虚拟专有网络VPN技术框架研究和应用

论文总字数：23822字

目 录

1.绪论 2

1.1 VPN的基本定义及作用 1

1.2 研究背景 1

1.3 VPN的发展前景 1

2.IPSec基本原理 2

3.IPSec框架 2

3.1散列函数 3

3.2加密算法 4

3.2.1对称密钥算法 4

3.2.2非对称密钥算法 5

3.3 封装协议 7

3.3.1 ESP协议 8

3.3.2 AH协议 10

3.4 封装模式 12

3.4.1隧道模式 12

3.4.2传输模式 13

3.5密钥有效期 15

4.密钥交换协议（Internet Key Exchange） 15

5.VPN的应用场景及研究现状 16

6.VPN的应用实例 16

6.1 隧道模式应用实例 16

6.2 传输模式应用实例 22

7.毕业设计简介 24

8.结论与研究思考 27

参考文献 28

致谢 29

虚拟专有网络VPN技术框架研究和应用

盛亦平

.China

Abstract: Security technology in the network layer implementation IP Sec technical framework involves many specific protocols .This paper makes a detailed study and application of the protocol and tunnel mode. By using a VPN, administrators can connect remote or mobile workers (VPN clients) to private networks .Remote users can work as if there is a physical connection between their computer and the network .To do this, the VPN client can use the connection manager configuration file to initiate a connection to the VPN server. IP Sec VPN is the default standard in the industry network security protocol, and can provide intuitive for network communication and security services, protect the TCP/IP communications from the monitor and modify, some hackers on the defense network effectively.

Key word: vpn ; model ; protocol ; internet

1.绪论

1.1 VPN的基本定义及作用

虚拟专有网络（VPN）是有效利用公用网络作为专用网的最有前途的方法。虚拟专用网络（VPN）技术对于实现对私有网络的低成本、安全的远程访问是相当有帮助的。VPN允许管理员们利用Internet的途径从而利用更低的成本来提供私有WAN连接的功能和安全性。在当代先进的网络技术之中， VPN在工作生活中随处可见，然而其中最多的属用路由或者是远程终端的访问方式。VPN是一个全面的网络访问解决方案的一部分，其中包括了对身份验证还有对授权服务的支持，不仅如此，还包括了先进的网络安全技术。通过使用公共网络作为相互连接的媒介，VPN可以节省很大一部分长途电话服务的成本，以及使用拨号或是租用线路连接的硬件成本。VPN解决方案包括先进的安全技术，比如说数据加密、身份验证、授权还有网络访问隔离控制。VPN连接可以连接两个站点 (site-to -site VPN)或远程拨号用户和局域网。这两个点之间的流量通过共享资源。为了在通过公共网络的过程中保护VPN通信，两个参与者创建了一个安全隧道。

VPN服务器与互联网身份验证服务器之间能够实现数据交换，通过这种方式给接收方和发送方进行身份的验证和权限的给予，不仅如此，还会持续保持联通，对其进行保护，这种服务持续到接收方与发送方断开连接为止。这一系列的服务都是靠VPN来实现的。

1.2 研究背景

当前社会的科技飞速发展伴随着企业的发展步伐巨大，各个企业的规模逐日的变大，当然公司企业的网络状况也应当跟上发展的脚步进行扩展。虚拟私有网络便是科技、经济、网络和时代发展所促就产生的。以当前的网络技术，已经有了多种组网方式例如L1VPN、L2VPN、L3VPN还有一些更高级的VPN技术^[1]。

1.3 VPN的发展前景

随着网络技术的不断进步虚拟专有网络技术也被广泛的应用，不仅仅是公司企业，甚至是政府也开始利用这种新兴的网络技术来为自己的工作生活提供更加快捷方便的访问和数据传输方式。这样广泛的应用VPN技术从某种意义上来说也是对VPN技术发展做出了很大的推进作用，有了这么广大的用户群，才会使得开发研究人员更用心尽心的投入其中，对其进行研究和改进^[2]。

2.IPSec基本原理

VPN技术是为大家远距离访问或是传输信息给服务器或者个人计算机保证了在这过程中的安全性。IP Sec VPN在当代的网络技术之中不仅仅有着灵活的优势，它更加的安全而且相比较而言便宜，更具有扩展性，因此大家对IP Sec VPN尤为的青睐。IPsec是一套相关协议，用于加密保护IP包层中的通信。IPsec还提供了安全协会(SAs)和密钥分发的手动和自动谈判的方法，所有这些属性都是在一个主要的解释(DOI)中收集的。IPsec DOI为成功地协商VPN隧道所需的所有安全参数(本质上是SA和IKE谈判所需的所有属性)提供了相关的定义。有必要知道的是很多的使用者或是开发者会选择对VPN的流量进行加密、身份认证和重新播放从而达到保护的目的。

IP Sec是业界最为认可的的网络安全技术，为了保证OSI之上的协议的数据不受攻击，篡改或是拦截或是盗取，它会在所需保护加密的数据包之前插入一个IP头部。因为保护网络层是IP Sec最最重要的，所以通常加密网络层的数据来。见图1：

IP头部

传输层头部

应用层头部

应用层数据

IP负载

图1 原始数据包

如图2的数据包是一个经过加密过的数据包，对比一下上面的那个数据包，区别在于它增加了一个IP Sec头部，这是最常见的加密方式，这是一举多得的操作，在这同时我们也完成了对IP Sec头部和原始IP负载的验证，通过这种操作，我们可以知道这个IP数据包是否有所缺失，是否在传输过程中被其他用户截获或是更改。

传输层头部

IP头部

IP Sec头部

应用层头部

应用层数据

验证（保障完整性）

IP负载（加密）

图2 封装后的数据包

3.IPSec框架

应用在那些经典的网络技术或者是无限安全技术当中的散列函数及其加密算法往往就固定的那几种^[3]。 这种方法很明显是不靠谱的，这相当于是赌博行为，因为假设这种加密算法被破译或是被发现存在着巨大的缺点，那么但凡应用了这种加密算法的安全技术必将会被废除或是被取代。 这种不幸的事情我们是不允许它发生的，因此IP Sec不会规定所使用的加密算法或者是散列函数，这给IP Sec提供了很大的扩展性和安全性。IP Sec则是只给数据包提供一个有规律的框架，然而这也不是说完全的自由，所使用的加密算法和散列函数都是要由发送方和接收方进行协商的，不存在单方面的决定。也就是说假如发送方和接收方认为算法3DES的这种168位的加密强度已经达到了用户所要的程度，那么这种加密算法就会先被应用到当前的安全协议当中去。但是，假设突然的一个时间点3DES这个算法出现了或是被发现存在着缺陷，又可能用户和开发者找到了一个相对而言更适合的加密算法，那么就能够快速替换加密算法，从而保证IP Sec VPN使用的加密算法总是最好最新的。IP Sec的框架见图3，从图中可以明显的看出散列函数、加密算法封装协议、封装模式和密钥有效期这一系列的规则协议都是通过发送方和接收方协商来决定的，那么我们将在发送方和接收方之间协商的协议叫做KEY。

散列函数

加密算法

封装协议

封装模式

密钥有效期

MD5

DES

AH

传输模式、隧道模式

3600s、1800s

......

......

图3 IP Sec框架

3.1散列函数

我们当前网络技术中最常用的散列函数算法当然是MD5和SHA-1。验证数据的来源以及检查数据的完整性是散列函数的主要工作，防止数据有所缺失。散列函数会对数据包进行一系列的计算，而这种计算所得到的结果我们称之为散列值，当然它还有另一种叫法，那就是数据的指纹。在我们生活中公安系统等对指纹的采集和散列函数的计算对比很相近^[4]。

下面是散列函数对数据包进行计算和比较验证的步骤：

第一步：通过散列函数的运算把文件1转化为散列值。

第二步：通过散列函数运算把文件2也转变成散列值。

第三步：通过细致的对比，两个散列值是相同的。

第四步：由于散列值是不存在重复的，所以可以肯定这两个文件是相同的。

散列函数的特点：

固定大小

各种大小的数据能够通过散列函数计算得到一个固定的散列值进行输出。

雪崩效应

原始数据牵一发而动全身，即使是渺小的一个比特数据遭到了篡改，那么我们计算得到的散列值将会天差地别。

单向

我们只能通过规定的散列函数将数据包进行计算得到散列值，然而我们并不能通过得到的散列值进行逆向运算得到数据包。

冲突避免

由于数据包中数据量的庞大以及加密算法的多样性，结合这两种情况，两个数据包通过加密算法得到的散列值相同的可能性微乎其微。

3.2加密算法

3.2.1对称密钥算法

我们在使用对称密钥算法时，接收方解密数据包和发送方加密数据包所应用的算法是相同的。这样做的好处在于双方能够更快的完成加密解密；安全性高；内容简洁。辩证的看，其实对称加密算法也是有很多缺点的，比如说遭遇一些比较高级的网络攻击会导致数据包的内容失窃或是被篡改。而且一旦目标数量急剧增加，密钥的数量也会跟着得到增长。由于密钥数量的巨大，管理和储存密钥成为了一个困难。另外，数字签名是不被应用在对称密钥算法之中的并且它不能够被否认。下面举一些常用的协议比如AES、RC4、DES、3DES。

对称密钥算法最最突出的优越性在于速度快，我们可以做一个对比，对称密钥算法加密的速度比得上我们平时压缩文件。在当代迅猛发展的网络科技之下，无线网的应用更加的普遍， WPA2这项新的无限安全技术正在被越来越多的人使用。这项技术就是用的AES加密技术。我们在用无线网上网的时候，可能并不能体会到由于加密所导致的网络延迟。在一些含有硬件加速模块的路由器和交换机配上面，我们能够通过这种技术达到线速加密的效果，所以速度快是对称密钥算法的最大优点。

剩余内容已隐藏，请支付后下载全文，论文总字数：23822字