对于VPN安全技术研究报告.docx
- 文档编号:16676127
- 上传时间:2023-07-16
- 格式:DOCX
- 页数:11
- 大小:56.55KB
对于VPN安全技术研究报告.docx
《对于VPN安全技术研究报告.docx》由会员分享,可在线阅读,更多相关《对于VPN安全技术研究报告.docx(11页珍藏版)》请在冰点文库上搜索。
对于VPN安全技术研究报告
海南大学信息科学技术学院
CollegeofInformationScience&Technology•HainanUniversity
2018-2018第二学期
服务器架构实验课程论文
《对于VPN安全技术的研究》
姓名:
王炳焜邹蜀荣
学号:
2018161631001220181616310028
专业:
11级信息安全
对于VPN安全技术的研究
摘要:
VPN全称为VirtualPrivateNetwork,即虚拟专用网络。
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络,为用户提供一个可靠安全的网络连接,保证了传输数据的安全。
关键字:
VPN安全技术
正文:
虚拟专用网 通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。 同时,这将简化网络的设计和管理,加速连接新的用户和网站。 另外,虚拟专用网还可以保护现有的网络投资。 随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。 虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 一、VPN的定义 现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢? VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。 顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。 虚拟专用网指的是依靠ISP 在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 IETF草案理解基于IP的VPN为: "使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。 所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。 我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。 它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。 这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。 VPN是基于公网,利用隧道加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。 用户在电信部门租用的帧中继 如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。 更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。 而在Internet上,VPN使用者可以控制自己与其它使用者的联系,同时支持拨号的用户。 所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路 二、VPN工作原理 VPN是将两个不同的外网内的终端机器<包括所有带网卡的设备),连接成一个局域网络。 VPN中通信双方,在通信之前建立一个“隧道”,类似于直接拨号连接中建立的专用数据传输链路,专门来传输VPN两端通信的数据,不允许其他未授权用户访问,也不允许其他未授权使用该隧道进行数据的传输。 VPN原理拓扑图如图1。 一般来说两台具有独立IP并连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。 但是位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。 VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。 私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。 这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。 由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。 而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。 这些设备和相关的设备和协议组成了一个VPN系统。 一个完整的VPN系统一般包括以下三个单元: (1)VPN服务器端。 一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。 VPN服务器端操作系统可以是WinNT4.0/Win2000/WinXP/Win2003;相关组件为系统自带;要求VPN服务器已经连入Internet,并且拥有一个独立的公网IP。 (二>VPN客户端。 一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。 VPN客户机端操作系统可以是Win98/WinNT4.0/Win2000/WinXP/Win2003;相关组件为系统自带;要求VPN客户机已经连入Internet。 (3)VPN数据通道。 一条建立在公用网络上的数据连接。 其实,所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。 三、VPN技术的特点和具体功能 <一)VPN的特点 1、安全保障 VPN采用数据加密、身份验证等技术保证通过公用网络传输数据的专用性和安全性,确保VPN上传输的数据不被攻击者窥视和篡改,防止非法用户对于私用网络的网络资源和信息的访问,安全系数强。 2、服务质量保证 VPN可以为不同的用户提供不同级别的服务质量保证。 VPN采用的服务质量保证通过流量预测和流量控制策略,按照优先级分级实现带宽管理,使得各类数据合理安全的先后发送,病预防阻塞的发生,合理高效的利用带宽。 3、可扩充性和灵活性 VPN使用ISP和运营商的Internet基础设施,支持通过Internet和Extranet的任何类型的数据流。 使用VPN的单位或企业可以轻松地添加新用户,同时不受单位或企业的规模限制,无需大规模添置基础设施即可大幅度扩充容量。 4、可管理性 无论是从用户角度还是从运营商角度来说,都可方便地进行管理、维护。 VPN管理的目标为: 减小网络风险、具有高扩展性、经济性、高可靠性等优点。 事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、服务质量保证管理等内容。 <二)VPN的功能 在网络中,服务质量 将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。 信息包分类和带宽管理是两种可以实现控制的方法。 1、信息包分类 信息包分类按重要性将数据分组。 数据越重要,它的级别越高。 当然,它的操作也会优先于同网络中相对次要的数据。 2、带宽管理 通过带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。 其他的带宽控制形式还有: <1)通信量管理 通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。 大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。 <2)公平带宽 公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。 通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。 <3)传输保证 传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。 它判断哪个服务有更高的优先权并分配相应带宽。 四、VPN中采用的安全技术 VPN主要采用四项安全保证技术: 隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 1、隧道技术 隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。 使用隧道传递的数据可以是使用不同协议封装的数据包,隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。 新的包头提供了路由信息,从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输E3J。 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 一旦到达网络终点,数据将被解包并转发到最终目的地。 隧道使用三种协议: 封装协议: 信息传输时使用的协议 承载协议: 信息传输时使用的协议<帧中继、ATM和MPLS)。 乘客协议: 传输原始数据的协议 2、加解密技术 加密就是对信息重新进行编码,隐藏信息内容,使非法用户无法获得信息的真实内容。 信息被称为明文。 隐藏信息的过程称为加密。 加密后出现的信息称为密文。 由密文恢复原文的过程称为解密。 密码算法就是用于加密和解密的数学函数。 常见的VPN加密算法有: 数据加密标准(DES>算法: DES是由IBM开发的一种算法,它使用56位密钥来确保高性能加密,DES是一种对称密钥加密系统。 三重DES(3DES>算法: 种较新的DES变体,该算法使用一个密钥加密,再用一个不同的密钥解密,最后用另一个密钥再加密一次。 3DES显著提高了加密的力度。 高级加密标准(AES>: 美国国家标准和技术研究所(NIST>采用AES来替代加密设备目前采用的DES加密。 AES提供比DES更高的安全性,在计算方面比3DES更有效率。 AES提供以下三种不同的密钥长度: 128位、192位和256位。 Rivest、Shamir与Adleman(RSA>: 一种非对称密钥加密系统,密钥长度为512位、768位、1024位或更长。 3、密钥管理技术 密钥管理技术的主要实现在公用数据网上安全地传输密钥。 现行密钥管理技术有ISAKMP/OAKLEY两种。 SKIP主要是利用Difie-Hellman的演算法则传输密钥;在ISAKMP中,双方都有两把密钥,分别为公钥和私钥。 4、使用者与设备身份认证技术 使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。 VPN客户端请求进行通信时,必须通过VPN隧道另一端的设备身份验证,才能认为通信路径是安全的,从而进行通过信。 。 有以下两种对等身份验证方法: 预共享密钥(PSK>: 一种在需要使用之前在使用某个安全通道的双方之间共享的密钥。 PSK使用对称密钥加密算法,它以手动方式输入到每个对等点中,用于验证对等点的身份。 在每一端,PSK都与其它信息合并以形成身份验证密钥。 RSA特征码: 利用数字证书交换来验证对等点身份。 本地设备取得哈希值并用其私钥将其加密,加密的哈希值<数字签名)附加在消息上,并转发到远程端。 在远程端,使用本地端的公钥将加密的哈希值解密,如果解密的哈希值与重新计算得到的哈希值相同,则表明签名是真实的。 五、VPN的分类和实现方式 <一)VPN的分类 根据不同的划分标准,VPN可以按几个标准进行分类划分 1、按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。 L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。 2、按VPN的应用分类: <1)AccessVPN<远程接入VPN): 客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量; <2)IntranetVPN<内联网VPN): 网关到网关,通过公司的网络架构连接来自同公司的资源; <3)ExtranetVPN<外联网VPN): 与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接; 3、按所用的设备类型进行分类: 网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙 <1)路由器式VPN: 路由器式VPN部署较容易,只要在路由器上添加VPN服务即可; <2)交换机式VPN: 主要应用于连接用户较少的VPN网络; <3)防火墙式VPN: 防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。 <二)VPN的实现方式 VPN的实现有很多种方法,常用的有以下四种: <1)VPN服务器,在大型局域网中,可以在网络中心通过搭建VPN服务器的方法来实现。 <2)软件VPN,可以通过专用的软件来实现VPN。 <3)硬件VPN,可以通过专用的硬件来实现VPN。 <4)集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。 六、VPN的优点和缺点 1、VPN的优点 <1)VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络>连接到企业网络。 此外,高速宽带网连接提供一种成本效率高的连接远程办公室的方法。 <2)设计良好的宽带VPN是模块化的和可升级的。 这种技术能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。 这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。 <3)VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。 2、VPN的缺点 <1)企业不能直接控制基于互联网的VPN的可靠性和性能。 机构必须依靠提供VPN的互联网服务提供商保证服务的运行。 这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。 <2)企业创建和部署VPN线路并不容易。 这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。 因此,选择互联网服务提供商负责运行VPN的大多数事情是一个好主意。 <3)不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。 因此,混合使用不同厂商的产品可能会出现技术问题。 另一方面,使用一家供应商的设备可能会提高成本。 <4)当使用无线设备时,VPN有安全风险。 在接入点之间漫游特别容易出问题。 当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。 幸运的是有一些能够解决这个缺陷的第三方解决方案。 七、VPN的应用 VPN可以有三大应用,分别为直接远程访问 (一>远程访问VPN: 主要是连接移动用户 这是VPN最广泛的一个应用。 例如,学校内部的各种资源<校内电子邮件、图书馆资料、数据库、网上教案、网上选课、视频点播),校园网的用户可以从任何地方<家庭、旅店、会场、国内外)以任何形式<拨号、ADSL、ISDN、小区宽带网等)连接到Internet后,就像在校内一样访问校内各种资源,而资源的管理者也可以通过VPN下的远程桌面控制功能,随时随地都能安全的对校内资源进行管理。 (二>IntranetVPN: 是利用互联网将大机构总部和有固定地点的分机构加以连接,成为一个总体网络。 这对于公司来说是以最低的成本来得到最高的收益的一个很好的途径。 有了IntranetVPN,公司就可以通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以实现公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。 (三>ExtranetVPN: 则是将IntranetVPN的连接再扩展到机构的合作伙伴,如供货商及客户<或是相关联的部门),以达到彼此信息共享的目的。 八、VPN的发展趋势 VPN主要依托隧道技术来实现,而隧道技术主基于IPSec。 IPSec协议位于网络层,它保护通信双方传递的所有数据。 第1次使用IPSec-VPN之前,在客户端和服务器端都要手动配置一些较复杂的网络参数和策略。 这些配置工作对于客户端的非专业人员显得过于困难,即使一般技术人员,如果不清楚各项具体参数也无法正确配置,只有相应VPN的管理员才能完成这些。 IPSec.VPN在通过,IPSec.VPN在通过复合网络(比如既有以太网ATM>时,通过多个不同的ISP供应商时,甚至通过防火墙时,都有可能出现问题。 这主要是由于在网络层对包括IP地址的数据进行认证和加密,可能会造成NAT系统进行内部保留网络地址和Internet地址转换是出错。 与IPSec不同的是,SSL.VPN无需任何特殊客户端软件,也无需进行任何手动配置,仅需要一个Web浏览器,比如常见的Internet Explorer或者Netscape Navigator都可以。 用户只要给出用户名、密码和SSL网关的URL,就可实现与远程服务器的无缝连接。 SSL的会话传输是基于应用层的,所以它在通过复合网络、不同ISP供应商和防火墙时不会有什么问题。 因此,SSL对于拥有移动用户或者大量商业伙伴,需要更便捷、更快速的远程访问的公司和集体,是非常适用的。 尽管IPSec有缺陷,SSL可以弥补IPSec的不足,但是SSL也不是完美无缺的,如何把两者的长处结合起来,扬长避短,尽可能地减少存在的不足之处,将会是未来VPN技术发展技术的一个很好方向。 参考文献: [1]张恒军. SSL VPN和IPSec VPN综合分析[J].信息系统工程,2009,11,121. [2]王峥.VPN安全技术方案浅析[J].重庆科技学院学报<自然科学版),2007: 1673-1980<2007)02-0073-03. [3]张忠玉.VPN技术综述及应用[J].科技资讯,2007: 1672-3791<2007)09 [4]过林吉,沈浅.VPN隧道协议的研究与探讨,2018: 1009-3-44<2018)03-609-02.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 对于 VPN 安全技术 研究 报告