基于PPTP協議和DES加密的VPN實現

吳謙 封旭

摘要：VPN是利用安全性較低的網絡進行安全加密來實現網絡連接，通過身份驗證以后可以讓遠程用戶更為安全地對服務器進行訪問。本文對基于Internet的VPN組建方案、利用第二層隧道技術、IPSec解決方案的優缺點進行分析，并對利用DES算法、VPN路由選擇和整合方案等方面進行研究，提出了適合短期開發的VPN實現方案，可供相關人員參考。

關鍵詞：VPN;PPTP協議;DES加密技術

1、引言

傳統的互聯網接入方式，只能為用戶提供網頁瀏覽和電子郵件等方面的網絡服務，沒有建立起有效的機制來保證用戶信息安全，也無法滿足用戶對網絡功能多樣化的要求。同時，隨著企業規模的不斷變大，需要建立起內部網絡來為企業生產經營提供服務，但建立起LAN或利用專線構建VAN方式已經無法滿足當前用戶的使用要求，VPN技術可以更好地解決該問題。

2、VPN的若干組建方案

2.1 基于Internet的VPN組建方案

以互聯網作為基礎條件來組建起企業VPN，可以將每個網段和每位遠程用戶接入到互聯網中，用戶可利用Modem裝置，再經過公共網或拔號連接到本地NAS，從而實現與互聯網的連接。企業分部機構網段可以利用路由器和專線結合方式來實現與互聯網的連接，企業總部網絡區段為VPN中心系統，可通過路由器來實現與互聯網的連接。

2.2 利用第二層隧道技術

VPN多采用第二層隧道技術來進行構建，是一種先進的封裝技術，應用網絡信息傳輸協議把數據信息封裝到報文內容中，可以在網絡層面中實現進行數據傳輸，該技術將數據鏈路層數據信息完全封裝在報文內容中，從而創建出IP報文，可為互聯網中進行數據交互提供便利，其中以PPTP協議及L2F協議應用的比較成熟。PPTP協議可應用到隧道技術中，可以為組建VPN隧道提供良好的技術支持，該協議以PPP協議作為開發的前提條件，將用戶數據幀以GRT作為基礎來封裝生成IP報文，應用隧道技術來進行數據傳輸。L2F協議也是一種隧道傳協議，可以為用戶提供虛擬拔號服務，還可以更好地兼容LAN-LAN。L2TP協議融合了PPTP和L2F協議的優點，可以支持多種類型的VPN連接。雖然隧道協議有著較高的適用性，但不具備很好的擴展性能，也沒建立起有效的安全機制，無法達到會話保密的要求，企業利用該技術實現組網存在著較大的安全風險。

2.3 IPSec解決方案

應用TCP/IP協議建立起的網絡體系中，IP層可以為客戶數據安全提供有效的保障措施，因為該層是協議體系的中間節點，可以獲取到高層級發送過來的報文，也可以得到低層級的報文信息。從該層級的定義來看，該層安全保障與低層級傳輸協議沒有直接聯系，但對高層級傳輸協議和進程是完全透明。很多網絡應用都可以獲取到從IP層創建的安全服務，隨著安全協議標準IPSec的推廣應用，可為用戶提供更優質的IP層安全服務，很多硬件已經完全支持IPSec協議，可以為構建VPN提供解決辦法。

3、適合短期開發的VPN實現方案

3.1 DES算法

該算法最早由IBM公司研發出來，利用56位密鑰來對64位數據進行加密處理，可以實現16輪的編碼，在每輪編碼過程中，利用56位密鑰將每輪48位密鑰值進行求解，采用軟件進行解碼操作要求耗費較長的時間，但利用硬件解碼則會獲得更高的解碼效率。當前，很多黑客沒有制造硬件的能力，是一種公認的安全加密處理辦法。

在局域網條件下，采用10MB/s的網卡進行測試，在VC環境下利用SOCKET來進行編程，建立起C/S數據傳輸模式，在應用客戶端中對數據信息加密，再將處理后的信息傳輸到服務器端進行接入處理，對數據信息進行解密以后再回復給客戶端。從測試效果來看，在傳送8096Byte數據時傳輸速度為404000Bytes/s，最高達到809000Bytes/s。數據傳輸速度取決于網絡性能和網關的速度，與加密算法產生的消耗沒有太大的聯系，利用DES算法對數據信息進行加密是完全可行的。

3.2 VPN路由選擇

采用Client Sevver實現方式，網關可以用作VPN的客戶端和服務端，需要在網關中明確路由表項，確定局域網到對方局域網的路由，例如，本地局域網與接收方局域網區段為不同的區段，添加路由表項以后，對方局域網段數據請求會經過PPP0接口，所以，PPTP協議可以利用該原理來實現。每完成一個會話，VPN客戶端和服務端就分別對各自字符進行綁定，然后在字符設備中應用PPPD Daemon。輸入到PPP0的數據信息需要通過PPPD進行處理后轉變成PPP包，在VPN客戶端和服務端來傳遞PPP數據，VPN數據信息的加密需要在該層次中實現。

VPN的實現，也就是利用PPTP對PPP數據包進行包裝和解包，如果有數據請求，路由就會把請求數據轉變成PPP包，然后將數據包發送到PPP0中。PPTP用于監聽、封裝、發送數據包，先對包內的PPP數據處理再加入GRE及PPTP數據頭，然后再發送出PPP數據包。PPTP服務器端源代碼是由pptpd和 pptpctrl執行文件構成，主函數先進行編譯形成相應外部命令，并把參數進行分類處理。Pptpctrl.c則應用AFUNIX內置的socket實現與pptpd數據通信。PPTP客戶端源代碼，先利用get ip address指令從配置文件中提取出服務器的地址，可以為提供給進程來使用，進行初始化操作并打開數據連接，父進程會打開pppd，子進程會采用創建好的socket實現與服務器的PIDS交換。

3.3 整合方案

數據加密可以應用64位的DES加密處理算法，該算法不需要增加數據長度，可以很方便將模塊置于系統當中，有利于對數據傳輸進行有效控制。采用模塊方法對VPN系統進行整合，把DES算法作為數據處理模塊，先對數據包處理后再進行傳輸，利用客戶端和服務器端定時傳輸報文來保持聯系，可以更好地提高系統的穩定性。

4、結束語

VPN網絡技術把互聯網作為商業工具，可以為互聯網應用帶來很好的使用前景。從多種方案對比分析中可以看出，IPSec應用到VPN解決方案，可充分發揮出互聯網的可用性，從保證系統穩定性和使用功能進行考慮，該技術可以在短時間內構建立起VPN系統。

參考文獻

[1]曾鐵亮.RouterOS搭建PPTP協議的VPN服務器[J].電腦編程技巧與維護，2019（08）：165-167.

[2]熊學鋒，王良之，榮功立，王云飛，曹鑫，羅蘭溪，彭小慶.基于VPN的網絡安全技術研究[J].電子世界，2017（19）：192+195.

[3]吳秀陽. 基于MPLS VPN的VPDN網絡技術的應用[D].山東大學，2015.

[4]倪潔，徐志偉，李鴻志. PPTP VPN與L2TP/IPSec VPN的實現與安全測試[J]. 電子技術與軟件工程，2019（12）：192.

作者簡介：吳謙（1981-），男，廣西柳州市人，柳州城市職業學院教師，研究方向：計算機課程教學，學生思想教育。