2004年8月電腦學(xué)習(xí)第4期VPN技術(shù)原理與實現(xiàn)華文立*摘要介紹VPN技術(shù)的基本原理以及 IPSec規(guī)范.在此基礎(chǔ)上介紹J VPN技術(shù)的實現(xiàn)方法和幾種典型應(yīng)用方案。關(guān)鍵詞VPN虛擬子網(wǎng)Ipsec 協(xié)議隧道模式傳翰模式The Principle and Application of Virtual Private NetworkHua WeniAbstract This paper deecibes tbe basic pinciple of Virtual Private Nerwrk (VPN) and Ipcc nomIt furtber itnoducesthe practical method and several typical applied palns of VPN.Keword VPN Vitual Subnet Ipce Pocol Tunnel Mode Trenepont Mode所謂VPN (Virtual Private Network, 虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨千網(wǎng)連接成1基于IPSec規(guī)范的VPN技術(shù)邏輯.上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Intermet。VPN1.1 IPSec 協(xié)議簡介通俗一點說就是使用加密的IP隧道，實現(xiàn)私有 IP包和其IPSec是IETF (Internet Engineer Task Force) 的安全他網(wǎng)絡(luò)協(xié)議(IPX, NetBEUI 等)包在Intermet. 上的傳輸,從標準，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的而實現(xiàn)位于WAN上的不同LAN的各種協(xié)議虛報連接,即體系,通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸虛擬的局域網(wǎng)(如圖1)。為了保障信息在Intemnet上傳輸?shù)目煽啃?、私有性和保密性。IPSee 由IP認證頭AH (Au-的安全性, VPN技術(shù)采用了認證、存取控制、機密性、數(shù)據(jù)完thentication Header) 、P安全載荷負載ESP (Encapsulated整性等措施，以保證了信息在傳輸中不被偷看.篡改.復(fù)制。Security Payload) 和密鑰管理協(xié)議組成。1.2 IPSee 基本工作原理IPSee的工作原理(如圖2所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展。當接收到一個TPNVFN \IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配;當找到一個相匹配的規(guī)則時，包過濾防火墻就按照公司總鋪各心灣戶分支機構(gòu)該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。圖1 VPNt1拓撲示意圖自動更改正文內(nèi)所有引用C獻的編號。照，只要參考文獻部分-經(jīng)改動, 正文的引用部分也可自動1.2”參照連接”的操作方9:更新，減少了論文撰寫過程中的維護量。而且通過對每個引“參照連接"要求完成的功能是:只要在本文的正文部分用文獻定義專門的書簽名稱,運行”參照連接”的步驟,就能引用文獻的[編號]處按一下左鍵時， 會立刻跳到參考文獻在正文點擊引用文獻編號后,跳到對應(yīng)的參考文獻處，能提部分的[編號]處。具體操作方法為:高學(xué)術(shù)文章寫作效率,很有實用價值。選擇正文部分中的編號[3], 點擊”插入交叉引用",，參考文獻在"引用類型”的下拉菜單中，選擇"書簽"。(必須勾選"以超級鍵接的形式插入”)。在"指定書簽”方塊中選擇”趙戰(zhàn)生1楊秀章. Word 2000中文版使用速成.北京:清華大學(xué)出199,按下“插入”按鈕即可。以后只要將光標移至正文編號版社, 2000[3]的地方,光標會變成超級鏈接狀，按下左鍵后會自動跑2 Peter Weverka. Diane Poremsky. 中文Word 2002 專家.到參考文獻部分的[3]處。北京:機械工業(yè)出版社，20023李華斌. Word 2000 中文版技巧與實例.北京:中國水利2結(jié)論水電出版社, 1999本文介紹了使用WORD制作學(xué)術(shù)論文的自動文獻參●華文立安徽電子信息職業(yè)技術(shù)學(xué)院計算機科學(xué)系講師(合肥工業(yè)大學(xué)在讀研中國煤化工機應(yīng)用與軟件開發(fā)。收稿●42.:YHCNMHGTPSec處理]1、管理模塊負責(zé)整個系統(tǒng)的配置和管理。由管理模塊IPPoU|PPOU來決定采取何種傳輸模式，對哪些IP數(shù)據(jù)包進行加密解網(wǎng)卡驅(qū)動程序- P POU二衛(wèi)模塊TCP POU- CP模壩密:2、密鑰管理模塊負責(zé)完成身份認證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生成采取隨機生成的方式。各IP HEADER SP安全網(wǎng)關(guān)之間密鑰的分配采取手工分配的方式并存儲在密鑰數(shù)據(jù)庫中，支持以IP地址為關(guān)鍵字的快速查詢獲取;3、SPD身份認證模塊對IP數(shù)據(jù)包完成數(shù)字簽名的運算。數(shù)字簽名困2 IPSec工作原理示意圖.在保證數(shù)據(jù)完整性的同時，也起到了身份認證的作用，因為IPSec通過查詢SPD (Security P01icy Database安全策只有在有密鑰的情況之下,才能對數(shù)據(jù)進行正確的簽名;4、略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSee數(shù)據(jù)加密解密模塊完成對IP數(shù)據(jù)包的加密和解密操作?？刹煌诎^濾防火墻的是,對IP數(shù)據(jù)包的處理方法除了丟選的加密算法有IDEA算法和DES算法;5、數(shù)據(jù)分組的封棄,直接轉(zhuǎn)發(fā)(繞過IPSec)外,還有一-種, 即進行IPSec處裝/分解模塊實現(xiàn)對IP數(shù)據(jù)分組進行安全封裝或分解。當從理。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。安全網(wǎng)關(guān)發(fā)送IP數(shù)據(jù)分組時,數(shù)據(jù)分組封裝分解模塊為IP只有在對IP數(shù)據(jù)包實施了加密和認證后,才能保證在外部數(shù)據(jù)分組附加上身份認證頭AH和安全數(shù)據(jù)封裝頭ESP.網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性,真實性，完整性,通過Intermet當安全網(wǎng)關(guān)接收到IP數(shù)據(jù)分組時，數(shù)據(jù)分組封裝分解模進新安全的通信才成為可能。塊對AH和ESP進行協(xié)議分析，并根據(jù)包頭信息進行身份2 Ipece提供的兩種工作模式和三個主要協(xié)議驗證和數(shù)據(jù)解密:6、加密函數(shù)庫為上述模塊提供統(tǒng)- -的加密服務(wù)。加密函數(shù)庫設(shè)計的一條基本原則是通過一-個統(tǒng)一2.1工作模式.IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力，既可以的函數(shù)接口界面與上述模塊進行通信。這樣可以根據(jù)實際只對IP數(shù)據(jù)包進行加密,或只進行認證，也可以同時實施的需要，在掛接加密算法和加密強度不同的函數(shù)庫時，其它模塊不需作出改動。二者。但無論是進行加密還是進行認證, IPSec都有兩種工4幾種典型的VPN應(yīng)用方案作模式, -種是隧道模式;另一種是傳輸模式。(1)傳輸模式(Ipsec Transport) :只對IP數(shù)據(jù)包的有VPN的應(yīng)用有兩種基本類型:撥號式VPN與專用式效負載進行加密或認證,對數(shù)據(jù)包的內(nèi)容進行加密，使用VPN.撥號VPN為移動用戶與遠程辦公者提供遠程內(nèi)部網(wǎng)原來的源地址和目的地址;(2)隧道模式(Ipee Tun-訪問,撥號VPN分為兩種:在用戶PC機上或在服務(wù)提供商nel) :整個IP包封裝起來,重新形成一新的IP頭,包含進的網(wǎng)絡(luò)訪問服務(wù)器 (NAS)上。專用VPN有多種形式，其共行路由功能的信息,主要用于網(wǎng)關(guān)與網(wǎng)關(guān)或防火墻與防火同的要素是為用戶 提供IP服務(wù),一般采用安全設(shè)備或客戶墻之間的加密邇訊。端的路由器等設(shè)備在IP網(wǎng)絡(luò)上完成服務(wù)。2.2 三個主要協(xié)議5結(jié)束語Psee實際上是一套協(xié)議包， 包括三個基本協(xié)議:AH總之,VPN是一項綜合性的網(wǎng)絡(luò)新技術(shù)，已顯示出強大(Authentication Header) 協(xié)議為IP包提供信息源身份驗證的生命力,Cisco.3Com、Ascend等公司已推出了各自的產(chǎn)和數(shù)據(jù)完整性保證: ESP (Encapsulaing Securty payloed)品。但是VPN產(chǎn)品能否被廣泛接受主要取決于以下兩點:提供加密保證:密鑰管理協(xié)議IKE (Intemet Key Ex-一是VPN方案能否以線路速度進行加密,否則將會產(chǎn)生瓶change) 提供雙方交流時的共享安全信息。頸;二是能否調(diào)度和引導(dǎo)VPN的數(shù)據(jù)流到網(wǎng)絡(luò)上的不同管3 VPN系統(tǒng)的設(shè)計理域。.如圖3所示，VPN的實現(xiàn)包含管理模塊、密鑰分配和生參考文獻成模塊、身份認證模塊、數(shù)據(jù)加密解密模塊、數(shù)據(jù)分組封裝/1張中荃。 程控交換與寬帶交換.北京:人民郵電出版杜，分解模塊和加密函數(shù)庫幾部分組成。2003,11.網(wǎng)絡(luò)管理員/+管加密函數(shù)庫2周明全.網(wǎng)絡(luò)信息安全技術(shù).西安:西安電子科技大學(xué)出internet用戶樓數(shù)據(jù)分組的封裝分解模塊版社, 2003,11.協(xié)議圖3 VPN實現(xiàn)示意圍中國煤化工MYHCNMHG●43.