1、指导教师: 李国栋 设计周数: 一周 成 绩: 日期:2019年 6 月1日1.题目VPN技术综述主流的VPN技术及工作原理:基于IPsee、基于SSL等校园网的VPN解决方案网上银行的VPNVPN服务器的搭建方法探讨2.分工1同学负责主流的VPN技术及工作原理和校园网的VPN解决方案两个方面的调研综述。2同学负责VPN关键技术、网上银行的VPN和VPN服务器的搭建方法探讨三个方面的调研综述。3.VPN技术综述3.1 VPN技术概述VPN指的是依靠ISP和其他NSP,在公共网络建立专有的数据通信网络的技术。由于VPN是在因特网上临时建立的虚拟专用网络,用户可以节省租用专线的费用,价格低廉是 V
2、PN 的一个主要特点。VPN的典型特征是对进行传输的数据采用安全加密技术和数据验证手段,利用隧道封装技术使其在公共网络上安全传输。3.2 VPN的关键技术弋改珍等将VPN的关键技术主要归纳为安全隧道技术、用户认证技术、访问控制技术、数据加密技术1,这四项技术保证了数据能够在公共网络上进行安全可靠地传输。3.2.1 安全隧道技术 隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封
3、装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。2)L2TP协议:L2TP是PPTP与L2F(第二层转发)的一种综合,他是由思科公司所推出的一种技术。3)IPSec协议:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。3.2.2 用户认证技术 在互联网中进行任何私有通信之前,都必须对对方的身份进行验证,这样才能确保自己不
4、是在和网络一端的陌生人进行交流,而是和自己指定的人在进行对话。用户认证技术分为双方身份验证和可信任的第三方身份认证。双方身份验证是依赖于进行通信的当事人知道一些关键信息,这些信息是网上其他人所未知的,对于用户来说知道这些信息就能够很好的证明自己的身份。常用的双方身份验证方案包括一次性口令、智能卡、询问/应答等。可信任的第三方身份认证通过一个特殊的网络实体充当第三方,它的职责是帮助通信的双方进行身份的确认。常用的可信任第三方身份验证方案包括公钥基础设施、Kerberos 等。3.2.3 访问控制技术 访问控制技术是对如何有效访问计算机资源进行控制的策略。它是根据一定的规则对访问主体授予一定的权限
5、,从而保障合法的用户拥有对计算机资源的合法访问权,拒绝非法用户和合法用户的非法访问操作,使计算机资源与用户的访问权限得到相应的分配。传统的访问控制技术包括自主访问控制和强制访问控制,当前比较流行的访问控制技术包括基于角色的访问控制、基于任务的访问控制以及基于组机制的访问控制。3.2.4 数据加密技术 在 VPN 中,对通过公共网络的传输数据必须经过加密处理,从而确保网络上没有授权的用户无法读取该信息。数据加密的基本过程就是对原始的数据文件使用某种算法对其进行处理,使其成为不可读的一些杂乱代码,这种代码通常称为密文。加密技术通常分为两类:一类是对称式加密,这种加密技术就是加密和解密使用同一个密钥
6、,这种技术的典型算法有DES、IDEA、RC4算法等;另一种是非对称加密,这种加密技术在对数据进行处理时需要两个密钥,一个称为公钥,另外一个称为私钥,并且这两个密钥必须配对使用,经典非对称加密算法的代表是RSA。3.3 网上银行的VPN3.3.1 网上银行概述任何商业活动都离不开银行,银行是完成经济交易不可或缺的服务机构。随着互联网商务的崛起,企业和个人对于网上金融业务的需求也是越来越多,这就导致了许多银行纷纷推出了适应网上贸易发展需要的网上金融服务,最终促成了网络银行的发展。周金龙认为网上支付的一般流程如图1所示,此图显示了客户通过互联网向商家下了订单之后,此订单反馈到网络系统中,然后从客户
7、开户银行的账户中划拨购物资金到商家开户银行账户的一个网上支付过程2。图1 网上支付流程3.3.2 SSL VPN与IPSec VPN技术网络银行的安全可靠是保障电子服务能否顺利进行的关键所在。针对上述问题,虚拟专用网技术VPN应运而生。根据实现技术的不同,VPN主要可以分为PPTP、L2TP、MPLS、IPSec和SSL等。其中,IPSec VPN和SSL VPN是最广泛的两种VPN解决方案。李乐翔等论述SSL VPN是基于隧道技术,利用SSL/TLS协议结合强加密算法、身份认证技术开发而成的安全VPN3。SSL VPN是近些年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴
8、起而发展迅速。SSL协议主要是由SSL纪录协议和握手协议组成,它们共同为应用访问链接提供认证、加密和防篡改功能。SSL握手相对于IPSec协议体系中的IKE协议,主要是用于服务器和客户之间的相互认证,协商加密算法消息认证码算法,用于生成在SSL纪录协议中使用的加密和认证秘钥。赵菁认为SSL VPN是解决远程用户访问敏感公司数据最简单安全的方法4。综上所述,可以将SSL VPN对比传统的IPSec VPN优势概括如下:1)无需安装客户端软件SSL内嵌在浏览器中,它不需要像传统的IPSec VPN一样为每台客户机安装客户端软件。尤其像网络银行这种基于web服务器提供服务的机构,其效果更加显著。2)
9、适用于大多是操作系统标准因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问,不管操作系统是 Windows、Macintosh、UNIX 还是 Linux,都可以对企业内部网站和 Web 站点进行全面的访问。3)良好的安全性用户通过基于 SSL 的 Web 访问并不是网络的真实节点,就像IPSec安全协议一样。而且可以代理访问公司的内部资源,这种方法非常安全,特别是对与外部用户的访问。4)可以绕过防火墙和代理服务器访问基于SSL的远程访问方案中,使用NAT(网络地址转换)服务的远程用户或者因特网代理服务的用户可以从中受益。因为这种方案可以绕过防火墙和代理服务器访问公司资源,这是采用
10、基于IPSec安全协议的远程访问所难以实现的。经过对上述文献的叙述,可以总结出网络银行使用的VPN是基于SSL的解决方案,其以简单、易用和较高的安全性在网络银行中得到广泛使用。3.3.3 基于SSL VPN的解决方案张国防等人以基于手机银行的SSL VPN为例,论述了基于VPN的网络银行解决方案5。当手机有业务需求要访问银行资源时,向银行VPN网关发出链接请求,VPN网关在收到请求后,与手机建立SSL VPN,手机将自己的证书信息发送给VPN网关;VPN网关在收到手机证书后,通过证书服务器对用户证书形象进行验证,如果验证通过,VPN网关变为该移动终端分配一个内网IP,此时VPN链接建立成功,安
11、全管理服务器在收到用户等人信息后,会通过手机号查询出用户所分配的安全策略,然后将该安全策略应用到内网防火墙上;当客户向银行某业务发起请求时,内网防火墙将检查其合法性。图2 SSL VPN解决方案3.4 VPN服务器的搭建方法探讨VPN服务器的搭建有很多方法,一般利用软件就能实现VPN服务器的搭建。下面以基于Router OS搭建PPTP VPN和利用 Windows Server 2003搭建VPN服务器为例来探讨搭建方法。Router OS是Mikro Tik推出的一种路由操作系统, 可以在基于x86构架的PC上安装Router OS, 从而实现路由功能。Router OS是基于Linux2
12、.6内核开发的, 所占资源并不高,一台内存配置为64MB, 硬盘容量为512MB的PC就足以运行该系统,也就是说,在一台淘汰下来的服务器上安装Router OS,这台服务器就变身为高端路由器了。黄骁介绍了PPTP VPN的具体搭建过程6,首先是安装并配置Router OS,为路由操作系统配置好IP地址;然后用WinBox管理Route OS路由器;创建PPTP Server;为拨入PPTP服务器的VPN客户端添加地址池;配置PPP接入模板;创建VPN账户;配置PPTP服务器;PPTP客户端共享上网设置。经过上述的步骤后,在Router OS路由器上的所有参数全部设置完成,下一步就是用一台电脑尝
13、试创建VPN连接, 以测试所搭建的PPTP服务器能否正常工作。只需要进入网络和共享中心后创建VPN连接,连接到单元网络就代表VPN服务器已经创建成功了。陈国耿介绍了通过Windows Server 2003操作系统自带的“路由和远程访问”功能来实现VPN服务器的搭建7。首先进入管理工具,将“路由和远程访问”开启;接下来配置NAT服务,右击“NAT/基本防火墙选项”,选择新增接口,选择“WAN”接口,下面设置服务器允许对外提供PPTP VPN服务;根据需要分别设置连接数和设置客户端的IP地址;设置远程访问控制策略,允许指定用户拨入;设置网上述的步骤后,进行VPN客户端的配置,客户端的配置相对简单
14、,只需建立一个到VPN服务器的专用连接即可。在VPN服务器选择窗口里,输入VPN服务器的IP地址,等VPN连接窗口出现后输入访问的VPN的合法账户/密码,连接成功后客户机就会获得VPN服务器颁发的一个IP,VPN服务器即搭建成功。郭建伟以远程访问VPN连接为例,全面分析了不同类型VPN服务器创建方法8。对于搭建PPTP VPN服务器,因为PPTP为点对点的协议,当VPN客户端连接到 VPN 服务器时,需要一般的对其身份进行验证,只有验证成功,用户才有权利访问内网资源。一般的步骤是:安装远程路由和路由访问角色;配置远程路由和路由访问角色;创建预共享秘钥服务器。对于搭建SSTP VPN服务器,由于
15、SSTP是安全性较高的协议,其使用 RC4 或者AES加密数据。SSTP采用HTTPS协议创建安全通道,利用SSL加密技术保证数据传输的安全性。同 PPTP 和 L2TP/IPSec 使用复杂的端口相比,HTTPS 协议仅仅使用443端口,因此无需在防火墙执行复杂的配置。利用SSTP VPN服务区,可以很好的保证客户端的安全连接。一般步骤为:启用NAT端口映射功能;创建IKE v2VPN服务器;创建的证书模板;启用证书模板;申请认证证书。从上述文献可以得知,VPN服务器的构建一般以软件的方式,利用公共网络远程接入企业内部网络的VPN技术,既可以保证互联企业的网络安全,还比传统租用专线或长途拨号
16、的方法节省了大量费用,VPN技术的蓬勃发展已经成为不争的事实。参考文献1弋改珍,赵娟.VPN技术研究与应用实现J.福建电脑,2018,34(08):47-48+68.2周金龙.互联网金融时代商业银行的发展模式研究J.现代商贸工业,2019,40(13):115-116.3李乐翔,杨礼孟.VPN及IPSec技术的实现与校园应用J.计算机产品与流通,2019(04):212.4赵菁.IPSec VPN与SSL VPN比较与分析J.数字技术与应用,2017(10):183-184.5张国防,欧军,孙超.基于SSL VPN的手机银行安全接入研究J.网络安全技术与应用,2015(08):15+17.6黄骁.利用RouterOS搭建PPTP协议的VPN服务器J.网络安全和信息化,2019(02):64-69.7陈国耿.利用Windows Server 2003搭建VPN服务器J.医学信息,2008(05):599-601.8郭建伟.辨析VPN服务器创建策略J.网络安全和信息化,2018(12):90-94.
