文/倪洁 徐志伟 李鸿志

PPTP VPN 微软推出的第一个VPN 协议，支持数据加密。但是安全级别较低，本文测试一下PPTP来实现物联网传输层数据是否安全。PPTP 安全性相比之L2TP、IPSec 来说安全级别比较低。数据安全性低。

1 软件 PPTP VPN实现与测试

1.1 PPTP VPN实现框架设计

PPTP VPN 的实现我们使用两台电脑来实现，一台电脑装有Windows sever2003，在这台电脑上配置，把这台电脑配置成VPN 服务器，提供给远程主机接入，协商机密机制。在Windows sever2003 上配置好服务器和远程访问路由器，在Windows XP 上配置好VPN 连接客户端。设置好密码，在VPN 客户端上就可以登录了。

1.2 PPTP 配置实现与测试

PPTP VPN 在两台电脑上进行配置，在Windows sever2003 上把它配置成一台服务器和远程路由器，把Windows XP 电脑上配置客户端，在Windows sever2003 上配置好PPTP协议，用户账号密码，就可以进行测试了。测试在客户端上建立连接，然后通过wireshark软件进行抓包测试。PPP 包，数据进行了加密处理，这儿抓包软件抓包数据部分是乱码，和前面测试的硬件VPN 不同，这的数据是加密了的，GRE 包如图1所示。

2 软件 L2TP/IPSec VPN实现与测试

图1：GRE 包

图2：ESP 加密数据

L2TP/IPSec VPN 实现采用一台Windows sever2003 和 一 台Windows XP 来 实 现，Windows sever2003 作为服务器Windows XP 作为远程接入客户端。来连接Windows sever2003 服务器。由于L2TP/IPSec VPN 安全性好，所以用来解决物联网传输层安全问题比较好。

2.1 L2TP/IPSec VPN实现整体框架设计

实验框架和PPTP 框架一样，都是采用两台电脑来模拟VPN 服务器和VPN 客户端。L2TP/IPSec VPN 的实现我们使用两台电脑来实现，一台电脑装有Windows sever2003，在这台电脑上配置，把这台电脑配置成VPN 服务器，提供给远程主机接入，协商机密机制。在Windows sever2003 上配置好服务器和远程访问路由器，在Windows XP 上配置好VPN连接客户端。设置好密码，在VPN 客户端上就可以登录了。

2.2 L2TP/IPSec VPN配置实现与测试

L2TP/IPSec VPN在两台电脑上进行配置，在Windows sever2003 上把它配置成一台服务器和远程路由器，把windows xp 电脑上配置客户端，在Windows sever2003 上配置好PPTP协议，用户账号密码，就可以进行测试了。测试在客户端上建立连接，然后通过wireshark软件进行抓包测试。

IKE 1 阶段，主模式（Main Mode）第一、二次协商加密算法、hash 算法、认证方法、DH 组的选择。加密算法：3DES-CBC。hash算法：SHA。认证方式：psk。

IKE 1 阶段，第三、四次DH 交换，IKE 1 阶段第五、第六次，对通信实体和通信信道进行认证，数据已经被加密，IPSec 建立过程ISAKMP（quick mode）

第二阶段协商为数据提供保护的SA。协商IPSec 提议，交换新的临时值，交换ID 信息，交换hash 值进行认证，IPSec 建立后发送ESP加密数据包，加密数据如图2所示。

ESP SPI 固定不变，ESP Sequence 这个序号不断变化，为了抗重播，防止数据被截获，然后又伪造发送给客户端或者服务端，这样每条数据包有一个唯一的ESP Sequence,安全性提升，可以防重播。抓包是ESP 包，数据被进行加密。保证了数据的安全性。

3 结论

本文主要是对VPN 物联网传输层进行安全测试，主要测试了PPTP、L2TP/IPsec VPN。并且采用了软件VPN 来实现不同的方案，软件VPN 本文采用Windows sever2003系统来搭建，测试可以清晰看到加密数据包，整个IPsec 建立过程，数据包的加密类型也很直观看到，分析非常方便。可以用此技术来保证物联网数据安全性，数据安全、隐私得到保护，不容易被破解。