摘要:隨著Internet和電子商務的蓬勃發(fā)展，越來越多的企業(yè)認識到，基于Internet的商務應用將成為21世紀商務活動的重要形式。在VPN(虛擬專用網(wǎng)絡)出現(xiàn)以后，建立安全，高效，成本低廉的專用網(wǎng)絡不再是大型企業(yè)的專利。VPN以其先進的數(shù)據(jù)傳輸技術和數(shù)據(jù)加密技術，得到了越來越多的用戶的青睞。VPN技術已經(jīng)成為當前最熱門的網(wǎng)絡技術之一。

關鍵詞:VPN技術;IPSEC協(xié)議;加密

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)15-4075-02

The Solution for the Network Device Management of Enterprises

WU Jun-xiong

(XingZhi academy，NanJing XiaoZhuang college，Nanjing 210012，China)

Abstract: With the Internet and e-commerce to flourish，more and more enterprises recognize that Internet-based business applications will become the 21st century an important form of business activities.In the VPN (Virtual Private Network) occurred，the establishment of safe，efficient，low-cost private networks of large enterprises is no longer patent.VPN for its advanced data transmission technology and data encryption technology，is gaining more and more customers. VPN technology has become the most popular one of network technology.

Key words:VPN;IPSEC Protocol;Data Encryption

隨著商務活動的日益頻繁，各企業(yè)開始允許其生意伙伴也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度，但是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡的復雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP 技術的、不可管理的國際互聯(lián)網(wǎng)絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。在一些大型企業(yè)構建自己內部網(wǎng)絡時，也發(fā)現(xiàn)隨著分支機構的大量增加，相互間的網(wǎng)絡基礎設施互不兼容也更為普遍。企業(yè)的信息技術部門在連接分支機構方面也感到日益棘手。

在這種背景下，VPN(Virtual Private Network，虛擬專用網(wǎng))技術應運而生。

1 VPN技術簡介

VPN技術是指用于一系列關于通過公網(wǎng)建立基于TCP/IP技術的不同網(wǎng)段用戶間的虛擬的，安全的，保密的專有網(wǎng)絡的相關技術。

虛擬專用網(wǎng)是對企業(yè)內部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，而在VPN的建立模式上最好選用硬件方案建立，可以在很大程度上提高實用性!在組建VPN時，布局上采用單向連接，需要一個VPN路由器建立VPN服務器，一個路由器建立VPN客戶端，VPN協(xié)議上要注意采用安全性、兼容性高的IPSec協(xié)議，并考慮內網(wǎng)IP地址的合理分配及路由表的正確配備，達到雙方局域網(wǎng)之間的正常訪問。

VPN技術的重點在于建立穿透內外網(wǎng)段的安全的隧道連接，因此接下來將重點介紹VPN隧道技術和加密技術。

2 VPN隧道技術

VPN技術區(qū)別于一般網(wǎng)絡互聯(lián)技術的關鍵在于隧道的建立，用戶發(fā)送的數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳輸以確保安全性。

VPN隧道技術主要是指隧道協(xié)議包括數(shù)據(jù)鏈路層數(shù)據(jù)封裝協(xié)議和網(wǎng)絡層數(shù)據(jù)封裝協(xié)議，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP、L2TP等協(xié)議;在網(wǎng)絡層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec協(xié)議。

1)PPTP/ L2TP協(xié)議

PPTP協(xié)議(Point-to-Point Tunneling Protocol)是在PPP協(xié)議的基礎上發(fā)展起來的，主要用于WINDOWS操作系統(tǒng)用戶。因為PPP協(xié)議支持多種網(wǎng)絡協(xié)議，所以通過PPTP協(xié)議可封裝IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包到PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，嵌入IP報文或幀中繼進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由包丟棄而引發(fā)包重傳的數(shù)量。

L2TP協(xié)議(Layer 2 Tunneling Protocol)是在結合了PPTP協(xié)議和L2F協(xié)議兩者優(yōu)點的基礎上發(fā)展的。L2F也支持多協(xié)議，但其主要用于Cisco的路由器和撥號訪問服務器。L2TP協(xié)議利用公共網(wǎng)絡封裝PPP幀，可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。L2TP使用PPP可靠性發(fā)送(RFC1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務器之間采用口令握手協(xié)議CHAP來驗證對方的身份，因其安全性好，L2TP受到了許多大公司的支持。

2)IPSEC協(xié)議

IPSec(IP Security)是一個范圍廣泛、開放的VPN安全協(xié)議，工作在OSI模型中的第三層—網(wǎng)絡層。它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護和透明的安全通信。目前使用的VPN方案使用最多的就是IPsec協(xié)議，在這次畢業(yè)設計中，就是使用IPSec協(xié)議在建立隧道連接的。如圖1所示。

IPSec是隨著下一代internet標準-IPv6的制定而產(chǎn)生的，鑒于當前IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPsec的規(guī)范相當復雜，包含大量的文檔，在此主要介紹IPsec的運行模式、AH協(xié)議和IKE協(xié)議。

IPSec協(xié)議可以設置成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關或路由器，就必須使用隧道模式。傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。通常情況下，傳輸模式只用于兩臺主機之間的安全通信。

AH協(xié)議(Authentication Header認證頭協(xié)議)是用來增加IP數(shù)據(jù)安全性的協(xié)議。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務，但是AH不提供任何保密性服務。AH用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重傳攻擊的機制，但是不提供數(shù)據(jù)機密性保護。 認證報頭的認證算法有兩種:一種是基于對稱加密算法(如DES)，另一種是基于單向HASH算法。

3 VPN加密技術

VPN加密技術和上面介紹的隧道技術是密不可分的，在此介紹的加密技術主要是指VPN使用的加密算法和加密協(xié)議。

1)DES(Data Encryption Standard，數(shù)據(jù)加密標準)算法

DES是美國國家標準局于1977年開發(fā)的對稱密鑰算法。它是一種對稱密鑰算法，可以使用40~56位長的密鑰。另一種稱為3DES 的加密策略也使用同樣的DES算法，但它并不只是加密一次，而是先加密一次，再加密(解密)一次，最后做第三次加密，每一次加密都使用不同的密鑰。這一過程顯著地增加了解密數(shù)據(jù)的難度。

2)MD5(Message Digest 5)

MD5是一種符合工業(yè)標準的單向128位的Hash算法，由RSA Data Security Inc.開發(fā)，它可以從一段任意長的消息中產(chǎn)生一個128位的Hash值。例如，質詢握手身份驗證協(xié)議(CHAP)通過使用MD5來協(xié)商一種加密身份驗證的安全形式。CHAP在響應時使用質詢-響應機制和單向MD5散列。用這種方法，用戶可以向服務器證明自己知道密碼，但不必實際將密碼發(fā)送到網(wǎng)絡上，從而保證了密碼本身的安全性。

3)ISAKMP(Internet Security Association and Key Management Protocol)協(xié)議

ISAKMP是一個定義在主機之間交換密鑰和協(xié)商安全參數(shù)的框架。ISAKMP協(xié)議定義密鑰在非安全網(wǎng)絡上交換的一般機制，ISAKMP定義的信息包括報文中消息的位置和通信過程發(fā)生的機制，但它不指明使用的協(xié)議和算法。

4 VPN技術要解決的五個問題

VPN利用的承載網(wǎng)絡是Internet，而Internet的網(wǎng)絡環(huán)境是一個大而復雜的網(wǎng)絡，與普通專線網(wǎng)絡的組網(wǎng)有一定區(qū)別。如果要讓VPN成為可運營的解決方案，要解決下面五個問題:

1)解決的是動態(tài)地址分配問題，運營商可以利用DHCP Over IPSec的技術為企業(yè)客戶提供IP地址和網(wǎng)絡規(guī)劃的服務。

2)解決NAT穿越的問題，現(xiàn)在很多企業(yè)的MIS系統(tǒng)不能很好地拓展到全國或者全球，就是因為不能很好解決NAT之后本地地址與遠端地址不通的問題，所以，利用IPSec 虛擬專用網(wǎng) 就必須使用國家標準的NAT穿越技術，運營商才能幫助企業(yè)解決雙向NAT穿越的問題，而不會在運營過程中面臨兼容性問題。

3)解決隧道路由技術的支持，企業(yè)網(wǎng)絡的環(huán)境很可能不是單純的星形網(wǎng)絡，必須要有路由技術的支撐，才能適應不同用戶的需求。

4)提供對隧道QoS的支持，能夠提供基于隧道QoS的保證，能夠為企業(yè)關鍵數(shù)據(jù)提供保護，為運營商提供多樣性的業(yè)務保證。

5)動態(tài)IP地址情況下的隧道建立，企業(yè)用戶的IP地址很可能是ADSL動態(tài)分配的，所以使用普通IP地址為目標的隧道建立方法不能被運營，因此運營商可以提供DDNS來保證動態(tài)IP地址的隧道建立。

5 總結

以較低的成本獲得較高的安全性，VPN的組網(wǎng)方式在近幾年大面積地得到了用戶的青睞。目前，IPSec VPN產(chǎn)品是當然的主力軍，而SSL VPN 與MPLS VPN產(chǎn)品也各自擁有一批擁護者。通過研究VPN技術及其應用，我對網(wǎng)絡技術有了更深的了解，我感到，技術發(fā)展永無止境，VPN的發(fā)展完善正是不斷追求技術進步與完善的例子。

參考文獻:

[1] 張仕斌.VPN基礎知識[J].網(wǎng)絡安全技術，2004.

[2] Nash.公鑰基礎設施(PKI)實現(xiàn)和管理電子安全[J].2002.

[3] 京京工作室.IPSEC:新一代因特網(wǎng)安全標準[C].1999.

[4] Carlton.R.Davis.IPSec:VPN 的安全實施[C].IPSec原理，2002.

[5] 戴宗坤，等.VPN與網(wǎng)絡安全[M].電子工業(yè)出版社，2002-9-1.