基于PPTP協(xié)議和DES加密的VPN實(shí)現(xiàn)

吳謙 封旭

摘要：VPN是利用安全性較低的網(wǎng)絡(luò)進(jìn)行安全加密來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)連接，通過(guò)身份驗(yàn)證以后可以讓遠(yuǎn)程用戶更為安全地對(duì)服務(wù)器進(jìn)行訪問(wèn)。本文對(duì)基于Internet的VPN組建方案、利用第二層隧道技術(shù)、IPSec解決方案的優(yōu)缺點(diǎn)進(jìn)行分析，并對(duì)利用DES算法、VPN路由選擇和整合方案等方面進(jìn)行研究，提出了適合短期開(kāi)發(fā)的VPN實(shí)現(xiàn)方案，可供相關(guān)人員參考。

關(guān)鍵詞：VPN;PPTP協(xié)議;DES加密技術(shù)

1、引言

傳統(tǒng)的互聯(lián)網(wǎng)接入方式，只能為用戶提供網(wǎng)頁(yè)瀏覽和電子郵件等方面的網(wǎng)絡(luò)服務(wù)，沒(méi)有建立起有效的機(jī)制來(lái)保證用戶信息安全，也無(wú)法滿足用戶對(duì)網(wǎng)絡(luò)功能多樣化的要求。同時(shí)，隨著企業(yè)規(guī)模的不斷變大，需要建立起內(nèi)部網(wǎng)絡(luò)來(lái)為企業(yè)生產(chǎn)經(jīng)營(yíng)提供服務(wù)，但建立起LAN或利用專線構(gòu)建VAN方式已經(jīng)無(wú)法滿足當(dāng)前用戶的使用要求，VPN技術(shù)可以更好地解決該問(wèn)題。

2、VPN的若干組建方案

2.1 基于Internet的VPN組建方案

以互聯(lián)網(wǎng)作為基礎(chǔ)條件來(lái)組建起企業(yè)VPN，可以將每個(gè)網(wǎng)段和每位遠(yuǎn)程用戶接入到互聯(lián)網(wǎng)中，用戶可利用Modem裝置，再經(jīng)過(guò)公共網(wǎng)或拔號(hào)連接到本地NAS，從而實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。企業(yè)分部機(jī)構(gòu)網(wǎng)段可以利用路由器和專線結(jié)合方式來(lái)實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接，企業(yè)總部網(wǎng)絡(luò)區(qū)段為VPN中心系統(tǒng)，可通過(guò)路由器來(lái)實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接。

2.2 利用第二層隧道技術(shù)

VPN多采用第二層隧道技術(shù)來(lái)進(jìn)行構(gòu)建，是一種先進(jìn)的封裝技術(shù)，應(yīng)用網(wǎng)絡(luò)信息傳輸協(xié)議把數(shù)據(jù)信息封裝到報(bào)文內(nèi)容中，可以在網(wǎng)絡(luò)層面中實(shí)現(xiàn)進(jìn)行數(shù)據(jù)傳輸，該技術(shù)將數(shù)據(jù)鏈路層數(shù)據(jù)信息完全封裝在報(bào)文內(nèi)容中，從而創(chuàng)建出IP報(bào)文，可為互聯(lián)網(wǎng)中進(jìn)行數(shù)據(jù)交互提供便利，其中以PPTP協(xié)議及L2F協(xié)議應(yīng)用的比較成熟。PPTP協(xié)議可應(yīng)用到隧道技術(shù)中，可以為組建VPN隧道提供良好的技術(shù)支持，該協(xié)議以PPP協(xié)議作為開(kāi)發(fā)的前提條件，將用戶數(shù)據(jù)幀以GRT作為基礎(chǔ)來(lái)封裝生成IP報(bào)文，應(yīng)用隧道技術(shù)來(lái)進(jìn)行數(shù)據(jù)傳輸。L2F協(xié)議也是一種隧道傳協(xié)議，可以為用戶提供虛擬拔號(hào)服務(wù)，還可以更好地兼容LAN-LAN。L2TP協(xié)議融合了PPTP和L2F協(xié)議的優(yōu)點(diǎn)，可以支持多種類型的VPN連接。雖然隧道協(xié)議有著較高的適用性，但不具備很好的擴(kuò)展性能，也沒(méi)建立起有效的安全機(jī)制，無(wú)法達(dá)到會(huì)話保密的要求，企業(yè)利用該技術(shù)實(shí)現(xiàn)組網(wǎng)存在著較大的安全風(fēng)險(xiǎn)。

2.3 IPSec解決方案

應(yīng)用TCP/IP協(xié)議建立起的網(wǎng)絡(luò)體系中，IP層可以為客戶數(shù)據(jù)安全提供有效的保障措施，因?yàn)樵搶邮菂f(xié)議體系的中間節(jié)點(diǎn)，可以獲取到高層級(jí)發(fā)送過(guò)來(lái)的報(bào)文，也可以得到低層級(jí)的報(bào)文信息。從該層級(jí)的定義來(lái)看，該層安全保障與低層級(jí)傳輸協(xié)議沒(méi)有直接聯(lián)系，但對(duì)高層級(jí)傳輸協(xié)議和進(jìn)程是完全透明。很多網(wǎng)絡(luò)應(yīng)用都可以獲取到從IP層創(chuàng)建的安全服務(wù)，隨著安全協(xié)議標(biāo)準(zhǔn)IPSec的推廣應(yīng)用，可為用戶提供更優(yōu)質(zhì)的IP層安全服務(wù)，很多硬件已經(jīng)完全支持IPSec協(xié)議，可以為構(gòu)建VPN提供解決辦法。

3、適合短期開(kāi)發(fā)的VPN實(shí)現(xiàn)方案

3.1 DES算法

該算法最早由IBM公司研發(fā)出來(lái)，利用56位密鑰來(lái)對(duì)64位數(shù)據(jù)進(jìn)行加密處理，可以實(shí)現(xiàn)16輪的編碼，在每輪編碼過(guò)程中，利用56位密鑰將每輪48位密鑰值進(jìn)行求解，采用軟件進(jìn)行解碼操作要求耗費(fèi)較長(zhǎng)的時(shí)間，但利用硬件解碼則會(huì)獲得更高的解碼效率。當(dāng)前，很多黑客沒(méi)有制造硬件的能力，是一種公認(rèn)的安全加密處理辦法。

在局域網(wǎng)條件下，采用10MB/s的網(wǎng)卡進(jìn)行測(cè)試，在VC環(huán)境下利用SOCKET來(lái)進(jìn)行編程，建立起C/S數(shù)據(jù)傳輸模式，在應(yīng)用客戶端中對(duì)數(shù)據(jù)信息加密，再將處理后的信息傳輸?shù)椒?wù)器端進(jìn)行接入處理，對(duì)數(shù)據(jù)信息進(jìn)行解密以后再回復(fù)給客戶端。從測(cè)試效果來(lái)看，在傳送8096Byte數(shù)據(jù)時(shí)傳輸速度為404000Bytes/s，最高達(dá)到809000Bytes/s。數(shù)據(jù)傳輸速度取決于網(wǎng)絡(luò)性能和網(wǎng)關(guān)的速度，與加密算法產(chǎn)生的消耗沒(méi)有太大的聯(lián)系，利用DES算法對(duì)數(shù)據(jù)信息進(jìn)行加密是完全可行的。

3.2 VPN路由選擇

采用Client Sevver實(shí)現(xiàn)方式，網(wǎng)關(guān)可以用作VPN的客戶端和服務(wù)端，需要在網(wǎng)關(guān)中明確路由表項(xiàng)，確定局域網(wǎng)到對(duì)方局域網(wǎng)的路由，例如，本地局域網(wǎng)與接收方局域網(wǎng)區(qū)段為不同的區(qū)段，添加路由表項(xiàng)以后，對(duì)方局域網(wǎng)段數(shù)據(jù)請(qǐng)求會(huì)經(jīng)過(guò)PPP0接口，所以，PPTP協(xié)議可以利用該原理來(lái)實(shí)現(xiàn)。每完成一個(gè)會(huì)話，VPN客戶端和服務(wù)端就分別對(duì)各自字符進(jìn)行綁定，然后在字符設(shè)備中應(yīng)用PPPD Daemon。輸入到PPP0的數(shù)據(jù)信息需要通過(guò)PPPD進(jìn)行處理后轉(zhuǎn)變成PPP包，在VPN客戶端和服務(wù)端來(lái)傳遞PPP數(shù)據(jù)，VPN數(shù)據(jù)信息的加密需要在該層次中實(shí)現(xiàn)。

VPN的實(shí)現(xiàn)，也就是利用PPTP對(duì)PPP數(shù)據(jù)包進(jìn)行包裝和解包，如果有數(shù)據(jù)請(qǐng)求，路由就會(huì)把請(qǐng)求數(shù)據(jù)轉(zhuǎn)變成PPP包，然后將數(shù)據(jù)包發(fā)送到PPP0中。PPTP用于監(jiān)聽(tīng)、封裝、發(fā)送數(shù)據(jù)包，先對(duì)包內(nèi)的PPP數(shù)據(jù)處理再加入GRE及PPTP數(shù)據(jù)頭，然后再發(fā)送出PPP數(shù)據(jù)包。PPTP服務(wù)器端源代碼是由pptpd和 pptpctrl執(zhí)行文件構(gòu)成，主函數(shù)先進(jìn)行編譯形成相應(yīng)外部命令，并把參數(shù)進(jìn)行分類處理。Pptpctrl.c則應(yīng)用AFUNIX內(nèi)置的socket實(shí)現(xiàn)與pptpd數(shù)據(jù)通信。PPTP客戶端源代碼，先利用get ip address指令從配置文件中提取出服務(wù)器的地址，可以為提供給進(jìn)程來(lái)使用，進(jìn)行初始化操作并打開(kāi)數(shù)據(jù)連接，父進(jìn)程會(huì)打開(kāi)pppd，子進(jìn)程會(huì)采用創(chuàng)建好的socket實(shí)現(xiàn)與服務(wù)器的PIDS交換。

3.3 整合方案

數(shù)據(jù)加密可以應(yīng)用64位的DES加密處理算法，該算法不需要增加數(shù)據(jù)長(zhǎng)度，可以很方便將模塊置于系統(tǒng)當(dāng)中，有利于對(duì)數(shù)據(jù)傳輸進(jìn)行有效控制。采用模塊方法對(duì)VPN系統(tǒng)進(jìn)行整合，把DES算法作為數(shù)據(jù)處理模塊，先對(duì)數(shù)據(jù)包處理后再進(jìn)行傳輸，利用客戶端和服務(wù)器端定時(shí)傳輸報(bào)文來(lái)保持聯(lián)系，可以更好地提高系統(tǒng)的穩(wěn)定性。

4、結(jié)束語(yǔ)

VPN網(wǎng)絡(luò)技術(shù)把互聯(lián)網(wǎng)作為商業(yè)工具，可以為互聯(lián)網(wǎng)應(yīng)用帶來(lái)很好的使用前景。從多種方案對(duì)比分析中可以看出，IPSec應(yīng)用到VPN解決方案，可充分發(fā)揮出互聯(lián)網(wǎng)的可用性，從保證系統(tǒng)穩(wěn)定性和使用功能進(jìn)行考慮，該技術(shù)可以在短時(shí)間內(nèi)構(gòu)建立起VPN系統(tǒng)。

參考文獻(xiàn)

[1]曾鐵亮.RouterOS搭建PPTP協(xié)議的VPN服務(wù)器[J].電腦編程技巧與維護(hù)，2019（08）：165-167.

[2]熊學(xué)鋒，王良之，榮功立，王云飛，曹鑫，羅蘭溪，彭小慶.基于VPN的網(wǎng)絡(luò)安全技術(shù)研究[J].電子世界，2017（19）：192+195.

[3]吳秀陽(yáng). 基于MPLS VPN的VPDN網(wǎng)絡(luò)技術(shù)的應(yīng)用[D].山東大學(xué)，2015.

[4]倪潔，徐志偉，李鴻志. PPTP VPN與L2TP/IPSec VPN的實(shí)現(xiàn)與安全測(cè)試[J]. 電子技術(shù)與軟件工程，2019（12）：192.

作者簡(jiǎn)介：吳謙（1981-），男，廣西柳州市人，柳州城市職業(yè)學(xué)院教師，研究方向：計(jì)算機(jī)課程教學(xué)，學(xué)生思想教育。