VPN毕业设计论文.docx
《VPN毕业设计论文.docx》由会员分享,可在线阅读,更多相关《VPN毕业设计论文.docx(47页珍藏版)》请在冰豆网上搜索。
VPN毕业设计论文
摘要
VPN(VirtalPrivateNetwork)即虚拟专用网,是一条穿过公共网络的安全的稳定的通道。
通过对网络数据的封包和加密传输,在因特网或其他网络上建立一条临时的、安全的、稳定的连接,从而实现在公网上安全地传输私有数据。
通常VPN是对企业内部网络的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网建立可信的安全连接,并保证数据的安全传输。
VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通道的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
本文首先介绍了VPN的定义和研究影响。
然后介绍了关键技术实现的VPN包括隧道技术,其主要的安全协议,PPTP/L2TP协议,IPSEC协议,GRE协议,所有这些技术构建VPN网络提供理论依据。
关键词:
VPN、网络、隧道、IPSec、GRE
Abstract
VPN(VirtalPrivateNetwork)isakindofsafeandsteadychannelworkthroughthepublicnetwork.Byencapsulateandencryptionofdata,atemporary,secureandsteadylinkcanbesetuponwhichtheprivatedatacanbetransfferdsafely.Usally,VPNisanextensiontotheenterpriseandvariousprovidersabletoconnecttothecompanyinnernetworkandtransferdatasafely.VPNcanbeusedtoprovidemobileusertoaccessinternetgloblely,andcanbeusedasvirtualprivatelinkfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprise,andalsocanbeusedtoeconomicalsecurelinksfromenterprisetobusinesspartners.ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,GREprotocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.
Keyword:
VPN,network,tunnel,safely,IPSec,GRE
1.绪论
1.1VPN的定义
VPN(VirtualPrivateNetwork)被定义为通过一个公共网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公共网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展与延伸。
虚拟专用网可以帮助远程用户、公司分支机构、商业合作伙伴及供应商同公司的内部网络建立安全可信的连通通道,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
1.2VPN的课题背景
随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。
这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。
因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是虚拟专用网技术诞生的直接原因。
虽然VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。
即使不需要使用加密数据,也可节省开支。
因此,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋。
1.3VPN的设计目标
一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏。
因此,最低限度,一个成功的vpn方案应当能够满足以下所有方面的要求:
(1)用户验证vpn方案必须能够验证用户身份并严格控制只有授权用户才能访问vpn。
另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
(2)地址管理vpn方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
(3)数据加密对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
(4)密钥管理vpn方案必须能够生成并更新客户端和服务器的加密密钥。
(5)多协议支持vpn方案必须支持公共互联网络上普遍使用的基本协议,包括ip,ipx等。
以点对点隧道协议(pptp)或第2层隧道协议(l2tp)为基础的vpn方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的internet互联网络的优势。
其它方案,包括安全ip协议(ipsec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境。
本文以下部分将主要集中讨论有关vpn的协议和基于两种协议所完成的实验。
1.4论文的组织结构
本文分为五章,具体安排如下:
第一章主要介绍VPN是什么,简单介绍VPN这种技术,VPN由来的背景,VPN的设计的要求。
第二章主要是对VPN技术的分析,介绍VPN工作的原理,本论文是基于VPN的何种分类,对VPN一系列协议的简单介绍,VPN设计实现什么目标,实现VPN都需要有哪些技术,对本论文中两种协议的具体分析。
第三章对基于GRE协议的VPN实现了需求、设计,在模拟软件上完成本实验的操作。
第四章基于有限的实验设备制定一个合理的需求分析,在需求产生后设计一个具体的实验,并在具体设备上完成该实验。
第五章基于上述两种实验的缺憾,结合两种协议的使用,合理完成一个混杂网络上的实验。
2.VPN的技术分析
2.1VPN的工作原理
把因特网用作专用广域网,就要克服两个主要障碍。
首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。
所以,VPN就需要提供一种方法,将非IP的协议从一个网络传送到另一个网络。
其次,网上传输的数据包以明文格式传输,因而,只要看得到因特网的流量,就能读取包内所含的数据。
如果公司希望利用因特网传输重要的商业机密信息,这显然是一个问题。
VPN克服这些障碍的办法就是采用了隧道技术:
数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,如图2-1所示:
图1-1VPN工作原理图
源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。
两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保连接用户拥有进入目标网络的相应的权限。
大多数现有的VPN产品支持多种验证方式)。
最后,VPN发起器将整个加密包封装成IP包。
现在不管原先传输的是何种协议,它都能在纯IP因特网上传输。
又因为包进行了加密,所以谁也无法读取原始数据。
在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,他们在把隐藏的IPX包发到网络,最终发往相应目的地。
2.2VPN的分类
从不同的角度看VPN,就可以得到不同的VPN类型,按照应用领域,我们可以把VPN分成以下三类:
(1)远程访问(AccessVPN)
远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。
推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。
这种应用类型也叫AccessVPN(或访问型VPN),这是基本的VPN应用类型。
不难证明,其他类型的VPN都是AccessVPN的组合、延伸和扩展。
(2)组建内联网(IntranetVPN)
一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间(即连接边界处)时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。
利用VPN组建的内联网也叫IntranetVPN。
IntranetVPN是解决内联网结构安全和连接安全、传输安全的主要方法。
(3)组建外联网(ExtranetVPN)
使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。
这样组建的外联网也叫ExtranetVPN。
ExtranetVPN是解决外联网结构安全和连接安全、传输安全的主要方法。
若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。
2.3VPN主要协议的介绍
2.3.1IntranetVPN的适用协议
组建内联网的主要的适用协议有GRE、IPSecVPN、MPLSVPN三种。
GRE协议能够对各种网络层协议的数据报文进行封装,被封装的数据报文能够在IP网络中传输。
GRE采用了Tunnel技术,是VPN的三层隧道协议。
但是它的安全性低。
下文会详细介绍此协议。
IPSecVPN是标准的网络安全协议,可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,从而有效抵御网络攻击。
IPSecVPN在网络的灵活性、安全性、经济性、扩展性等方面极具优势。
MPLSVPN是指采用MPLS技术在宽带IP的骨干网络上构建企业IP专网,以实现跨地域、安全、高速、可靠的数据、音频等业务通信。
MPLSVPN结合区分服务、流量工程等相关技术,将公共网络可靠的性能,良好的扩展性,丰富的功能与专用网的安全、灵活、高效地结合在一起,可以为用户提供高质量的服务。
2.3.2AccessVPN的适用协议
远程访问的适用协议主要有IPSecVPN、VPDN、SSLVPN。
IPSecVPN是一种很全面的技术,在远程访问上仍然适用,所以该技术应用很广泛,本文有对IPSecVPN技术的详细叙述。
VPDN是VPN业务的一种,具体包含的技术包括PPTP、L2TP、PPPoE等,是基于拨号用户的虚拟专用拨号网业务。
即用户以拨号接入的方式联网,并通过CDMA1x分组网络传输数据时,VPDN会对数据进行封装和加密,从而保障数据的私密性,并使VPN有到达私有网络安全级别。
VPDN是利用IP网络的承载功能结合相应的认证和授权机制建立起来的一种安全的虚拟专用网,是一种很传统的VPN技术。
SSLVPN指的是基于安全套接层协议建立远程安全访问通道的VPN技术。
它是一种新兴的技术,随着Web的普及和电子商务、远程办公的兴起而发展起来。
2.4VPN的设计目标
在实际应用中,一般来说一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)
VPN网络应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
从用户角度和运营商的角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.5实现VPN的关键技术
(1)隧道技术
隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。
这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为((协议Y)隧道头(协议X))。
在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。
隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的IP地址以及其它协议信息。
VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。
VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。
隧道是由隧道协议形成的。
隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。
第二层隧道和第三层隧道的本质区别在于:
用户的IP数据包被封装在不同的数据包中在隧道中传输。
第二层隧道协议是建立在点对点协议PPP的基础上,充分利用PPP协议支持多协议的特点,先把各种网络协议(如IP、IPX等)封装到PPP帧中,再把整个数据包装入隧道协议。
PPTP和L2TP协议主要用于远程访问虚拟专用网。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。
无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。
IPSec即IP安全协议是目前实现VPN功能的最佳选择。
(2)加解密认证技术
加解密技术是VPN的另一核心技术。
为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。
单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。
其优点是加解密速度快。
最有影响的单钥密码就是美国国家标准局颁布的DES算法(56比特密钥)。
而3DES(112比特密钥)被认为是目前不可破译的。
双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加密速度慢。
所以现在的VPN大都采用单钥的DES和3DES作为加解密的主要技术,而以公钥和单钥的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上密钥交换和管理,不但可以提高了传输速度,还具有良好的保密功能。
认证技术可以防止来自第三方的主动攻击。
一般用户和设备双方在交换数据之前,先核对证书,如果准确无误,双方才开始交换数据。
用户身份认证最常用的技术是用户名和密码方式。
而设备认证则需要依赖由CA所颁发的电子证书。
目前主要有的认证方式有:
简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。
简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。
(3)密钥管理技术
密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。
目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。
Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。
IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。
IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。
IKE协议的缺点是它虽然提供了强大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。
(4)访问控制技术
虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。
由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。
访问控制策略可以细分为选择性访问控制和强制性访问控制。
选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。
强制性访问控制是基于被访问信息的敏感性。
2.6VPN两种协议的分析
2.6.1 IPSec协议
IPSec是IETF提出的IP安全标准[2]它在IP层上对数据包进行安全处理提供数据源验证无连接数据完整性数据机密性抗重播和有限业务流机密性等安全服务各种应用程序完全可以享用IP层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥协商的开销也降低了产生安全漏洞的可能性IPSec可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络(VPN)RoadWarrior和安全隧道技术[1]。
IPSec协议由核心协议和支撑模块组成。
核心协议包括AH(验证头)与ESP(封装安全载荷)支撑部分包括加密算法HASH算法安全策略安全关联IKE密钥交换机制[4~7]
IP技术是在原始的IP头部和数据之间插入一个IPSec头部,这样可以对原始IP负载实现加密,同时还可以实现对IPSec头部和原始IP负载的验证,以确保数据的完整性。
IPSec的结构是一种框架性的结构,IPSec没有具体的加密和散列函数,它是每一次的IPSec会话所用的具体算法都是通过协商来确定,这样更具有安全性。
还包括IPSec框架中的封装协议和模式、密钥有效期等内容都是通过协商决定,在两个IPSec对等体之间协商的协议叫做IKE。
协商完成后产生安全关联SA,实现安全通信。
IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理协议组成。
IPSec的体系结构如图2-2所示:
图2-2IPSec的体系结构
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。
IPSec用密码技术从三个方面来保证数据的安全。
即:
认证:
用于对主机和端点进行身份鉴别。
完整性检查:
用于保证数据在通过网络传输时没有被修改。
加密:
加密IP地址和数据以保证私有性,这样就算被第三方捕获后也无法将其恢复成明文。
IPSec协议可以设置成在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。
在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。
预计它今后将成为虚拟专用网的主要标准。
IPSec有扩展能力以适应未来商业的需要。
在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)协议,其中还包括一个密钥分配协议Oakley。
ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。
IPSec也可用于连接其它层己存在的通信协议,如支持安全电子交易(SET:
S
升级会员 