VPN技术及其安全性研究
来源:易妖游戏网
维普资讯 http://www.cqvip.com 计算机与现代化 2006年第5期 JISUANJI YU XIANDAIHUA 总第129期 文章编号:1006-2475(2006)05.0069,03 VPN技术及其安全性研究 黄世权 (涪陵师范学院网络中心,重庆4O8003) 摘要:介绍了VPN的概念、优势,分析了VPN的关键技术与协议,并对不同协议进行了相互比较。 关键词:虚拟专用网:优势;隧道技术;协议 中图分类号:1P393.o8 文献标识码:A Research Oil VPN Technique and Security HUANG Shi-quan (Fuling Normal University Network Center,Cho ̄nlns 4O8003,China) A ̄:This paper introduces the concepts and advantages of VPN,analyses the key techniques and protocols of VPN,and compares the diference for VPN protocols. Key wor ̄:virtual private network(VPN);advantage;tunnel technique;protocol 0 引 言12=1 及带宽增加的需求。 近年来,随着网络技术和网络应用的迅猛发展. 1 VPN概念 用户对专用网络的需求越来越大,同时面对业务数据 虚拟专用网技术(vPN)是利用开放性公共网络 流量的不断增长,用户对网络的高性能、高可靠性、灵 作为信息传输的媒体,通过加密、认证、封装以及密钥 活性、安全性、经济性和可扩展性等方面提出了更高 交换技术在公网上开辟一条专用隧道,使得合法的用 的要求,使得传统的基于固定地点的租用专线(DDN、 户可以安全地访问内部网络的私有数据。它可以替 ATM/帧中继)联网方式已难以适应现代业务对专用 代专线,把单位的移动员工、远程分支机构连接到单 网络的需求.尤其对一些特殊应用更加难以实现,如: 位的内部网络。虚拟专用网对用户端透明,用户好像 异地办公和外出人员访问内部网络资源等。利用公 网的资源来组建虚拟专用网络(VPN)已成为一种新 的选择,VPN是利用公共网络建立的一个临时连接, 硎 是对企业内部网的扩展。VPN利用加密技术对经过 隧道传输的数据进行加密,以保证数据仅被指定的发 送者和接收者了解,从而保证了数据的专用性和安全 图1 VPN系统典型组成结构 使用一条专用线路进行通信。典型的VPN系统组成 性。另外VPN可以按照优先级分配带宽资源,实现 如图l所示。要实现VPN连接,单位内部网络中必 带宽管理,使得各类数据能够被合理地先后发送,并 须提供VPN服务,VPN同时连接单位内部网络和In. 预防阻塞的发生;VPN能够支持通过Intranet和E)【. temet。当客户机通过VPN连接与内部专用网络中的 tranet的任何类型的数据流,支持多种类型的传输媒 服务器进行通信时,先由ISP将所有的数据传送到 介,满足同时传输语音、图像等应用对高质量传输以 VPN.然后再由VPN服务将所有的数据传送到内部网 收稿日期:2005.06-29 作者简介:黄世权(1970-),男,重庆市忠县人,涪陵师范学院讲师,研究方向:计算机网络应用与计算机网络安全。 维普资讯 http://www.cqvip.com 7O 计算机与现代化 2006年第5期 络的目标服务器。VPN类型有Access VPN、Intranet VPN、Extranet VPN三种。 模仿点对点连接技术,依靠ISP在公用网中建立自己 专用的“隧道”,让数据包通过这条隧道实现传输。 (2) ̄JIl解密技术。加解密技术是数据通信中较成 熟的技术,VPN可直接利用现有技术。用于VPN上 2 VPN的优势 VPN目前已得到了较为广泛自蝴,具有以] 亡势。 的加密技术由IPSec的ESP(Encapsulating Security Payl ̄)实现。主要是发送者在发送数据之前对数 据加密,当数据到达接收者时由接收者对数据进行解 (1)安全保障:通过提供身份认证、访问控制、数 据加密及数据完整来保障其安全可靠性。 (2)服务质量保证(Q0S):Q0S指包在一个或多个 密处理,算法主要种类包括:对称加密算法、不对称加 网络的传输过程中所表现的各种性能的具体描述,如 丢包率、延迟等。VPN根据用户需求为用户提供不 同等级的服务质量保证,为重要数据提供可靠的带 宽。VPN与一些网络技术(如IPSec、加 )的结合能 够为需要服务质量保证的用户提供不同程度的Q0S 保证。 (3)可扩充性和灵活性:VPN支持通过Intranet的 任何类型数据流,方便增加新的结点,支持多种类型 的传输媒介,可满足同时传输语音、图像和数据等新 应用对高质量传输及带宽增加的需求。 (4)可管理性:在VPN管理方面,VPN要求用户 将管理功能从内部网络无缝地延伸到公网,主要包括 安全管理、设备管理、配置管理、访问控制列表管理、 Q0S管理等。管理的目标是:减少网络风险、增强高 扩展性、经济性、高可靠性等优点。 3 VPN的关键技术 VPN使用隧道技术(Tunneling)、身份验证(Au. tIlentication)、密钥管理技术(Key Management)和加解 密技术(Encryption&Dccryption)等四个方面的技术保 证了通信的安全性。客户机向VPN服务器发出请 求,VPN服务器响应请求并向客户机进行身份质询; 客户机将加密的响应信息发送到VPN服务器,VPN 服务器根据用户数据库检查该响应。如果帐户有效。 VPN服务器将检查该用户是否具有远程访问权限,如 果该用户拥有远程访问权限,VPN服务器接受此连 接。在身份验证过程中产生的客户机和服务器公有 密钥将用来对数据进行加密。 (1)隧道技术。隧道技术的基本过程是在内部 网络与公网的接口处将数据作为负载封装在一种可 以在公网上传输的数据格式中,在目的网络与公网的 接口处将数据解封装,取出数据。被封装的数据包在 公网上传递时所经过的逻辑路径称为“隧道”。隧道 技术是VPN的基本技术,它具有分组封装技术,可以 密算法等,如DKS、IDEA、RSA。 对称加密算法,通信双方共享一个密钥。发送方 使用该密钥将明文加密成密文。接收方使用相同的 密钥将密文还原成明文,对称加密算法运算速度快。 不对称加密算法是通信双方各使用两个不同的密钥, 一个是只有发送方知道的密钥,另一个则是与之对应 的公开密钥,公开密钥不需保密。在通信过程中,发 送方用接收方的公开密钥加密消息,并且可以用发送 方的秘密密钥对消息的某一部分或全部加密,进行数 字签名。接收方收到消息后,用自己的秘密密钥解密 消息,并使用发送方的公开密钥解密数字签名,验证 发送方身份。 (3)密钥管理技术。密钥管理技术的主要任务是 如何在公网上安全地传递密钥而不被窃取。现行密 钥管理技术又分为SKIP与ISAKMP两种。SKIP是利 用Difie.Hellman的演算法则,在网络上传输密钥; ISAKMP双方都有两把密钥,分别用于公用、私用。 (4)使用者与设备身份认证技术。  ̄CHAP。使用MD5来协商加密身份验证的安全 形式,在响应时使用质询 响应机制和单向MD5散列。  ̄MS-ChAP。同CHAP相似,对远程Windows工 作站进行身份验证,在响应时使用质询.响应机制和 单向加密。而且MS-CHAP不要求使用原文或可逆加 密密码。MS-CHAP V2是第二版的质询握手身份验 证协议,它提供了相互身份验证和更强大的初始数据 密钥,而且发送和接收分别使用不同的密钥。  ̄EAP。为适应使用其它安全设备的远程访问 用户进行身份验证的需求,使用EAP,可以增加对许 多身份验证方案的支持,包括令牌卡、一次性密码、使 用智能卡的公钥身份验证、证书及其它身份验证。使 用EAP还可以防止暴力攻击及密码猜测。 4 VPN隧道协议 隧道协议分为第二、三层隧道协议,两者本质区 维普资讯 http://www.cqvip.com 20O6年第5期 黄世权:VPN技术及其安全性研究 71 别在于用户的数据包是被封装到哪一层的数据包在 隧道里传输。第二层隧道协议是先把各种网络协议 封装到PPP中,再把整个数据包装入隧道协议中。这 种双层封装方法形成的数据包靠第二层协议进行传 输,第二层隧道协议有L2F、PFrP、L2rIP等。第三层 隧道协议是把各种网络协议直接装入隧道协议中。形 成的数据包依靠第三层协议进行传输。第三层隧道协 议有VIP、IPSec、GRE等。 (1)PPrP(P0int to Point Tunneling Protoco1):PPTP 是VPN的基础。PPTP的封装在数据链路层产生, PPIP协议采用扩展GRE(Generic Routing Eneapsula. ifon)头对PPP/SLIP报进行封装。 (2)L2F(Layer 2 Forwording):L2F可在多种介质 (如ATM、帧中继、II)网)上建立多协议的安全虚拟专 用网,它将链路层的协议(如PPP等)封装起来传送。 因此,网络的链路层完全于用户的链路层协议。 (3)L211P(Layer 2 Tunneling Protoco1)是远程访问 型VPN今后的标准协议。它结合了PPTP协议和L2F 协议的优点,几乎能实现PPTP和L2F协议能实现的 所有服务,并且更加强大、灵活。 (4)IPSec:在 层提供通信安全的一套协议族, 包括封装的安全负载ESP和认证报头AH、ISAKMP。 它对所有链路层上的数据提供安全保护和透明服务。 AH用于通信双方验证数据在传输过程中是否被更 改并能验证发送方的身份,实现访问控制、数据完整 性、数据源的认证功能。ISAKMP用于通信双方协商 加密密钥和加密算法,并且用户的公钥和私钥是由可 信任第三方产生。 5 VPN协议的比较和总结 PPTP、L2F、L2TP和V。TP、lPSec、GRE,它们各自有 自己的优点,但对于隧道的加密和数据加密问题都没 有最佳的解决方案。同时,无论何种隧道技术,一旦 进行加密或验证,都会影响系统的性能。 与PPTP相比,L2TP能够提供差错和流量控制。 两者共有的缺点:①认证的只是终端的实体,没有对 信息流(通道中的数据包)进行认证,对于地址欺骗、 非法复制包难以防范;②由于缺乏认证信息,如果向 通道发送一些错误的信息,则可能导致服务的关闭, 这也成为常用的攻击手段。 GRE只提供了数据包的封装,它并没有使用加 密功能来防止网络侦听和攻击。在实际环境中它常 和LPSec在一起使用,由E'Sec提供用户数据的加密, 从而给用户提供更好的安全性。 只有 ̄ ̄Sec协议集合多种安全技术,建立了一个 安全、可靠的隧道。这些技术包括Difie.HeUman密钥 交换技术、DES、RC4、IDEA数据加密技术、哈希散列 算法HMAC、MD5、SHA、数字签名技术等。IPSec不仅 可以保证隧道的安全,同时还有一整套保证用户数据 安全的措施。由此建立的隧道更具有安全性和可靠 性。IPSec还可以和L211P、GRE等其它隧道协议一同 使用,提供更大的灵活性和可靠性。IPSce可以运行 于网络的任意一部分,它可以在路由器和防火墙之 间、路由器和路由器之间、PC机和服务器之间、PC机 和拨号访问设备之间。IPSec应作为目前较满意的解 决方案。 6结束语 近年来,VPN技术得到了快速的发展,为用户提 供了高速、可靠、安全、廉价的远程网络互联方案。 VPN技术的应用降低了网络的运营成本,提高了资源 利用效率,具有明显的应用价值。随着各行各业信息 化进程的加快,特别是电子商务、电子政务以及远程 教育、远程办公、管理等应用的推动。VPN技术将会发 挥更大的优势,必将成为未来网络安全的一项重要技 术和远程网络互联理想的解决方案,具有广阔的发展 和应用前景。 参考文献: [1][美]蛐Malik,等,网络安全原理与实践[M].王宝生, 等译.北京:人民邮电出版社,2003. [2] Steven brown.构建虚拟专用网[M].董晓宇,魏鸿,马沽, 等译.北京:人民邮电出版社,2001. [3] 石淑华.用Windows 2000实现企业VPN的分析与研究 [J].微机发展。2002,(5):69~71. [4] 孙为清.VPN隧道技术[J].计算机应用研究,2(gO,17 (8):55~58. [5] Illi- w.虚拟专用网的创建与实现[M].北京:海洋 出版社,2002. [6] Martin w Muxhammer.虚拟私用网络技术[M].北京:清华 大学出版社,2000. [7] 戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业 出版社。2OO2.