原來(lái)的源地址和目的地址;(2)隧道模式(Ipee Tun-訪問(wèn),撥號(hào)VPN分為兩種:在用戶(hù)PC機(jī)上或在服務(wù)提供商nel) :整個(gè)IP包封裝起來(lái),重新形成一新的IP頭,包含進(jìn)的網(wǎng)絡(luò)訪問(wèn)服務(wù)器 (NAS)上。專(zhuān)用VPN有多種形式，其共行路由功能的信息,主要用于網(wǎng)關(guān)與網(wǎng)關(guān)或防火墻與防火同的要素是為用戶(hù) 提供IP服務(wù),一般采用安全設(shè)備或客戶(hù)墻之間的加密邇訊。端的路由器等設(shè)備在IP網(wǎng)絡(luò)上完成服務(wù)。2.2 三個(gè)主要協(xié)議5結(jié)束語(yǔ)Psee實(shí)際上是一套協(xié)議包， 包括三個(gè)基本協(xié)議:AH總之,VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)，已顯示出強(qiáng)大(Authentication Header) 協(xié)議為IP包提供信息源身份驗(yàn)證的生命力,Cisco.3Com、Ascend等公司已推出了各自的產(chǎn)和數(shù)據(jù)完整性保證: ESP (Encapsulaing Securty payloed)品。但是VPN產(chǎn)品能否被廣泛接受主要取決于以下兩點(diǎn):提供加密保證:密鑰管理協(xié)議IKE (Intemet Key Ex-一是VPN方案能否以線路速度進(jìn)行加密,否則將會(huì)產(chǎn)生瓶change) 提供雙方交流時(shí)的共享安全信息。頸;二是能否調(diào)度和引導(dǎo)VPN的數(shù)據(jù)流到網(wǎng)絡(luò)上的不同管3 VPN系統(tǒng)的設(shè)計(jì)理域。.如圖3所示，VPN的實(shí)現(xiàn)包含管理模塊、密鑰分配和生參考文獻(xiàn)成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密解密模塊、數(shù)據(jù)分組封裝/1張中荃。 程控交換與寬帶交換.北京:人民郵電出版杜，分解模塊和加密函數(shù)庫(kù)幾部分組成。2003,11.網(wǎng)絡(luò)管理員/+管加密函數(shù)庫(kù)2周明全.網(wǎng)絡(luò)信息安全技術(shù).西安:西安電子科技大學(xué)出internet用戶(hù)樓數(shù)據(jù)分組的封裝分解模塊版社, 2003,11.協(xié)議圖3 VPN實(shí)現(xiàn)示意圍中國(guó)煤化工MYHCNMHG●43.