基于IPsec的VPN的配置初探(王子宝)

1、附2天津师范大学成人本科毕业论文（设计）开题报告学院:天津师范大学系别:计算机系专业：计算机科学与技术学习形式：函授学生姓名王子宝学号（准考证号）108843740003指导教师指导教师职称副教授论文（设计）题目：基于IPsec的VPN的配置初探一、选题的性质（）理论研究（丁）应用研究（）应用理论研究二、选题的目的和理论、实践意义选题的目的：在Linux上利用FreeS/WAN实现VPN。随着企业规模不断扩大，企业内部及企业间信息传递越来越多。如何保障通信的高效性和安全性，是企业极其关注的问题。利用Internet等公共网络建立VPN（VirtualPrivateNetwork虚拟专用网）是较

2、好的方案，大大降低实现通信安全所需代价。三、与本课题相关的国内外研究现状，预计可能有所突破和创新的方面随着Internet网络技术的普及，VPN技术在网络发展中的突出地位越发显现。利用IPSec构筑VPN代价低廉，可扩展性强，配置灵活。在Linux上通过配置FreeS/WAN（Linux上的IPSec）具有很强的可操作性。四、分析研究的可行性、基本条件及能否取得实质性进展基于IPSec的技术已成为VPN一种标准的安全协议。IPsec是目前唯一一种能为任何形式的Internet通信提供安全保护的协议。因此，可以预见，采用IPSec来实现VPN是成熟的。附3天津师范大学成人本科毕业论文（设计）中期

3、检查表学院：天津师范大学系别:计算机系专业：计算机科学与技术学习形式:函授论文（设计）题目：基于sec的VPN的配置初探学生姓名王子宝学号（准考证号）108843740003指导教师指导教师职称教授计划完成时间：论文（设计）的进展情况：方法、策略：主要通过分析比较，归纳的方法。步骤：一、可行性分析（收集资料，确定目标）二、原因分析、要因确认三、制定策略四、具体实施进度安排：2011年1月一一3月需求分析2011年3月-4月原因分析、要因确认2011年4月-5月制定策略2011年5月-12月具体实施2012年4月7日出论文指导教师意见：指导教师签字：年月曰备注：成人本科生毕业论文（设计）题目:基

4、于IPsec的VPN的配置初探夜大学函授脱产高自考学号（准考证号）:108843740003姓名:王子宝专业：计算机科学与技术年级（高自考不填）：2010级学院:天津师范大学完成日期：2012.04.06指导教师：基于IPsec的VPN的配置初探王子宝【概述】随着企业规模不断扩大，企业内部及企业间信息传递越来越多。如何保障通信的高效性和安全性，是企业极其关注的问题。利用Internet等公共网络建立VPN(VirtualPrivateNetwork虚拟专用网)是较好的方案。IPSec在IP层对数据包进行高强度的加密和验证，对数据包进行安全处理，使安全服务独立于各种应用程序，较好地解决了各种IP

5、Sec实现的互操作性，大大降低实现通信安全所需代价。利用IPSec构筑VPN代价低廉，可扩展性强，配置灵活。Linux是一个源码开放的免费系统，用户可以定制其上的FreeS/WAN来配置VPN。本文首先介绍了VPN的相关信息，然后对IPSec安全体系作了详细分析，最后具体描述了实现Linux下的VPN的具体操作方法。【关键词】IPSecLinux虚拟专用网【summary】withtheexpandingscaleofbusiness,enterpriseandenterpriseinformationincreasing.Howtoensuretheefficiencyandsecurity

6、ofcommunication,istheextremelyconcern.UsingInternetpublicnetworkVPN(VirtualPrivateNetworkvirtualprivatenetwork)isabetterscheme.IPSecintheIPlayerpacketsonthehighstrengthencryptionandauthentication,packetsofdatasecurityprocessing,sothatthesecurityservicesinvariousapplications,betterlandtosolveavariety

7、ofIPSectoachieveinteroperability,greatlyreducethecommunicationsecuritycost.TheuseofIPSectobuildaVPNpriceislow,scalability,flexibleconfiguration.Linuxisanopensourcefreesystem,userscancustomizetheFreeS/WANtoconfigureVPN.ThisarticlefirstintroducedtheVPNrelatedinformation,andthenontheIPSecsecuritysystem

8、areanalyzedindetail,finallydescribestheimplementationofLinuxVPNunderspecificoperationmethod【Keywords】IPSecLinuxvirtualprivatenetwork引言Internet通信具有交互性、实时性、数字化和低成本等特点，已成为人们进行信息交流的最主要的方式之一，许多敏感信息需要通过Internet来传输，而Internet又是一个开放的环境；所以，那些敏感信息随时可能会被不怀好意的网络入侵者窃取或修改，因此，敏感信息在传输过程中必须被保护。若布置自己的专线,价格又异常昂贵。应运而生的虚

9、拟专用网(VirtualPrivateNetwork,即VPN)技术以其节省网络成本、实现网络安全的优势，为Internet的发展注入了新的活力。一.VPN概述1.1VPN基础VPN即虚拟专用网络(VirtualPrivateNetwork，简称VPN)，指的是依靠ISP(InternetServiceProviders因特网服务提供商)和其它NSP(NetworkServiceProviders网络服务提供商)在公用网上为一组用户或和一些点实现的一种专用通讯网络，接收方和发送方通过一个虚拟的安全隧道来传输信息。1虚拟专用网(VPN)是专用网的扩展，它的通信两端之间通过的是公用传输介质如Int

10、ernet。VPN允许你在两台计算机之间通过公共传输介质通信，就好像是自己的端到端的专用网一样。为了模拟端到端的专用网，数据必须被加上一个路由信息头，以便能够在Internet上找到正确的路径;同时为了数据的安全，数据包在传输过程中必须被加密VPN连接使用户可以在家工作或者在出差的旅途中利用公用传输介质如Internet来和公司总部的机器连接。从用户的角度来看，VPN是一个VPN的客户端与服务器端的端到端的连接，Internet等公共介质的网络结构是无关紧要的，因为从逻辑上看，数据是在专用网上传输。VPN也可以使公司在地域上分割的各个分部之间通过Internet传输信息，信息必须在一个安全的通

11、道中传播，从逻辑上看就像一个WAN上的专用网。(如图1)构建一个VPN,关键技术包括隧道技术(Tunneling)、加密技术(Encryption)、密钥管理机制(KeyManagement)和身份认证技术(Authentication)。2隧道技术VPN常用的组网技术有：基于PPTP的VPN、基于L2TP的VPN、基于IPSec的VPN、基于SSL的VPN以及基于MPLS的VPN，其中隧道技术是VPN技术的底层支撑技术。隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO/RM模型中的数据链路层或网络层数据)作为负载进行加密、协议封装，再嵌套装入另一种协议数据包中送入网络，象普通

12、数据包一样传输，(如图2)在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。只有该虚拟专用网络授权的用户才能对隧道中的数据包进行解释和处理,而其它用户则无法处理这些信息,从而保证VPN的远程用户或主机和专用网络的安全连接,该技术就象在公用网上为信息交换的双方开辟一条专有的、隐蔽的数据通道一样。伎输公网逻辑等悅图虚拟专用网(VFN)图1.VPN示意图数据包数据包隧道终点隧道包镶图2.VPN隧道要使数据顺利地被封装、传送及解封装，通信协议是保证的核心目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议

13、IPSec以及SSL，它们在OSI/RM模型中的位置如表1所示。表1.4种隧道协议在OSI/RM模型中的位置OSI七层模型安全技术安全协议应用层应用代理表示层会话层会话层代理传输层SOCKSv5/SSL网络层包过滤IPSec数据链路层PPTP/L2F/L2TP物理层第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。其中IPSec主要用于网络互连的VPN业务，L2TP主要用于实现拨号VPN业务。利用隧道方式来实现VPN时，另外一个重要的问题是隧道的安全。第二层隧道协议只能保证在隧道发生端及终止端进行认证及加密，而隧道在公网的传输过程中并不能完全保证安全。IPSsec加密技术

14、则是在隧道外面再封装，保证了隧道在传输过程中的安全性。至于SSL的方法，需要调用较高层的隧道协议，只适用于WEB的应用，实现较为复杂。加密技术加密技术是数据通信中一项较成熟的技术。利用加密技术保证传输数据的安全是VPN安全技术的核心。为了适应VPN工作特点，目前VPN中均采用对称加密体制和公钥加密体制相结合的方法。对称加密体制对称加密体制（也称常规加密体制）的通信双方共享一个秘密密钥，发送方使用该密钥将明文加密成密文，接受方使用相同的密钥将密文还原成明文。对称加密算法运算速度快，因而VPN中将其用于加密要传输的数据，为了加大保密强度和便于程序实现，实际运用中多采用分组密码算法。VPN目前常用的

15、对称密码加密算法有：3DES和AES等。3DES(即TripleDES)是DES的一个更安全的变形。3DES是以DES为基本模块(DES算法流程如图3所示)，通过组合分组的方法设计的分组加密算法，具体算法介绍如下:设EK()和DK()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密文，这样:3DES加密过程为:C=EK3(DK2(EKl(P)3DES解密过程为:P=DKl(EK2(DK3(C)具体的加解密过程如图4所示。K1，K2，K3决定了算法的安全性，若3个密钥互不相同，本质上就相当于用一个长为168位的密钥进行加密，多年来，他在对付强力攻击时是比较安全的。

16、若对安全性需要不那么高的数据，K1可以等于K3。在这种情况下，密钥的有效长度为112位。磕代换P盒置换密钿|u-pRi-f1明文1r/移位1移位扩展置换初始置墟图4.3DES算法结构AES算法是一个数据块长度和密钥长度均可变的迭代分组密码，数据块和密钥长度都可分别为128、192或256位，并且由数据块长度和密钥长度决定加密圈数N为10、12或14圈。明文经过n圈的S盒变换、行移位变换、列混淆变换、圈密钥加变换等编码过程输出密文，其加密过程如图5所示。同的密钥，一个是只有发送方知道的秘密密钥，另一个则是与之对应的公开密钥，公开密钥不需要保密。在通信过程中，发送方用接收方的公开密钥加密消息，并且

17、可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。目前影响最大的公钥密码算法是：RSA和ECC。RSA是一种分组加密算法,原理简单,易于使用,其安全性基于模运算的大整数素因子分解问题的困难性。RSA加解、密过程如图6所示。ECC(即椭圆曲线密码体制)，其安全性基于椭圆曲线点群上离散对数问题(ECDLP)的难解性。而解ECDLP最有效的算法则要依靠指数时间的算法，它们的时间复杂度较大，因此ECDLP较之另两类问题更为难解，这意味着ECC能以更小的密钥长度来产生与其他公钥密码算法相同等级的

18、安全性。密钥管理机制其主要任务是解决公用数据网上安全传递密钥而不被窃取的问题。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方各有两把密钥，分别作公用、私用。身份认证技术VPN中最常用的身份认证技术是用户名/口令或

19、智能卡认证等方式。身份认证是通信双方建立VPN的第一步，保证用户名/口令，特别是用户口令的机密性。在VPN实现上，除了强制要求用户选择安全口令外，还特别采用对口令数据加密存放或使用一次性口令等技术。智能卡认证具有更强的安全性，它可以将用户的各种身份信息及公钥证书信息等集中在一张卡片上进行认证，只要做到智能卡的物理安全就可以在很大程度上保证认证机制的安全。认证技术防止数据的伪造和被篡改,它采用一种称为“信息摘要”的技术，如MD5。“信息摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要

20、技术在VPN中有两个用途:验证数据的完整性、用户认证。VPN的市场前景在我国，VPN技术主要普遍应用于安全产品，广域连接的网络产品中。专用安全产品如防火墙、VPN网关等，主要采用IPSec技术，它有着完善的安全保密机制，各个厂商之间互通性很好，所以近几年在国内得到蓬勃的发展，包括几乎所有的路由器产品都采用了IPSec技术。降低通信费用、拥有高效安全的网络；网络带宽猛增与VPN技术日臻成熟；企业竞争环境与企业形象需要。这三点是中国VPN市场与应用发展的动力。其中来自企业的应用需求是核心推动力，在“应用推动技术”的现在，企业纷纷意识到，拥有VPN网络，就可以大大降低运营成本，提高效率，增大竞争力。

21、VPN业务作为一种能大幅减少网络开销，减轻企业负担，提高网络生产效率的有效方法，将逐渐取代采用专线构建企业专用网络的传统做法。广阔的市场前景使得VPN成为目前计算机网络技术的新热点，越来越多的网络硬件和软件厂商关注着VPN技术的研究和发展。同时，随着电信业竞争的加剧、电信业务需求多样化的发展，传统的电信业务运营模式已经不能适应市场的变化，传统电信运营商应有所为有所不为，集中优势力量做好基础网络的建设维护，而把面向用户的具体业务转包给更专业的下家虚拟运营商们。电信网络建设维护与业务运营逐渐分离已经成为一种趋势，无疑这会给VPN市场提供巨大的市场发展空间，虚拟电信运营业务的长足发展将推动VPN市场

22、再上台阶。VPN技术的应用前面已经列举了一些VPN技术的应用一几种常用的VPN的组网方法。其中，SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输；而且，在公共网络中，网络协议的各个层次都有可能遭到攻击，尤其在协议高层上IP包本身不继承任何安全特性，很容易被修改、伪造、查看和重播。为了使VPN隧道中的数据更加安全可靠，VPN隧道技术在网络协议的越下层实现，则受保护数据的安全性就越高，因此采用第二、三层中的协议来实现VPN比较适宜。下面，对基于第二层和第三层协议的VPN技

23、术进行比较。1.3.1VPN技术的比较（如表2所示）表2.基于2、3层协议VPN的比较VPN类型优点缺点基于PPTP的VPN用于非IP网络可以获得进行Internet通信；对硬件性能要求较低；提供流量控制，减少拥塞的可能性，避免由包丢弃而引发包重传的数量。只能应用在拨号连接线路上不对两个节点间的信息传输进行监视或控制。基于L2TP的VPN被认为是PPTP增强版，包含PPTP的优点；支持MPPP，可以在许多Internet连接线路上运行，如帧中继、X.25和ATM,支持帧头压缩可以比PPTP消耗更少的带宽。没有任何加密措施；对于采用NAT方式访问公共网络的情况难以处理；不对两个节点间的信息传输进

24、行监视或控制；端点用户需要在连接前手工建立加密信道；认证和加密受到限制，没有强加密和认证支持。基于IPSec的VPN相比PPTP和L2TP其最大优势在于标准化，所有网络厂商都纷纷声明对该技术的支持；配置灵活，适用于各种应用场合；在IP层增加AH或ESP头实现网络安全使得通信安全可靠；IKE协议可以自动产生需要的SA，并且SA的生存期非常短，使得破译更加困难；定义安全策略方便灵活，只需要在配置文件里进行编辑，就可以实现安全策略，例如如果一种算法被破解，立刻换另一种算法。除了包过滤外，没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理；对高安全性的要求，使得其运算量比较大，也就

25、是说在大流量通讯时如果使用IPSec来对数据进行加密，硬件要求较高。1.3.2基于IPSec的VPN的特点首先，利用不可靠的公用互联VPN网络作为信息传输媒介，通过附加的安全隧道技术对包进行IP封装，并通过用户认证等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。运用协议实现的网关所体现的安全隧道封装技术IPSec有着多方面的优点：信息的安全性、方便的扩充性、方便的管理性、显著的成本效益等。基于IPSec的技术已成为VPN一种标准的安全协议。其次，IPSec方案安全级别高，基于Internet实现多专用网安全连接,IPSecVPN是比较理想的方案。IPSec工作于网络层,对终

26、端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。IPSecVPN能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方式进行自动通信的应用程序来说是最好方案。再次，IPsec的提出使得VPN有了更好的解决方案，这是因为在网络层就进行安全服务，使得密钥协商的开销被大大削减了，这是由于多种传送协议和应用程序可共享由网络层提供的密钥管理结构（IKE）。而且，假如网络安全服务在较低层实现，那么需要改动的应用程序就要少得多。IPsec是目前唯一一种能为任何形式的Internet通信提供安全保护