VPN技術(shù)綜述實(shí)驗(yàn)報(bào)告

目錄1.題目 12.分工 13.VPN技術(shù)綜述 23.1VPN技術(shù)概述 23.2VPN的關(guān)鍵技術(shù) 23.2.1安全隧道技術(shù) 23.2.2用戶認(rèn)證技術(shù) 23.2.3訪問控制技術(shù) 23.2.4數(shù)據(jù)加密技術(shù) 33.3網(wǎng)上銀行的VPN 33.3.1網(wǎng)上銀行概述 33.3.2SSLVPN與IPSecVPN技術(shù) 43.3.3基于SSLVPN的解決方案 43.4VPN服務(wù)器的搭建方法探討 5參考文獻(xiàn) 61.題目VPN技術(shù)綜述=1\*GB3①主流的VPN技術(shù)及工作原理：基于IPsee、基于SSL等=2\*GB3②校園網(wǎng)的VPN解決方案=3\*GB3③網(wǎng)上銀行的VPN=4\*GB3④VPN服務(wù)器的搭建方法探討2.分工1同學(xué)負(fù)責(zé)主流的VPN技術(shù)及工作原理和校園網(wǎng)的VPN解決方案兩個(gè)方面的調(diào)研綜述。2同學(xué)負(fù)責(zé)VPN關(guān)鍵技術(shù)、網(wǎng)上銀行的VPN和VPN服務(wù)器的搭建方法探討三個(gè)方面的調(diào)研綜述。3.VPN技術(shù)綜述3.1VPN技術(shù)概述VPN指的是依靠ISP和其他NSP，在公共網(wǎng)絡(luò)建立專有的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。由于VPN是在因特網(wǎng)上臨時(shí)建立的虛擬專用網(wǎng)絡(luò)，用戶可以節(jié)省租用專線的費(fèi)用，價(jià)格低廉是VPN的一個(gè)主要特點(diǎn)。VPN的典型特征是對(duì)進(jìn)行傳輸?shù)臄?shù)據(jù)采用安全加密技術(shù)和數(shù)據(jù)驗(yàn)證手段，利用隧道封裝技術(shù)使其在公共網(wǎng)絡(luò)上安全傳輸。3.2VPN的關(guān)鍵技術(shù)弋改珍等將VPN的關(guān)鍵技術(shù)主要?dú)w納為安全隧道技術(shù)、用戶認(rèn)證技術(shù)、訪問控制技術(shù)、數(shù)據(jù)加密技術(shù)[1]，這四項(xiàng)技術(shù)保證了數(shù)據(jù)能夠在公共網(wǎng)絡(luò)上進(jìn)行安全可靠地傳輸。3.2.1安全隧道技術(shù)隧道是利用一種協(xié)議傳輸另一種協(xié)議的技術(shù)，即用隧道協(xié)議來實(shí)現(xiàn)VPN功能。為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器必須使用同樣的隧道協(xié)議。1）PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）是一種用于讓遠(yuǎn)程用戶撥號(hào)連接到本地ISP，通過因特網(wǎng)安全遠(yuǎn)程訪問公司資源的新型技術(shù)。它能將PPP（點(diǎn)到點(diǎn)協(xié)議）幀封裝成IP數(shù)據(jù)包，以便能夠在基于IP的互聯(lián)網(wǎng)上進(jìn)行傳輸。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護(hù)，與終止隧道，并使用GRE(通用路由封裝）將PPP幀封裝成隧道數(shù)據(jù)。被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時(shí)被加密與壓縮。2）L2TP協(xié)議：L2TP是PPTP與L2F（第二層轉(zhuǎn)發(fā)）的一種綜合，他是由思科公司所推出的一種技術(shù)。3）IPSec協(xié)議：是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密。3.2.2用戶認(rèn)證技術(shù)在互聯(lián)網(wǎng)中進(jìn)行任何私有通信之前，都必須對(duì)對(duì)方的身份進(jìn)行驗(yàn)證，這樣才能確保自己不是在和網(wǎng)絡(luò)一端的陌生人進(jìn)行交流，而是和自己指定的人在進(jìn)行對(duì)話。用戶認(rèn)證技術(shù)分為雙方身份驗(yàn)證和可信任的第三方身份認(rèn)證。雙方身份驗(yàn)證是依賴于進(jìn)行通信的當(dāng)事人知道一些關(guān)鍵信息，這些信息是網(wǎng)上其他人所未知的，對(duì)于用戶來說知道這些信息就能夠很好的證明自己的身份。常用的雙方身份驗(yàn)證方案包括一次性口令、智能卡、詢問/應(yīng)答等。可信任的第三方身份認(rèn)證通過一個(gè)特殊的網(wǎng)絡(luò)實(shí)體充當(dāng)?shù)谌?，它的職?zé)是幫助通信的雙方進(jìn)行身份的確認(rèn)。常用的可信任第三方身份驗(yàn)證方案包括公鑰基礎(chǔ)設(shè)施、Kerberos等。3.2.3訪問控制技術(shù)訪問控制技術(shù)是對(duì)如何有效訪問計(jì)算機(jī)資源進(jìn)行控制的策略。它是根據(jù)一定的規(guī)則對(duì)訪問主體授予一定的權(quán)限，從而保障合法的用戶擁有對(duì)計(jì)算機(jī)資源的合法訪問權(quán)，拒絕非法用戶和合法用戶的非法訪問操作，使計(jì)算機(jī)資源與用戶的訪問權(quán)限得到相應(yīng)的分配。傳統(tǒng)的訪問控制技術(shù)包括自主訪問控制和強(qiáng)制訪問控制，當(dāng)前比較流行的訪問控制技術(shù)包括基于角色的訪問控制、基于任務(wù)的訪問控制以及基于組機(jī)制的訪問控制。3.2.4數(shù)據(jù)加密技術(shù)在VPN中，對(duì)通過公共網(wǎng)絡(luò)的傳輸數(shù)據(jù)必須經(jīng)過加密處理，從而確保網(wǎng)絡(luò)上沒有授權(quán)的用戶無法讀取該信息。數(shù)據(jù)加密的基本過程就是對(duì)原始的數(shù)據(jù)文件使用某種算法對(duì)其進(jìn)行處理，使其成為不可讀的一些雜亂代碼，這種代碼通常稱為密文。加密技術(shù)通常分為兩類：一類是對(duì)稱式加密，這種加密技術(shù)就是加密和解密使用同一個(gè)密鑰，這種技術(shù)的典型算法有DES、IDEA、RC4算法等；另一種是非對(duì)稱加密，這種加密技術(shù)在對(duì)數(shù)據(jù)進(jìn)行處理時(shí)需要兩個(gè)密鑰，一個(gè)稱為公鑰，另外一個(gè)稱為私鑰，并且這兩個(gè)密鑰必須配對(duì)使用，經(jīng)典非對(duì)稱加密算法的代表是RSA。ADDINCNKISM.UserStyle3.3網(wǎng)上銀行的VPN3.3.1網(wǎng)上銀行概述任何商業(yè)活動(dòng)都離不開銀行，銀行是完成經(jīng)濟(jì)交易不可或缺的服務(wù)機(jī)構(gòu)。隨著互聯(lián)網(wǎng)商務(wù)的崛起，企業(yè)和個(gè)人對(duì)于網(wǎng)上金融業(yè)務(wù)的需求也是越來越多，這就導(dǎo)致了許多銀行紛紛推出了適應(yīng)網(wǎng)上貿(mào)易發(fā)展需要的網(wǎng)上金融服務(wù)，最終促成了網(wǎng)絡(luò)銀行的發(fā)展。周金龍認(rèn)為網(wǎng)上支付的一般流程如圖1所示，此圖顯示了客戶通過互聯(lián)網(wǎng)向商家下了訂單之后，此訂單反饋到網(wǎng)絡(luò)系統(tǒng)中，然后從客戶開戶銀行的賬戶中劃撥購物資金到商家開戶銀行賬戶的一個(gè)網(wǎng)上支付過程[2]。圖1網(wǎng)上支付流程3.3.2SSLVPN與IPSecVPN技術(shù)網(wǎng)絡(luò)銀行的安全可靠是保障電子服務(wù)能否順利進(jìn)行的關(guān)鍵所在。針對(duì)上述問題，虛擬專用網(wǎng)技術(shù)VPN應(yīng)運(yùn)而生。根據(jù)實(shí)現(xiàn)技術(shù)的不同，VPN主要可以分為PPTP、L2TP、MPLS、IPSec和SSL等。其中，IPSecVPN和SSLVPN是最廣泛的兩種VPN解決方案。李樂翔等論述SSLVPN是基于隧道技術(shù)，利用SSL/TLS協(xié)議結(jié)合強(qiáng)加密算法、身份認(rèn)證技術(shù)開發(fā)而成的安全VPN[3]。SSLVPN是近些年來興起的VPN技術(shù)，其應(yīng)用隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。SSL協(xié)議主要是由SSL紀(jì)錄協(xié)議和握手協(xié)議組成，它們共同為應(yīng)用訪問鏈接提供認(rèn)證、加密和防篡改功能。SSL握手相對(duì)于IPSec協(xié)議體系中的IKE協(xié)議，主要是用于服務(wù)器和客戶之間的相互認(rèn)證，協(xié)商加密算法消息認(rèn)證碼算法，用于生成在SSL紀(jì)錄協(xié)議中使用的加密和認(rèn)證秘鑰。趙菁認(rèn)為SSLVPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單安全的方法[4]。綜上所述，可以將SSLVPN對(duì)比傳統(tǒng)的IPSecVPN優(yōu)勢(shì)概括如下：1）無需安裝客戶端軟件SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)的IPSecVPN一樣為每臺(tái)客戶機(jī)安裝客戶端軟件。尤其像網(wǎng)絡(luò)銀行這種基于web服務(wù)器提供服務(wù)的機(jī)構(gòu)，其效果更加顯著。2）適用于大多是操作系統(tǒng)標(biāo)準(zhǔn)因特網(wǎng)瀏覽器的大多數(shù)操作系統(tǒng)都可以用來進(jìn)行基于Web的遠(yuǎn)程訪問，不管操作系統(tǒng)是Windows、Macintosh、UNIX還是Linux，都可以對(duì)企業(yè)內(nèi)部網(wǎng)站和Web站點(diǎn)進(jìn)行全面的訪問。3）良好的安全性用戶通過基于SSL的Web訪問并不是網(wǎng)絡(luò)的真實(shí)節(jié)點(diǎn)，就像IPSec安全協(xié)議一樣。而且可以代理訪問公司的內(nèi)部資源，這種方法非常安全，特別是對(duì)與外部用戶的訪問。4）可以繞過防火墻和代理服務(wù)器訪問基于SSL的遠(yuǎn)程訪問方案中，使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）服務(wù)的遠(yuǎn)程用戶或者因特網(wǎng)代理服務(wù)的用戶可以從中受益。因?yàn)檫@種方案可以繞過防火墻和代理服務(wù)器訪問公司資源，這是采用基于IPSec安全協(xié)議的遠(yuǎn)程訪問所難以實(shí)現(xiàn)的。經(jīng)過對(duì)上述文獻(xiàn)的敘述，可以總結(jié)出網(wǎng)絡(luò)銀行使用的VPN是基于SSL的解決方案，其以簡(jiǎn)單、易用和較高的安全性在網(wǎng)絡(luò)銀行中得到廣泛使用。3.3.3基于SSLVPN的解決方案張國(guó)防等人以基于手機(jī)銀行的SSLVPN為例，論述了基于VPN的網(wǎng)絡(luò)銀行解決方案[5]。當(dāng)手機(jī)有業(yè)務(wù)需求要訪問銀行資源時(shí)，向銀行VPN網(wǎng)關(guān)發(fā)出鏈接請(qǐng)求，VPN網(wǎng)關(guān)在收到請(qǐng)求后，與手機(jī)建立SSLVPN，手機(jī)將自己的證書信息發(fā)送給VPN網(wǎng)關(guān)；VPN網(wǎng)關(guān)在收到手機(jī)證書后，通過證書服務(wù)器對(duì)用戶證書形象進(jìn)行驗(yàn)證，如果驗(yàn)證通過，VPN網(wǎng)關(guān)變?yōu)樵撘苿?dòng)終端分配一個(gè)內(nèi)網(wǎng)IP，此時(shí)VPN鏈接建立成功，安全管理服務(wù)器在收到用戶等人信息后，會(huì)通過手機(jī)號(hào)查詢出用戶所分配的安全策略，然后將該安全策略應(yīng)用到內(nèi)網(wǎng)防火墻上；當(dāng)客戶向銀行某業(yè)務(wù)發(fā)起請(qǐng)求時(shí)，內(nèi)網(wǎng)防火墻將檢查其合法性。圖2SSLVPN解決方案ADDINCNKISM.UserStyle3.4VPN服務(wù)器的搭建方法探討VPN服務(wù)器的搭建有很多方法，一般利用軟件就能實(shí)現(xiàn)VPN服務(wù)器的搭建。下面以基于RouterOS搭建PPTPVPN和利用WindowsServer2003搭建VPN服務(wù)器為例來探討搭建方法。RouterOS是MikroTik推出的一種路由操作系統(tǒng),可以在基于x86構(gòu)架的PC上安裝RouterOS,從而實(shí)現(xiàn)路由功能。RouterOS是基于Linux2.6內(nèi)核開發(fā)的,所占資源并不高,一臺(tái)內(nèi)存配置為64MB,硬盤容量為512MB的PC就足以運(yùn)行該系統(tǒng),也就是說,在一臺(tái)淘汰下來的服務(wù)器上安裝RouterOS,這臺(tái)服務(wù)器就變身為高端路由器了。黃驍介紹了PPTPVPN的具體搭建過程[6]，首先是安裝并配置RouterOS，為路由操作系統(tǒng)配置好IP地址；然后用WinBox管理RouteOS路由器；創(chuàng)建PPTPServer；為撥入PPTP服務(wù)器的VPN客戶端添加地址池；配置PPP接入模板；創(chuàng)建VPN賬戶；配置PPTP服務(wù)器；PPTP客戶端共享上網(wǎng)設(shè)置。經(jīng)過上述的步驟后，在RouterOS路由器上的所有參數(shù)全部設(shè)置完成,下一步就是用一臺(tái)電腦嘗試創(chuàng)建VPN連接,以測(cè)試所搭建的PPTP服務(wù)器能否正常工作。只需要進(jìn)入網(wǎng)絡(luò)和共享中心后創(chuàng)建VPN連接，連接到單元網(wǎng)絡(luò)就代表VPN服務(wù)器已經(jīng)創(chuàng)建成功了。陳國(guó)耿介紹了通過WindowsServer2003操作系統(tǒng)自帶的“路由和遠(yuǎn)程訪問”功能來實(shí)現(xiàn)VPN服務(wù)器的搭建[7]。首先進(jìn)入管理工具，將“路由和遠(yuǎn)程訪問”開啟；接下來配置NAT服務(wù)，右擊“NAT/基本防火墻選項(xiàng)”，選擇新增接口，選擇“WAN”接口，下面設(shè)置服務(wù)器允許對(duì)外提供PPTPVPN服務(wù)；根據(jù)需要分別設(shè)置連接數(shù)和設(shè)置客戶端的IP地址；設(shè)置遠(yuǎn)程訪問控制策略，允許指定用戶撥入；設(shè)置網(wǎng)上述的步驟后，進(jìn)行VPN客戶端的配置，客戶端的配置相對(duì)簡(jiǎn)單，只需建立一個(gè)到VPN服務(wù)器的專用連接即可。在VPN服務(wù)器選擇窗口里，輸入VPN服務(wù)器的IP地址，等VPN連接窗口出現(xiàn)后輸入訪問的VPN的合法賬戶/密碼，連接成功后客戶機(jī)就會(huì)獲得VPN服務(wù)器頒發(fā)的一個(gè)IP，VPN服務(wù)器即搭建成功。郭建偉以遠(yuǎn)程訪問VPN連接為例，全面分析了不同類型VPN服務(wù)器創(chuàng)建方法[8]。對(duì)于搭建PPTPVPN服務(wù)器，因?yàn)镻PTP為點(diǎn)對(duì)點(diǎn)的協(xié)議，當(dāng)VPN客戶端連接到VPN服務(wù)器時(shí)，需要一般的對(duì)其身份進(jìn)行驗(yàn)證，只有驗(yàn)證成功，用戶才有權(quán)利訪問內(nèi)網(wǎng)資源。一般的步驟是：安裝遠(yuǎn)程路由和路由訪問角色；配置遠(yuǎn)程路由和路由訪問角色；創(chuàng)建預(yù)共享秘鑰服務(wù)器。對(duì)于搭建SSTPVPN服務(wù)器，由于SSTP是安全性較高的協(xié)議，其使用RC4或者AES加密數(shù)據(jù)。SSTP采用HTTPS協(xié)議創(chuàng)建安全通道，利用SSL加密技術(shù)保證數(shù)據(jù)傳輸?shù)陌踩?。同PPTP和L2TP/IPSec使用復(fù)雜的端口相比，HTTPS協(xié)議僅僅使用443端口，因此無需在防火墻執(zhí)行復(fù)雜的配置。利用SSTPVPN服務(wù)區(qū)，可以很好的保證客戶端的安全連接。一般步驟為：?jiǎn)⒂肗AT端口映射功能；創(chuàng)建IKEv2VPN服務(wù)器；創(chuàng)建的證書模板；啟用證書模板；申請(qǐng)認(rèn)證證書。從上述文獻(xiàn)可以得知，VPN服務(wù)器的構(gòu)建一般以軟件的方式，利用公共網(wǎng)絡(luò)遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN技術(shù)，既可以保證互聯(lián)企業(yè)的網(wǎng)絡(luò)安全,還比傳統(tǒng)租用專線或長(zhǎng)途撥號(hào)的方法節(jié)省了大量費(fèi)用，VPN技術(shù)的蓬勃發(fā)展已經(jīng)成為不爭(zhēng)的事實(shí)。ADDINCNKISM.UserStyle參考文獻(xiàn)[1]弋改珍,趙娟.VPN技術(shù)研究與應(yīng)用實(shí)現(xiàn)[J].福建電腦,2018,34(08):47-48+68.[2]周金龍.互聯(lián)網(wǎng)金融時(shí)代商業(yè)銀行的發(fā)展模式研究[J].現(xiàn)代商貿(mào)工業(yè),2019,40(13):115-116.[3]李樂翔,楊禮孟.VPN及IPSec技術(shù)的實(shí)現(xiàn)與校園應(yīng)用[J].計(jì)算機(jī)產(chǎn)品與流通,2019(04):212.[4]趙菁.IPSecVPN與SSL