VPN的网络层隧道协议的研究.docVIP

VPN的网络层隧道协议的研究 摘要 本文阐述了VPN及其实现的主要技术――隧道。先探讨了VPN的产生背景及其能够实现的功能，VPN利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道，用户认证，访问控制等技术实现与专用网络类似的安全性能；接着分析了实现 VPN 的隧道技术和隧道协议，并着重分析了IPSec第三层隧道协议的实现原理；然后对各种协议做了深入的比较。 论文背景 随着全球信息化的快速发展，必然带来了对网络基础设施的功能和可延伸性提出了新的要求。例如，在一些跨区域的机构之间进行远距离的互联，以及单位的员工要求远程接入单位的内部网络都提出了安全和身份认证的要求。过去为了解决这样的问题，都是通过直接铺设网络线路来解决，但是这样做不仅成本高而且实现起来相当困难。而VPN技术的出现就是解决这样的问题，它通过在公共网络如Internet为用户建立专用的通道提供远程连接，不仅安全性好而且成本低廉。本论文就是讨论VPN的实现原理和实现方法，但是讨论的是网络层的隧道协议。 VPN技术的功能和类型 功能：VPN（virtual private network，虚拟专用局域网）是利用公共的网络设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通信通道，就好像用户就在这个网络中一样，实现了不同网络之间以及用户和网络之间的相互连接。 类型：VPN依据自己的应用环境的不同，主要可以划分为三种类型的应用方式：内联网VPN、外联网VPN和远程接入VPN。 内联网VPN：通过Internet将在不同地理位置的内部网络连接起来，形成一个逻辑上的局域网。位于不用网络中的用户之间的通信就好像在一个网络中一样。要实现内联网VPN需要在不同的内部网络的出口上架设VPN网关，做加密点。目前这种方式多被企业采用。 外联网VPN：与内联网一样也是网关对网关的方式，但是位于不同内部网络之间通信点在功能上不平等的，不想内联网是平等的对待。相比于内联网，外联网在功能上更加的强大，增加了身份的认证、访问控制等许多的安全机制。 远程接入VPN：主要是为一些家庭办公以及需要远程接入单位内部网络的用户提供的方式，因此也叫移动VPN。合肥学院使用的是SSL，提供了远程接入校园内部网络的方式。 VPN的工作原理和应用场合 工作原理：VPN的实现技术有很多种，单靠一种技术是显现不了VPN功能要求的或者是不安全的。主要的技术有：隧道技术、加密技术、身份认证技术。 隧道技术：这是VPN的核心技术，也是实现VPN功能的关键。在通信的时候，一端用户将数据封装后通过建立的隧道进行传输，到达对端后在进行解封装来得到数据。而数据的安全性则主要靠加密技术，用户是否合法则要靠身份认证技术。在网络层。隧道的技术主要有IPSec和GRE。 IPSec：IPSec是一个套由多个子协议组成的安全体系，这些子协议组要 AH、ESP、IKE等。 IPSec VPN的模式： 1、传输模式 使用场合：端到端的主机或者设备间通信的保护，加密点和通信点相同 ·两台主机间通信 ·一台主机与安全网关的通信（管理） +-------------------------------------------+ |IP头部|IPSEC头部|传输层|IPSEC尾部（可选）| +-------------------------------------------+ 2、隧道模式（默认的模式）： 使用场合：至少有一端是安全网关 ·两个子网通过各自的安全网关通信 ·单主机通过安全网关访问内部子网 +--------------------------------------------------+ |IP头部|IPSEC头部|IP头部|传输层|IPSEC尾部（可选）| +--------------------------------------------------+ 两个模式之间的区别就在于隧道模式添加了新了IP报头。AH和ESP都可以使用这任意其中一个模式。 (AH-----Authentication Header(认证报头) 验证头部,一种安全协议,只是用来验证头部和防重发。不对实际用户数据部分加密，可配合ESP使用。AH使用IP协议51进行通信。AH是为IP数据报提供无连接的完整性和数据来源验证,并提供重放(replay)攻击保护。 使用AH时,永远不能穿越PAT设备(穿越PAT时,源IP地址会变)；做HASH验证时：不计算TTL值字段。Authentication Data(认证字段)包含在AH Header字段中。 RFC 2402对