VPN设计与实现Word格式.docx
《VPN设计与实现Word格式.docx》由会员分享,可在线阅读,更多相关《VPN设计与实现Word格式.docx(31页珍藏版)》请在冰点文库上搜索。
KeyWord:
VirtualPrivateNetwork securitytransmission
3
目录
第一章绪论 1
1.1网络与信息安全 1
1.2本课题的研究背景 1
1.3论文主要内容 3
第二章虚拟专用网(VPN)技术 4
2.1VPN概念 4
2.1.1VPN的接入方式 4
2.1.2基于IP的VPN 5
2.2VPN关键技术 6
2.2.1隧道技术 6
2.2.2加解密技术 7
2.2.3密钥管理技术 7
2.2.4使用者与设备身份认证技术 8
2.3小结 8
第三章IPSec协议 10
3.1IP安全性概要 10
3.2IPSec概述 10
3.2.1IPSec基本思想 10
3.2.2IPSec结构体系 11
3.2.3IPSec工作模式 13
3.3安全关联SA 15
3.4三个基本协议 15
3.5IPSec的工作原理 16
3.6小结 17
第4章IPSECVPN实现模型的设计 18
4.1超市VPN设计 18
4.2VPN的功能 20
4.3VPN服务器配置 21
4.4小结 24
致 谢 24
第一章绪论
1.1网络与信息安全
因特网发展至今,它提供的浩瀚资源不断给世界带来惊喜,聚集全球各行业精英共同创新成为可能。
然而,九九年春节期间YaHoo被黑,电子商务的热门站点eBay,E-Trade,Amazon等的相继挂彩,无疑给沉浸于无限网络资源的人们敲响了警钟网络世界并非风平浪静!
资源共享是支撑因特网风行全球的应用之一。
公共网络的无序性、不可控性却决定了网络资源在开放共享的同时有可能遭受更改、删除等威胁。
然而,彻底将所有资源保护起来不与人共享并不现实。
因此有必要在共享与安全之间找到一个合适解决方案,把所有不安全因素尽量排除于真正需要共享者之外,在不受威胁的前提下实现真正的资源共享。
与公共网络相比,传统专用网在物理上独立,可提供较好的安全保障。
以往的专用网都是通过租用或专用线路实现组网,通过在物理连接上的独立性来确保安全。
但传统专用网的不足之处为造价较高,专用线路利用率低,对于不同的应用还必须分别提供一套线路实现,同一用户针对不同应用必须连接到不同的专用网,造成不必要的浪费。
此外传统专用网最大的缺陷在于与外界互连互通性差,自我闭塞的连接方式不适合现在信息交流日益增大的需求。
VPN(VirtualPrivateNetwork,虚拟专用网络)技术将物理上分布在不同地点的网络通过公用骨干网联接成为逻辑上的虚拟专用子网。
为了保障信息在公用网络上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施。
由于利用公用网络传输,费用比租用专线要低得多,所以VPN的出现使企业通过公用网既安全又经济地传输私有的机密信息成为可能。
1.2本课题的研究背景
Internet是一个开放性体系,它以不可思议的发展速度改变着传统的通信方式,将越来越多的国家、地域、团体和个人连接到了一个公用的网络上,
为他们提供了最经济方便和快捷的服务。
不同地域的局域网互连不再依赖于传统的建设专网或者租用专线的方法,也不再需要自己进行铺设线路和维护管理工作,并且只需支付少量的费用就可以利用Internet实现网络互联,避免了重复性建设造成的资源、人力、财力浪费。
但是,当Internet以最大的包容性接受所有连接的时候,安全问题也日渐凸现出来。
Internet设计的初衷是为了一些不同地方的科学家和研究者可以迅速方便的交流和共享研究成果和资源,并没有考虑到安全问题,而且它的最初设计者们恐怕也没有预计到Internet在今天有这么大的普及范围和影响力。
但也正随着越来越多的任何团体加入到Internet中,它也为一些别有意图的人提供了一个更隐蔽的犯罪场合或炫耀技能的舞台,而且有相当一部分人的行为严重威胁了公众的利益,也影响了Internet在某些领域的深入使用,因此迫切需要一种能够很好地解决Internet安全性的技术或方法。
虚拟专用网(VPN)正是提供这样一种集专网的安全性和公网的经济、方便于一体的有效解决方案。
无论是从市场的角度还是从研究的角度,研究VPN的系统构建都是非常有意义的。
以TCP/IP为基础的Internet具有很好的健壮性,可以在非常恶劣的环境下保持连通性,因此,只要解决了安全性问题,我们完全可以利用Internet提供的公用基础设施建设虚拟专网,或者是提供一条安全的后备通道。
VPN实际上是利用公共网络基础设施,在链路层或网络层上基于配置或隧道技术的网络虚拟连接技术的逻辑安全子网。
从安全的角度上看,这种子网上的网络信息资源和用户资源受到众多的安全威胁。
首先,TCP/IP协议最初设计的应用环境是美国国防系统的内部网络,是可信网络,在设计TCP/IP通信协议时并未考虑安全要求,当其推广应用到
Internet时,基于TCP/IP协议的因特网体系就存在着致命的安全隐患;
其次,网络的物理暴露性使攻击者可以通过传输介质和集散点进行信息截取;
再次,网络的虚拟性使非法用户可能冒充合法者侵入子网访问信息资源。
从根本上说,这些威胁利用了在公共物理网络基础设施上传输数据的公开性和传输信道的暴露性。
所以,就安全子网本身而言并不安全,如果能找到一种实现VPN的方法,即能保证传输数据的不可理解性,又能保证传输通道的隐秘性,同时对传输的数据具有完整性校研机制,这样的VPN才是安全的。
26
大多数的VPN,当作为网关(gateway)运行时,亦能按照VPN的策略配置对
IP包进行过滤,或者将包传递给专门的防火墙设备或软件处理,此时,VPN也能实现防火墙功能。
VPN之间的数据交换是通过建立隧道来实现的,根据VPN的下层协议一IPSec的规定,当两台VPN建立隧道时,会使用各自的证书、私钥进行密钥交换(IKE),以保障通讯安全。
1.3论文主要内容
本论文主要由四部分内容组成。
第一章是绪论,主要介绍了网络与信息安全和该课题研究的背景。
第二章,简要介绍了VPN技术,其中比较了多种实现
VPN的方式,VPN的关键技术。
并对各种技术进行了具体的解释。
第三章介绍了IPSec技术、概念、体系、工作模式、三大协议、工作原理。
第四章主要是某超市的VPN组网方案。
第二章虚拟专用网(VPN)技术
2.1VPN概念
V—Virtual;
虚拟的,不用真正的铺设线路;
P—Private;
私有的,安全的;
N—Network;
网络的,互联互通。
顾名思义,VPN即虚拟专有网络。
它不是真正的物理线路,但能够实现专有网络功能。
这里说的虚拟专有网络VPN技术,就是利用Internet技术来组建企业自己的专有网络,实现异地组网,本地通信效果。
VPN利用隧道加密技术,利用公用网络上建立专用的数据通信网络,实现企事业单位任何两个授权端点间的连接。
虚拟专用网络解决了传统专网组建中需要的费时、费钱、端对端的物理链接,而是利用Internet公网的物理链路资源,动态组成,使用户实现“不花钱的专网”效果。
用户只需购买VPN设备和软件产品,向企业所在地的网络服务提供商支付一定Internet接入费用,节约租用专线的费用,即可实现不同地域的客户联系,还大大节省长途通信费用。
2.1.1VPN的接入方式
典型VPN接入方式有两种:
拨号方式和局域网方式,如图2-1所示。
其中局域网方式主要利用公用Internet的物理网络资源,此外也可利用与
Internet互联且由ISP(因特网服务提供者)提供的具有非连接特征的网络
(如IP网,X.25网等)的物理资源;
拨号方式则常常利用公用电话网
(PSTN)和窄带综合业务数字网(N-ISDN)的物理资源。
图2.1VPN的两种接入方式
2.1.2基于IP的VPN
可用于构建VPN的公共网络包括Internet、帧中继、ATM等,VPN以这些公用开放的网络作为基本传输媒介,通过上层协议附加多种技术,向最终用户提供类似专用网络性能的网络服务。
基于ATM(Asynchronous Transfer
Mode)或FR(FrameRelay)的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足之处在于互联区域有较大局限性。
另外,基于ATM的VPN主要用于构建骨干网,基于FR的VPN多用于接入服务,FR-VPN在欧洲国家应用很广,国内由于不能提供一个足够作为公共数据网使用的FR,因此少有使用。
近来MPLS(多协议标记交换技术)采用集成模型,将IP技术与下层技术结合起来,它是一种较为理想的骨干IP网络技术。
MPLSVPN是目前MPLS技术在ISP网络中很流行的一种应用。
鉴于IP应用的广泛性和军内网络实际情况,本论文主要围绕基于IP的VPN展开研究。
图2-2为IP-VPN示意图。
图2-2基于IP的VPN示意图
IETF草案对基于IP的VPN定义为“使用IP机制仿真出一个私有的广域网”
,是通过私有的“隧道(Tunnel)”技术在公共数据网络上仿真一条点到点的专线技术。
现在大多数IP-VPN的解决方案均集中于建立IP隧道(IP
Channeling)。
用户敏感数据包在进入隧道之前被封装加密,在隧道出口处被相应设备解密拆装并发往目的地址。
IP隧道的建立,不但具有空间的特征,也具有时间的特征。
从空间上说,隧道终止不再向前延伸是出于安全原因,一般终
止于企业内部网防火墙之外,或内、外防火墙之间的非军事区(DMZ);
从时间上说,其生成和终止具有“按需建立、用完取消”的特征,而且IP隧道的路径选择从总体上说是随机的,因此IP隧道的生成通常不需占用预定的通信信道,其网络服务费用自然要比租用DDN专线的资费低得多。
因特网是开放的、公用的、不设防的。
而在因特网上建立的IP-VPN却是专用的,它按照一定的规则规定用户的访问权限,对访问者进行鉴别和过滤,并通过多种协议提供用户身份鉴定,保证数据完整性,以及公证、加密、授权等安全服务。
2.2VPN关键技术
在公共IP网上建设虚拟专用网进行数据通信,需要满足通信安全的需要。
这些安全需求主要有以下三类,认证。
(确认信息源,即确认和你正在通信的人的身份)、信息保密性和数据完整性、提供访问控制。
不同的用户对不同的企业内部资源有不同的访问权限。
只有建立能满足上述的三个安全需要的IP虚拟专用网,才是算是真正的安全虚拟专用网。
正确配置的安全虚拟专用网使用了强大的加密技术,它对内部用户看来是一个独立的、使用专用线路连接的LAN或WAN。
安全虚拟专用网和传统专用网络之间的主要差异是真正的安全性(并不仅仅是专用)、灵活性、可伸缩性和低成本。
由于企业网络中传输的是私有信息,VPN虚拟专网中用户对数据的安全性都比较关心,安全问题是VPN技术的核心问题。
目前组建VPN虚拟专网主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication),保证企业员工安全访问公司内部网络中资源。
2.2.1隧道技术
隧道技术是VPN实现采用的主要技术。
隧道能实现多协议封装,在无连接的IP网上提供点到点的逻辑通道,在安全性要求较高的场合,应用加密隧道可以进一步保护数据的私有性,使数据在网上传送而不被非法窥视与篡改。
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完
成通信毫无二致。
隧道协议分为第二层隧道和第三层隧道,由传输封装形成的数据包的协议
决定。
第二层隧道协议主要有三种:
PPTP(Point to Point TunnelingProtocol,点对点隧道协议),L2F(Layer2Forwarding,第二层转发协议)
和L2TP(Layer2TunnelingProtocol,第二层隧道协议)。
第三层隧道协议也并非一种新技术,早先的通用路由封装协议(GRE,Generic RoutingEncapsulation)就是一个第三层隧道协议,此外还有IPSec(IP Security)和虚拟隧道协议(VTP,VirtualTunnelingProtocol)。
2.2.2加解密技术
数据加密的基本过程就是对原来的文件或数据,按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,密文代码只能在输入相应的密钥之后才能显示出来内容。
通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有的加密技术,如数据加密算法(DataEncryptionStandard,DES),Triple-DES(三重DES)等。
加密后的数据包即使在传输过程中被窃取,非法获得者也只能看到一堆乱码,必须拥有相应的密钥(Encryptionkey)才能破译。
而要破译密钥的话,其所需的设备和时间则需视加密技术和密钥长度而定。
如使用56位加密的DES,现在的普通PC计算,需要几十年才能破译;
而使用112位的Triple-DES加密技术目前则被视为不可破译。
2.2.3密钥管理技术
如果窃取数据包者不能获得密钥。
那只能采用穷举法破译,这在目前加密技术严密情况下几乎不可能。
密钥管理技术的主要任务是如何在公用数据网上安全的传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种:
SKIP技术由Sun公司开发,主要是利用Diffie-Hellmail演算法则,在网络上传输密钥的一种技术。
而在ISAKMP技术中,双方都有两把密钥,分别用于公用、私用场合。
目前ISAKMP/OAKLEY技术逐渐整合于IPv6协议中,成为
IPv6的安全标准之一。
在数据加密和密钥管理方面,VPN采用微软的点对点加密算法MPPE协议和网际安全协议IPSec机制,对数据进行加密。
并采用公、私密钥对的方法,对密钥进行管理。
其中MPPE算法是Windows95、98、XP和NT4.0终端,可以在全球任何地方进行安全通信。
MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。
以上的身份验证和加密手段,由远程VPN服务器强制执行。
对于采用拨号方式建立VPN的连接,VPN连接可以实现双重数据加密,使网络数据传输更安全。
2.2.4使用者与设备身份认证技术
公用网络上有众多的使用者和设备,如何正确地辨认合法的使用者与设备,使只有授权的本单位人员才能与设备互通,构成一个安全的VPN,并让未授权者无法进入系统,这就是使用者与设备身份确认技术要解决的问题。
辨认合法使用者方法很多,最常使用的是使用者名称与密码卡片式两段认证方式。
设备认证则需依赖由电子证书核发单位(CertificateAuthority)颁发X.509电子证书。
通信双方将此证书对比后,如果正确,双方才开始交换数据。
在用户身份验证安全技术方面,VPN通过使用点到点协议(PPP)用户级身份验证的方法来进行验证,这些验证方法包括密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)。
2.3小结
综上所述,VPN技术为网络的安全打开一扇全新的窗口,利用其可以更好地解决网络对安全的需求。
VPN有多种实现方案,隧道方案是应用最广泛的。
通过对各种隧道协议的比较研究可以看出,实现VPN技术也对隧道协议提
出了较高的要求,现有的任何一种隧道协议都不能完全解决其中的所有问题。
由于网络自身对安全的特别关注,相比较而言,IPSec隧道技术强大的加密认
证算法更符合网络需求。
IPSec是因特网上唯一的VPN实施标准,它不仅适用
于现有的IPv4,在IPv6中也可应用。
单纯的加密并不能实现VPN,单纯的访问控制(如防火墙、名录服务系统)也不能构成真正意义上的VPN。
IPSec工作在
IP栈的底层,从而使应用程序和高层协议可以继承IPSec提供的加密服务。
尽管IPSec在功能上还存在一些局限性,如只能支持IP数据流等。
不过IPSec技术与PPTP技术的结合可以实现多协议支持,因此它仍不失为目前VPN的最佳解决方案之一。
第三章IPSec协议
3.1IP安全性概要
IP协议是TCP/IP中最重要的协议之一,提供无连接的数据包传输机制,其主要功能有:
寻址、路由选择、分段和组装。
传送层把报文分成若干个数据报,每个数据包在网关中进行路由选择,穿越一个个物理网络从源主机到达目标主机。
在传输过程中数据包可能被分成若干小段,以满足物理网络中最大传输单元长度的要求,每一小段都当作一个独立的数据包被传输,其中只有第一个数据报含有TCP层的端口信息。
在包过滤防火墙中根据数据包的端口号检查是否合法,这样后续数据包可以不经检查而直接通过。
攻击者若发送一系列有意设置的数据包,以非法端口号为数据的后续数据包覆盖前面的具有合法端口号的数据包,那么该路由器防火墙上的过滤规则被旁路,从而攻击者便达到了进攻目的。
IP级安全问题涉及到三个功能领域:
认证、保密和密钥管理。
IAB为了杜绝这些攻击手段,将认证和加密作为下一代IP(即IPv6)中必不可少的安全特征。
幸运的是,IPv4也可以实现这些安全特征。
IPSec(Internet ProtocolSecurity)细则首先于1995年在互联网标准草案中颁布。
迄今为止,IETF的
IPSec工作组已经为这一协议组定义了12个RFC(注释请求),。
这些RFC文件对IPSec的方方面面都进行了定义,其中包括体系结构、密钥管理、基本协议等。
3.2IPSec概述
3.2.1IPSec基本思想
IPSec的基本思想就是在IP层提供安全功能(包括认证和加密)。
尽管在
TCP/IP体系结构的任何层次都可以实现认证和加密,但至今许多安全协议都是在IP层之上实现的,如PGP(PrettyGoodPrivacy)加密和认证邮件信息,SSH(Security Share)认证远程登录并且对会话过程进行加密以及SSL(SecuritySocketLayer)在Socket层实现安全功能等等。
另外还有一些
安全技术工作在IP层以下,如通信链路层加密和在物理层对网络中传送的所有数据由指定硬件加密。
然而,在IP层实现数据通信安全具有更多优点。
IPSec就是在IP层实现数
运输层
网络层 线路加密
物理层
升级会员 