vpn技术论文

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇vpn技术论文范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

vpn技术论文范文第1篇

关键词：vpn，多出口，校园网，远程访问，ISP

 

1.校园网问题分析及其解决方案的提出

虚拟专用网（VPN），是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络（通常是因特网）安全地对单位内部专用网络进行远程访问的连接方式。

近年来，随着高校信息化建设工作的深入开展，校园网用户对校园网的要求也越来越高，传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站，或者是教育网内查资料，一般情况下是无法查找并下载的，因为学校图书馆的电子资源都做了访问限制，普通Internet用户也是不能访问教育网的。在每年期末考试后，老师在线提交成绩时，都要登录学校内部“教务处”的网站在线提交，这时也只能到学校提交。

为此，校园网的建设可采用多ISP连接的网络访问模式：在原有的教育网出口的基础上增加一个当地ISP（移动、联通或电信宽带ISP）出口，形成多ISP连接的校园网络结构，并且需学校的网络中心在学校组建VPN服务器，供教职工在校外使用校内资源。在组建VPN服务器时，使用当地ISP出口，为校外的教职工提供VPN接入服务，因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后，就可以访问校园网与教育网上的资源，这将为教职工提供很大的便利。

2.VPN关键技术研究

⑴隧道技术：隧道是指在公用网建立一条数据通道，让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层，使用帧作为数据交换单位。PPTP（点对点隧道协议）、L2TP（第二层隧道协议）和L2F（第2层转发协议）都属于第2层隧道协议，是将用户数据封装在点对点协议（PPP）帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层，使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议，是将IP包封装在附加的IP包头中，通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于，用户的数据包是被封装在哪种数据包中在隧道中传输。

⑵安全技术：VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术；密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取；使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。

3.基于VPN技术的多出口校园网的设计

3.1 网络结构规划

为了满足可扩展性和适应性目标，网络结构采用典型的层次化拓扑，即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能，主要承担校园网的高速数据交换任务，同时要为各分布层节点提供最佳数据传输路径；分布层交换机用于执行策略，分别连接图书馆、办公楼、实验楼以及各院系；接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。

图1 网络拓扑图

3.2 网络工作原理

在该组网方案中，学校通过核心层路由器分别接入教育网与Internet，然后通过一硬件防火墙与分布层交换机连接，分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备，校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器，给其分配一个教育网IP地址（假设Ip：202.102.134.100，网关地址202.102.134.68），在防火墙中将一个公网地址（假设为222.206.176.12）映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网，Internet上的用户，可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器，之后，ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网，并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。

3.3 技术要点

⑴防火墙内网地址问题。如果防火墙是透明模式接入，各个网口是不需要地址的。若防火墙是假透明，就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式，需要给防火墙的每个网口配置不同网段的IP，就象路由器一样。现在有一些防火墙已经有所谓的混合模式，也就是透明和路由同时工作，这属于路由模式的扩展。毕业论文。

⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器，若服务器上只有一块网卡，需为其安装一块“虚拟网卡”。另外，VPN服务器不一定要直接连接在分布层交换机上，也可以是图书馆、办公楼、实验楼以及各院系的一台服务器，只要映射一个公网地址即可。

⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP，VPN客户端永远不会同DHCP服务器进行直接通信，运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址；它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口，运行ISA Server的VPN 服务器将选择其中之一。

⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时，在为VPN客户端分配IP地址的时候，要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突，否则VPN客户端在访问内网时，会造成寻址问题而不能访问。毕业论文。为了避免出现问题，直接分配私网的IP地址即可，比如192.168.14.0/24网段。另外，校园网外的教职工，在拨叫VPN服务器时，应是防火墙映射的地址，本文中即222.206.176.12。

4.结束语

多出口是目前许多高校组建校园网时所采取的方式，多出口解决了教育网与Internet之间的出口速度很慢的问题，将VPN技术应用到具有多出口的高校校园网，可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。

参考文献

[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07

[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11

[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01

[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02

vpn技术论文范文第2篇

关键词 广播电视网络；承载网络；安全；业务隔离

中图分类号 G2 文献标识码 A 文章编号 1674-6708（2017）189-0031-01

随着广播电视网络的日益发展，网络内部多业务多系统并存的现象越来越普遍，单纯运用传统路由器很难完成局域网中不同业务的完整隔离。LAN中业务隔离的传统办法有两种：应用VLAN隔离业务，将用户划分在一个独立的VLAN中或者应用CE设备隔离业务，为每个用户部署一个独立的CE路由器。这些业务应用在广电业务中有许多能通过VLAN隔离，一旦涉及到多业务应用就需要多CE路由器就会对广电网络来说大量资金投入，这些投入既需要大量金钱投入，又需求更多的网络管理工作和用户站点部署。如何把钱花在刀刃上成为一个让人头疼的问题，既要减少设备投入，又要业务安全隔离互补干扰。在这里笔者给大家介绍一下VPN-INSTANCE在广电承载网络中的应用与维护。

1 Vpn实例在广电网络中的作用

广电网络近几年发展迅猛，接入网设备从WiFi、cmts、pon、eoc或者ipqam等设备五花八门，终端设备有pc、pad、stb等业务类型复杂多样。相对应的核心网络在对前端接入设备只是分配ipv4的地址，完成设备的互联互通。当核心网络发展到一定程度负责维护网络的人员就会发现，在核心网络层上各个ipv4的地址都是在同一个动态地址路由转发表里面，或ospf、或静态路由插入。假设说一个用户从上网终端设备获取到dhcp分配的ipv4地址后，不用pppoe拨号就能ping通自己机顶盒ipv4地址，或者其他人获得的ipv4终端地址。其互联互通的特性必将导致安全方面的问题，如果发生病毒、入侵等安全事件，广电网络就会完全暴露在攻击中。笔者认为广电网络中的用户所使用的大量应用会存在某些不稳定的因素，与其要求客户端的安全，不如在核心设备一侧将业务隔离。

2 Vpn实例极简配置与技术细节

Vpn-instance（vpn实例：俗称虚拟化技术中的一虚多技术穷人版）在bgp＼Mpls vpn中，不同的vpn之间路由隔离经过vpn-instance完成。Pe（汇聚层设备）为每个直接的站点树立并维护独立的vpn-instance。Vpn-instance包含独立的路由表和D发表。使用vpn-instance可以在一台路由器上虚拟出多立逻辑的路由器，从而实现广电网络IP三层网络路由隔离。这一功能可以在广电网络环境中得到应用，将不同的业务分配到不同的vpn-instance中直到外网防火墙、bars等终结地址设备。完成从业务终端到核心一整条链路的业务二、三层隔离。

#

ip vpn-instance ipvpn （生成vpn-instance实例）

ipv4-family （生成采用ipv4）

route-distinguisher xxxx：xxx （生成路由标识符）

vpn-target xxxx：xxx export-extcommunity （vpn实例输出标签）

vpn-target xxxx：xxx import-extcommunity （vpn实例输入标签）

#

interface Vlanif xxxx （三层VLAN接口xxxx）

ip binding vpn-instance ipvpn （绑定vpn实例）

ip address xxx.xxx.xxx.xxx 255.255.255.252

ospf xxx vpn-instance ipvpn （vpn实例中ospf）

import-route static （允许静态地址插入）

area 0.0.0.0

network xxx.xxx.xxx.xxx xxx.xxx.xxx.0

network xxx.xxx.xxx.xxx 255.255.255.252

ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

（vpn实例中静态路由）

3 Vpn-instance案例

正常情况下数据互不干扰，各自运行。

发生网络攻击时候的数据走向：

图1

由于dhcp分配的地址所属各自业务都在同一张ospf网络内，理论上都是互联互通的，黑客攻击可以通过ddos、arp等方式攻击网络。如图所示：area102许多用户获取不到正确的IP地址，area100网络arp攻击访问不了出口网络。由于网络的联通性，很难查找到攻击源在哪里，只能通过故障现象发现某一区域有用户故障，从而导致业务处理时间延长。

运行vpn-instance后每台逻辑上的路由器都具有自己的路由表与转发表，完成不同vpn-instance间的IP地址通信。绑定在vpn-instance下的端口转发与其一致的报文的对端设备通信，当发生不同接口报文接错时，则该路径被视为故障链路。笔者还认为vpn-instance虚拟化技术能将一台物理路由器虚拟成多台逻辑路由器，从而减少设备数量，简化网络管理，减少运维人员成本。

4 结论

虽然vpn-instance能实现虚拟化技术，网络三层隔离。但并不是所有的设备都支持该功能。并且一个ospf进程只能属于一个vpn-instance，一个vpn-instance下可以存在多个ospf进程，但在多ospf进程下会导致动态路由环路的情况

发生。

参考文献

vpn技术论文范文第3篇

关键词：VPN，管理，管理技术

 

一、VPN服务及其应用

VPN，即Virtual Private Network，是建立于公共网络基础之上的虚拟私有网络，如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等，并且能够将通过公共网络传输的数据加密。利用VPN，企业能够以较低的成本提供分支机构、出差人员的内网接入服务。

如果访问企业内部网络资源，使用者需要接入本地ISP的接入服务提供点，即接入Internet，然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术，使用者和企业内网之间需要有一根专线，而这非常不利于外出办公人员的接入。而利用VPN，出差人员只需要接入本地网络。论文写作，管理。如果企业内网的身份认证服务器支持漫游的话，甚至可以不必接入本地ISP，并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。

二、VPN管理

VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络，甚至可以是企业客户。这其中涉及到企业网络的网络管理任务，可以在组建网络的初期交给运营商去完成，但企业自身还要完成许多网络管理的任务。所以，一个功能完整的VPN管理系统是必需的。

通过VPN管理系统，可以实现以下目的：

1、降低成本：保证VPN可管理的同时不会过多增加操作和维护成本。

2、可扩展性：VPN管理需要对日益增加的企业客户作出快速的反应，包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作，管理。

3、减少风险：从传统的WAN网络扩展到公共网络，VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时，还要确保企业资源的完整性。

4、可靠性：VPN构建于公共网络之上，其可控性降低，所有必须采取VPN管理提高其可靠性 。

三、VPN管理技术

1、第二层通道协议

第二层通道协议主要有两种，PPTP和L2TP，其中L2TP协议将密钥进行加密，其可靠性更强。

L2TP提高了VPN的管理性，表现在以下方面：

（1）安全的身份验证

L2TP可以对隧道终点进行验证。不使用明文的验证，而是使用类似PPPCHAP的验证方式。论文写作，管理。

（2）内部地址分配

用户接入VPN服务器后，可以获取到企业内部网络的地址，从而方便的加入企业内网，访问网络资源。地址的获取可以使用动态分配的管理方法，由于获取的是企业内部的私有地址，方便了地址管理并增加安全性。论文写作，管理。

（3）网络计费

L2TP能够进行用户接口处的数据流量统计，方便计费。

（4）统一网络管理

L2TP协议已成为标准的协议，相关的MIB也已制定完成，可以采用统一SNMP管理方案进行网络维护和管理。

2、IKE协议

IKE协议，即Internet Key Exchange，用于通信双方协商和交换密钥。IKE的特点是利用安全算法，不直接在网络上传输密钥，而是通过几次数据的交换，利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman，逆向分析出密钥几乎是不可能的。

在身份验证方面，IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。

IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题，是一种通用的协议，不仅能够为Ipsec进行安全协商，还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。

3、配置管理

可以使VPN服务器支持MIB，利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。

（1）WEB方式的管理

利用浏览器访问VPN服务器，利用服务器上设置的账户登录，然后将Applet下载到浏览器上，就可以对服务器进行配置。论文写作，管理。用户登录后，服务器会只授权登录的IP地址和登录客户权限，从而避免伪造的IP地址和客户操作。而且利用这种方式，还解决了普通SNMP协议只有查询没有配置功能的缺点。

（2）分级统一管理

如果企业网络规模扩大，可以对VPN服务器进行统一配置管理，三级网络中心负责数据的收集与统计，然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理，一级网络中心就能够获取全部VPN用户的数量、流量并进行统计，分析出各地情况，从而使用合适的方案。

4、IPSec策略

IPSec是一组协议的总称，IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网，也可以提供端到端通信安全，由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN，这是IPsec最主要的用途。

IPSec策略包括一系列规则和过滤器，以便提供不同程度的安全级别。论文写作，管理。在IPSec策略的实现中，有多种预置策略供用户选择，用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法，一是在本地计算机上指定策略，二是使用组策略对象，由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。

利用上述VPN管理技术，可以大大提高企业网络资源的安全性、完整性，并能够实现资源的分布式服务。以后还将结合更多的技术，实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。

参考文献：

[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社，2002.11

[2]朱坤华，李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123

[3]潘爱民.计算机网络（第四版）[M].清华大学出版社2004.8

vpn技术论文范文第4篇

【论文摘要】：虚拟专用网(vpn)技术主要包括数据封装化，隧道协议，防火墙技术，加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。

引言

虚拟专用网即vpn（virtual private network）是利用接入服务器（access sever）、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。

利用共用的wan网，传输企业局域网上的信息，一个关键的问题就是信息的安全问题。为了解决此问题，vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。

1. 隧道技术

internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后，立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。此ip分组到达总部的vpn设备c后，全局ip地址即被删除，恢复成ip分组发往地址a。由此可见，隧道技术就是vpn利用公用网进行信息传输的关键。为此，还必须在ip分组上添加新头标，这就是所谓ip的封装化。同时利用隧道技术，还必须使得隧道的入口与出口相对地出现。

基于隧道技术vpn网络，对于通信的双方，感觉如同在使用专用网络进行通信。

2. 隧道协议

在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此，要成功的使用vpn技术还需要有隧道协议。

2.1 当前主要的隧道协议以及隧道机制的分类：

⑴ l2f（layer 2 forwarding）

l2f是cisco公司提出的隧道技术，作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器（路由器）.

⑵ ptp(point to point tunnelimg protocol)

pptp协议又称为点对点的隧道协议。pptp协议允许对ip，ipx或netbeut数据流进行加密，然后封装在ip包头中通过企业ip网络或公共互连网络传送。

⑶ 2tp（layer 2 tunneling protocol）

该协议是远程访问型vpn今后的标准协议。

l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接，端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外，还能在vpn上利用ppp支持的多协议通信功能，多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理，称其为第三层隧道，以区分于第二层隧道。

⑷ tmp/baydvs

atmp（ascend tumneling management protocol）和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议，它部分采用了移动ip的机制。atmp以gre实现封装化，将vpn的起点和终点配置isp内。因此，用户可以不装与vpn想适配的软件。

⑸ psec

ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标（ah：authmentication header）和封装化安全净荷（esp：encapsnlating security paylamd）。

ipsec隧道模式允许对ip负载数据进行加密，然后封装在ip包头中，通过企业ip网络或公共ip互联网络如internet发送。

从以上的隧道协议，我们可以看出隧道机制的分类是根据虚拟数据链络层的网络，dsi七层网络中的位置，将自己定义为第二层的隧道分类技术。按照这种划分方法，从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展，这样的划分出现了不足，比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类，将出现"四层vpn"、"五层vpn"，分类教为冗余。因此，目前出现了其他的隧道机制的分类。

2.2 改进后的几种隧道机制的分类

⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类，将隧道分成四类。分别是使用拨号方式的vpn，使用路由方式的vpn，使用专线方式的vpn和使用局域网仿真方式的vpls。

例如同样是以太网的技术，根据实际情况的不同，可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别，因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异，由此将引起在实际应用中对vpn技术选型造成误导。

⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同，可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想，将原本工作在某一层的数据包在包头提供了控制信息与网络信息，从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。

隔离型隧道的建立，则是参考了数据交换的原理，根据不同的标记，直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离，如果接入网络的数据包也是相互隔离的就保证了数据的安全性，例如lsvpn。从性能上看，使用封装型隧道技术一般只能提供点对点的通道，而点对多点的业务支持能力教差，但是可扩展性，灵活性具有优势。

采用隔离型隧道技术，则不存在以上问题，可以根据实际需要，提供点对点，点对多点，多点对多点的网络拓扑。

3. 诸种安全与加密技术

ipvpn技术，由于利用了internet网络传输总部局域网的内部信息，使得低成本，远距离。但随之而来的是由于internet技术的标准化和开放性，导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性，但黑客仍可以从世界上任何地方对网络进行攻击，使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此，利用ipvpn通信时，应比专线更加注意internet接入点的安全。为此，ipvpn采用了以下诸种安全与加密技术。[2]

⑴ 防火墙技术

防火墙技术，主要用于抵御来自黑客的攻击。

⑵ 加密及防止数据被篡改技术

加密技术可以分为对称加密和非对称加密（专用密钥号与公用密钥）。对称加密（或专用加密）也称常规加密，由通信双方共享一个秘密密钥。

非对称加密，或公用密钥，通信双方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网，只有采用了以上诸种技术以后，才能够发挥其良好的通信功能。

参考文献

vpn技术论文范文第5篇

关键词：IPsec/VPN；安全策略数据库；完整性；验证；加密

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 06-0000-02

Security Feature Research of IPsec/VPN Technology

Zhang Jiachen

(Tianjin Development Zone Polytechnic Institute,Tianjin300457,China)

Abstract:With the fast development and popularity of Internet,all kinds of remote access technology comes out.As it can provide convenience for company users and personal users,the openness of Internet also bring risks for remote.So how to ensure the safety and high efficiency of communication by using the lowest cost is the issue company users and personal users are paying more attention.In recent years,with the development of encryption andtunnel technology,establishing safe virtual private net on unsafe public web,such as Internet,has been the best feasible solution,i.e.VPN.This article will discuss the safety of IPsec/VPN technology on web level.

Keywords:IPsec/VPN;Safety strategy database;Integrity; Authentication;Encryption

一、IPsec/VPN的概念

VPN的英文全称是“Virtual Private Network”，即是“虚拟专用网”。我们可以把它理解成是在真实物理连接上再次封装、再次虚拟出来的点到点内部专线。在其技术实现中通过高级的身份验证、加密算法及相关通讯协议，企业之间互访时仿佛是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

IPsec/VPN即指在网络层采用IPsec协议来实现远程接入的一种VPN技术，IPsec是IETF（Internet Engineer Task Force）正在完善的安全标准，IPsec协议是一个范围广泛、开放的虚拟专用网安全协议，它提供所有在网络层上的数据保护，提供透明的安全通信。

二、组成IPsec/VPN技术的两个重要协议

IPsec 通信协议其实是由两个不同的协议所组成的，分别为AH（AuthenticationHeader）与ESP（Encapsulated Secutiry Payload），而这两个协议所负责的任务功能是不同的，其中AH协议的功能为“完整性验证”，ESP协议的功能则为“完整性验证与加密”。

（一）AH

IPsec认证头协议（IPsec AH）是IPsec体系结构中的一种主要协议，通过将严格论证后的数学算法应用于网络层IP数据报封装来提供数据传输的安全保护功能，主要包括数据完整性、认证等。通信双方经过认证后建立安全连接，连接后通信双方在进一步实施数据通信或远程管理等业务。AH的设计在保证数据报的复杂度不影响通信双方收发能力及网络带宽可用性的同时，尽可能将足够多的认证功能附加在IP头和上层协议数据中。但是，由于在传输过程中会遇到各种接入技术和MTU值，因此某些IP数据报会发生分片或其他行为，导致IP头字段会发生变化，并且当包到达接收方时，发送方不能预测字段值。AH并不能保密这种字段值。因此AH提供给IP头的保护是零碎的。AH即可单独使用，也可以结合IP封装安全负载（ESP）使用，通常可以用于传输模式和隧道模式两种。传输模式提供了端到端的认证和加密，隧道模式提供了通信子网的认证和加密。ESP提供了相同的安全服务并提供了一种保密性（加密）服务，而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地，如果那些字段不是由ESP封装的，那么ESP不会支持任何IP头字段。通常，当用与IPv6时，AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4时，AH跟随主要IPv4头。

（二）ESP

IPsec封装安全负载协议（IPsec ESP）是IPsec体系结构中的另一种主要协议，其主要设计用来企业接入Internet时提供了一种混合的高安全服务。IPsec ESP最主要的用途是数据加密，同时也可提供完整性。通常在配置好的路由器或者接入服务器上，接入用户可以在真实接入目标主机时先由通信双方做安全接入探测，这种方法既可以用于加密传输层字段，也可以加密网络层IP数据报。这种方式可以极大地保护IP数据报，即使黑客通过抓包软件获得相应信息，也无法打开其中的内容，这种方式在金融、电力、国防、教育等诸多领域已经得到很好的应用。

ESP加密方式通常也分为传输模式和隧道模式两种。传输模式ESP头放在在IP数据报头后、上层协议头前，隧道模式ESP头放在IP数据报头之前。IANA分配给ESP一个协议值50，在ESP头前的头立即在其下一个头（IPv6）或协议（IPv4）字段里包含该值50。ESP由加密数据跟随的非加密头组成。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据，这个用户数据通常既可以是整个IP数据报，或是传输层字段。

三、IPsec/VPN的安全特性

IPsec/VPN技术在使用时可以实现以下几方面安全特性：

（一）抗抵赖性

“抗抵赖性”的作用是接受方在收到发送方的消息后，可以通过某种技术证实发送方时该消息的唯一发送方，接受方通过提供数字证书等各种方法约束发送方不能否认发送过消息。“抗抵赖性”是通常采用先进的非对称加密技术。在非对称加密技术中，通信双方都拥有公钥和私钥。公钥用来加密和验证，私钥用来解密和签名。例如发送方在发送消息的同时用私钥产生一个数字签名随消息一起发送，接收方在接受到消息后先用发送方的公钥来验证数字签名，用来保证接收到的消息确实为发送方所发。这种方式的好处是只有发送方才拥有私钥，并且只有发送方才可能用其私钥对信息进行数字签名，因此只要数字签名通过验证，发送方就无法否认曾发送过该消息。“抗抵赖性”的这种做法时随着计算机软件和硬件技术不断发展，在CPU处理能力不断提高前提下应用的它摒弃了原先通信双方使用相同密钥的这种简单但不安全的对称加密技术，从理论上保证了通信双方的安全性，因此得到了广泛的应用。

（二）反重放性

“反重放性”可以确保每个IP数据报的唯一性，这主要是针对网络上日益增加的黑客攻击，黑客可以通过抓包等手段截取通信双方的数据报文，经过篡改再发送出去。“反重放性”可以防止攻击者截取信息后，利用网络上或内存中并未消除的会话，再用篡改后的数据报冒充合法用户获得访问权。反重放性保证了曾经发送的数据报不能再被重新利用或者重新传回目的地。

（三）数据完整性

“数据完整性”主要是用来防止传输过程中数据被篡改，确保发送方数据和接收方数据的一致性。在IPsec技术中，其利用了一种叫做Hash函数的方法为每个数据报产生一个唯一的消息摘要，接收方在解封装数据报文后先看到数据报和附带的消息摘要，并且利用通信双方预定好的Hash函数再进行一次消息摘要生成操作，假如数据报在传输过程中遭到篡改则会导致计算的消息摘要不相符，则接收方直接将数据报丢弃。

（四）数据可靠性

“数据可靠性”即指通信双方在传输数据前，对数据先进行加密，加密后的数据可以在局域网或广域网上传输，即使数据报被截取，攻击者也无法读取被加密的数据。

四、IPsec/VPN的优势

（一）经济效益高

通过将vpn技术应用于网络层的使用可以使企业免去承担高昂的专线的租用费。这极大的减少了企业开支，特别是像DDN、帧中继、等企业传统接入广域网技术都可以将IPsec/VPN应用其上。传统广域网接入技术大部分都是租费随着距离的增加而增加，分支越远越多，租费越高。而Internet的接入费用则只承担本地ISP的接入费用，无论分支数量和距离，均可方便接入，而且费用很便宜。因此，现在很多分支办公室都采用Internet作为传输骨干，在接入端利用带IPsec/VPN功能的路由器进行企业网接入，而且随着制造VPN设备的厂商日益增加，VPN设备的价格必将逐渐降低。

（二）建网灵活

在传统接入Internet时我们可以采用10M、100M端口，光纤技术，也可以是2M或更低速的端口，还可以是便宜的XDSL连接，或普通modem接入技术，而VPN技术却因其在高层实现，因此可以灵活应用于各种接入网络，成为选择种类众多的端口连接方式。一个IPsec/VPN网络对连接分支机构的数目和距离都没有限制。

（三）应用广泛

IPsec/VPN既可以连接少量的分支机构，也适合连接许多的分支机构。这也取决于IPsec/VPN的核心设备的发展，现在的骨干路由器通常支持异构网互联，其良好的扩展性可以让一个端口同时连接成千上万的分支，包括企业分支部门和移动办公用户，而不需要例如DDN专线等互联方式在收发双方建立物理上的连接。并且IPsec/VPN也支持远程的语音和视频业务，这样连同数据业务一起，为现代化办公提供便利条件，节省大量长途话费。

（四）安全可靠

IPsec/VPN的显著特点是它的安全性，这也是开发VPN技术的最根本原因。通过对VPN骨干设备的合理配置，将隧道技术、数据加密技术、防火墙技术、身份认证、统一授权等多种技术的应用保证网络传输的安全。同时，VPN设备还集成可通过RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等认证方式。

（五）提供冗余设计

由于VPN技术经常用在企业骨干网络上，所以现在的VPN设备大部分都提供冗余机制，包括链路冗余和设备冗余。在VPN核心设备上通常还提供CPU冗余、电源冗余等冗余设计。在链路发生故障时，VPN骨干设备还可支持故障恢复功能，并且网状的VPN骨干拓扑还可实现负载均衡。此外在客户端接入网络时，VPN客户端还可自动选择本地区域的最有接入点，当本地区域接入点发生故障时，选择其他接入设备，从而保证达到连接的可用性。

五、IPsec/VPN的应用前景

IPsec/VPN的应用有两种基本类型：拨号式VPN与专用式VPN。

拨号VPN为移动用户与远程办公者提供远程内部网访问，这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器（NAS）上。

专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

目前还出现一种VPN知觉的网络，服务提供商将很快推出一系列新产品，专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。

总之，现在几乎所有的网络互联技术中都要用到安全技术，IPsec/VPN会在个人和企业内部网接入Internet中应用愈加广泛。

参考文献：

[1]邓志华,朱庆.网络安全与实训教程[M].北京:人民邮电出版社,2005,4

[2]梁亚声.计算机网络安全技术教程[M].北京:机械工业出版社,2008,7