（管理科学与工程专业论文）ipsec+vpn和bgpmpls+vpn技术的比较研究.pdf

独创声明 y 6 8 4 3 3 3 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得 ( 注：如没有其他需要特别声明的，本栏可空) 或其他教育机构的学 位或证书使用过的材料。与我一同工作的同志对本研究所做的任何贡 献均巳在论文中作了明确的说明并表示谢意。 学位论文作者签名 丑毒贞 导师签字= 孓丢弘 签字日期：2 0 0 4 年，月2 4 习 签字日期：2 0 0 4 年，月z 乒日 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 摘要 现在因特网已经发展成为公司和个人的重要通信手段，越来越多的分支 机构、移动办公人员，也使- 企, l k x 寸网络的需求越来越高。企业所面临的挑 战是既要充分利用这种发展，又要确保通信受到保护，同时还要使用企业 所需要的高级管理服务。为了满足用户需求，随着i p 技术的不断发展和成 熟，于是诞生了i pv p n 业务。 i pv p n 是一种新兴的i p 业务，它能够使用现有的公共i p 网络为企业或特 定用户建立虚拟的专用网络，节省用户的组网与维护成本，正受到越来越 多的关注。组建i pv p n ，使得企业可以较少的关注网络的运行和维护，但 却能够高效的使用网络，更致力于企业核心目标的实现；同时可以让运营 商可以更好的利用网络资源，获得增值收益。利用i p s e c 、m p l s 组建i pv p n 正在成为两种主流技术。 i p s e c 是一系列开放的i p 安全标准，为通过i p 网络的私有通信提供引入 安全保证，并为数据源提供身份验证、数据完整性检查以及机密性保证机 制。i p s e cv p n 应用封装和加密技术，可以实现地理上不相邻的主机之间的 数据安全传输。i p s e cv p n 可以通过i p 基本设施实现远程访问和分支机构之 间的安全连接，在公司和中小型企业的应用不断增加。 船l s 的原理是网络中肝l s 路由器利用数据包自身携带的标签信息来对数 据进行转发， 船l sv p n 希h 用v p n 网络标识符以及l s p 隧道来实l 见 蜊s 范围内 的虚拟专用网。它不仅可以减少路由器寻路的时间，而且能够实现资源预 留，保证制定v p n j 宙道的服务质量。 b g p 即l sv p n 年h i p s e cv p n 有各自的优点，i p s e cv p n 具有良好的完整| 生 和机密| 生，b g p 胛l sv p n 在可扩展| 生及可用性方面具有优势，二者都可以 满足端到端的应用。但是有些应用要求v p n 在全网具有q o s 保证，同时企业 的数据在公共网络上传输时必须是加密的，这样就应该将b g p 咿l sv p n 并h i p s e cv p n 才n 结合，满足不同应用的需求。 本文所做的研究工作如下： i p s e cv p n 和b g p m p l sv p n 技术的比较研究 1 、深入研究了两种主流的v p n 技术的工作原理和实现柳制，对i p s e cv p n 以及肥l sv p n 实现部署和应用实例进行了详细的讨论，并对其安全| 生等特 点进行了对比研究。 2 、在对i p s e cv p 峤口，l sv p n 进行对比研究的基础上，进一步分析探讨 了将i p s e c 和肝l s 结合的集成i pv p n 解决方案，把i p s e c 和m p l s 的集成方案 归纳为三种，分析了不同方案的特点，设计了一个实用的集成方案，同时 对满足不同层次的组网方案的选择提出自己的观点。 关键字：i p s e cm p l s 虚拟专用网q o s 分类号：t p 3 9 3 0 8 1 p s e cv p n 和b g p m p l sv p n 技术的比较研究 t o d a yi n t e r n e th a sb e c o m ea ni m p o r t a n tm e a n sf o rc o m p a n i e sa n d i n d i v i d u a l st oc o n m u n i c a t ew i t h m o r ea n dm o r eb r a n c h e sa n dr e m o t e o f f i c i a l sm a d ee n t e r p r i s em o r er e q u i r e m e n t s f o rn e t w o r k t h e c h a l l e g e so fe n t e r p r i s ea r em a k i n gf u l l u s eo fs u c hs i t u a t i o na n d p r o t e c t i n gt h e i rc o m m u n i c a t i o nw h e nu s i n gs u p e rm a n a g e m e n ts e v i c e t h e yn e e d t h ep r o l i f e r a t i o no fi pt e c h n o l o g yh a sg i v e nb i r t ht o i p ) nt e c h n o l o g y i pv p ni san e ws e r v i c e ，w h i c hc a ne s t a b l i s hv i r t u a ln e t w o r k s f o re n t e r p r i s ea n dc l i e n tb yu t i l i z i n gt h ec o m f f d nn e t w o r k ，i t s a v e s n e tr e c o u r s ea n dm a k e si te a s yt om a i n t a i nt h en e t u s i n gi pv p n ， e n t e r p r i s ec a nu s et h en e t w o r km o r ee f f i c i e n ta n dm a k e m o r ee f f o r t t oi t sc o r eg o a li m p l e m e n t a t i o na sw e l la sp a yl e s sa t t e n t i o no n n e tr u n n i n ga n dm a i n t e n a n c e ， c a r r i e rc a nu s en e tr e c o u r s em o r e e f f i c i e n t l ya n do b t a i nv a l u ea d d e dp r o f i t s t w ot y p e so fm o d e r ni p v p n s 脚l sv p na n di p s e cv p n _ 一a r eb e c o m i n gm o r ea n dm o r ep o p u l a r i p s e c ( i ps e c u r i t y ) i sas e t o fo p e ns t a n d a r d st h a te n s u r e s s e c a r ea n dp r i v a t ec o m m u n i c a t i o n so v e ra ni pn e t w o r k ，t h ei p s e c s t a n d a r dp r o v i d e sd e v i c ea u t h e n t i c a t i o n ，d i g i t a lc e r t i f i c a t i o n ， a n dn e t w o r ke n c r y p t i o n i p s e cv p nu s ee n c r y p t i o na n de n c a p s u l a t i o n t e c h n o l o g y ， c a nt a n s f e rd a t as e c u r e l y o v e rh o s t s s e p a r a t e d p h y s i c a l l y ，a r ep r o l i f e r a t i n g t h r o u g h o u t t h e e n t e r p r i s e a n d m e d i u m _ s m a l lb u s i n e s ss p a c ed u et ot h ea b i l i t yt oc o n n e c tr e m o t e u s e r s ，d i s p a r a t eo f f i c e so v e ra ne x i s t i n gi p i n f r a s t r u c t u r e m p l si sp r o t o c o li n d e p e n d e n ta n da l l o w sf o rt h em a p p i n go fi p a d d r e s s e st om p l sl a b e l s ，w h i c ha r eu s e dt of o r w a r dp a c k e t st h r o u g h 4 i p s e cv p n 利b g p m p l sv p n 技术的比较研究 t h e 仲l sn e t w o r k b g p m p k sv p nu s er o u t ed i s t i n g u i s h e r ( r d ) a n dl s p t u n n e l st op r o v i d eav p nw i t h i nm p k sn e t w o r k b g p m p k sv p na l l o w s r o u t e r st or e d u c et h e i rp r o c e s s i n go v e r h e a da n dp r o v i d e dn e wt r a f f i c e n g i n e e r i n g a n d q u a l i t y o fs e r v i c e ( q o s ) s u c h a sr e s o u r c e r e s e r v a t i o np r o t o c o l ( r s v p ) b o t hb g p m p l sa n di p s e cv p n sh a v et h e i ra d v a n t a g e s i p s e cv p n s p r o v i d e f o rb e t t e rd a t ac o n f i d e n t i a l i t ya n di n t e g r i t y h o w e v e r ， b g p 仲l sv p n sa r en l o r es c a l e a b l ea n dp r o v i d eb e t t e ra v a i l a b i l i t y b o t hs o l u t i o n sa r ev i a b l ef o rs i t e t o s i t ec o n n e c t i v i t y b u ts o m e a p p l i c a t i nn e e dq o sc o n t r o l o nt h eb a c k b o n e ，o nt h eo t h e rh a n d ，s o m e b u s i n e s sd a t ac a n n o t b e t r a n s p o r t e d o l l p u b l i c l i n k sw i t h o u t c r y p t o g r a p h i cp r o t e c t i o n c o m b i n i n gi p s e ca n d b g p m p l sm a ys a t i s f y b o t hc a m p s t h em a i nr e s e a c hw o r ki nt h i sp a p e ri ss u m m a r i z e da sb e l o w ： 1 d i s c u s s e dt h em e c h a n i s m su s e dt op r o v i d e ) n sb a s e du p o n b g p m p l sa n di p s e c t h ep a p e ra s s e s s e st h es e c u r i t yp r o v i d e db yb o t h s o l u t i o n sa n ds u g g e s t sg u i d e l i n e sf o rn e t w o r km a n a g e r st oa s s i s t i ne v a l u a t i n gt h e s et w oo p t i o n s 2 b a s e do nc o m p a r i n gb g p m p l sa n di p s e cv p n s ，v p ns o l u t i o n i n t e g r a t e dw i t ht w ot e c h n o l o g i e sa r ea n a l y z e d c o m b i n i n gi p s e ca n d b g p 心k sv p ns o l u t i o n sa r ec l a s s i f i e dt h r e et y p e s c h a r a c t e r i s t i c o fe a c ht y p es o h t o ni sd i s c u s s e d au s e f u lc o m b i n i n gs o l u t i o ni s g a v e n k e y w o r d s ：i p s e c 胛l s v p nq o s c l a s s i f i c a t i o nn o ：t p 3 9 3 0 8 5 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 第一章综述 虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ，v p n ) ，剧哿物理上分布在不 同地点的主机或私有网通过公用骨干网络联接而成的逻辑上的专用网，不 用实际架构专线，却实现了全球范围内专用联网的目的，由于架设专线非 常昂贵，不是每个企业都可以承担大范围私有网的架构的，因此，虚拟专 用网成为企业网络全球化业务的唯一可行方案，也是最大限度利用社会公 共投资的最理想方案。 构建，p n 网络的基础网络平台可以是i p 网络，也可以是a ，i m 网络或者f r 网 络等。基于a 1 形f r 等网络构建的虚拟专用网络都属于传统数据专网的范畴， 本文重点讨论基于i p 网络构建虚拟专用网络技术。基于i p 的v p n 就是i pv p n ， 即主干网是以i p 为主要通信协议的公共网络实现的虚拟专用网，i pv p n 可 以给企业提供任意点之间的专用业务，本文所讨论的v p n 都是指i pv p n 。 目前i p s e cv p n 和艘l sv p n 已经成为最受欢迎的两种i pv p n 解决方案。 i p s e cv p n 基于封装和加密技术，可以实现地理上不相邻的主机之问的数据 安全传输。卿l sv p n 是基于肝l s 网络实现的v p n ，自2 0 0 i 年栅删s 协议被i e t f 组织发布以来，多协议标签交换l s ) 已经被公认为下一代网络的基础协 议而仲l sv p n 也被认为是最具潜力的网络应用服务。 i p s e cv p n 和舻l sv p n 各有优势，i p s e ev p n 是面向网络安全的服务 模型，脚l sv p n 是面向网络陛能的服务模型。m p l sv p n 虽然有很优秀的转 发洼能、可伸缩眭、q o s 保证等优点，但在访问灵活性方面比较欠缺；另外， 安全性的保障也仅仅限于服务提供商的主干网内类似专用数字链路的安全 性，一旦有用户从内部攻击，或者服务提供商内部有恶意行为，v p n 的安全 性仍然不能保证。i p s e cv p n 具有安全眭、灵活陛的特点，但是其结构局限 于点到点的机制，这样就很难开展大规模的v p n 服务，并且在q o s 保证和流 量工程等方面不提供支持。脚l s 与i p s e c 结合有利于彻s 的高速交换、q o s 保证、流量控制以及灵活| 生、可扩展l 生与i p s e e 的高度安全、可靠的优势发 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 挥出来，提供设计优良、运行正常和综合陡的v 刚服务。 本文深入研究了船l 5 协议和i p s e c 协议以及基于这两种协议的i pv p n 体 系结构和工作原理，分析了各自的应用案例，对两种i pv p n 的安全性能进 行了详细的分析和比较，在此基础上进一步分析了将i p s e c 和肝l s 结合的集 成i pv p n 解决方案，把i p s e c 和归l s 的集成方案归纳为三种，分析了方案各 自的性能和特点，对它们实施的关键技术提出自己的观点。 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 第二章i pv p n 隧道技术 i pv p n 是一种新兴的i p 业务，r f c2 7 6 4 对i pv p n 的概念进行了阐述， 它认为“i pv p n 是指使用i p 网络设施对专用广域网的仿真”。它能够使用现 有的公共工p 网络为企业或特定用户建立虚拟的专用网络，节省用户的组网 与维护成本，正受到越来越多的关注。其应用类型有三种：( 1 ) 远程接入 用户( r e m o t ea c c e s s ) v p n ：远程接入v p n 是利用公共网络的拨号及接入网， 实现虚拟专用网，为企业、小型i s p 、移动办公人员提供接入服务。( 2 ) 内 联网( i n t r a n e t ) v p n ：内联网v p n 用于将企业总部企业网与分支机构的企 业网连接起来。( 3 ) 外联网( e x t r a n e t ) v p n ：外联网v p n 用于将企业与企 业合作伙伴，如供应商和客户连接起来。 利用公用网络构建i pv p n 给服务提供商( s p ) 和v p n 用户都带来一i 少好 处： 对于服务提供商来说，通过向企业提供州这种增殖服务，i s p 可以与 企业建立更加密切的长期合作关系，同时充分利用现有网络资源，提高业 务量。事实上，v p n 的数据流量较普通用户要大的多，而且时间上也是相互 错开的。v p n 用户通常是上班时间形成流量的高峰，而普通用户的流量高峰 则在工作时间之外。i s p 提供两种服务，资源利用率和业务量都会大大增加， 将给i s p 带来新的商业机会。 对于v p n ) 羽户而言，利用i n t e r n e t 组建私有网络，将大笔的专线费用缩 减为少量的市话费用和i n t e r n e t 费用，无疑具有非常大的吸引力；而且， 企业甚至不必建立自己的广域网维护系统，而将这一繁重的任务交给专业 的i s p 来完成，v p n 用户的网络地址可以由企业内部统一分配、v p n 组网的灵 活性、方便陛将给企业的网络管理带来很大的方便；另外，在v p n 应用中， 通过远端的用户验证以及隧道加密等技术使得通过公用网络传输的私有数 据的安全i 生得到很好的保证。 通过i pv p n 还可以实现一系列基于w e b 的新的商业机会，比如全球电子 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 商务。v p n 对全球电子商务的支持，使得企业可以在降低销售成本的同时稳 步提高销售量。 在公用网络上传输私有数据，网络安全性是个很重要的问题，特别是 对于企业用户而言，信息安全问题日益突出，企业用户需要保证其v p n 没有 渗透者窥视和篡改网络传送的机密数据的危险，也没有被非法访问者访问 网络资源和信息的危险，因此需要采用隧道技术、加密技术等保证私有数 据的安全| 生。 第一节隧道技术简介 对于构建v p n 来说，隧道技术( t u n n e l ) 是个关键技术。网络隧道技术指 的是利用一种网络协议来传输另一种网络协议的技术，它主要利用网络隧 道协议来实现这种功能。网络隧道技术涉及了三种网络协议。 1 网络隧道仂议( 女n i p s e c ) 2 隧道协议下面的承载协议( 如a 1 m i p ) 3 隧i 酋肋议所承载的被承载协议( 如t 四，u d p ) 常见的网络隧道协议包括：( 1 ) 工作在链路层的第二层隧道协议，如点 到点隧道协议( p p t p ) 、第二层转发协议( l 2 f ) 、第二层隧道协议( l 2 t p ) 。 ( 2 ) 工作在网络层的第三层隧道协议，如通用路由封装协议( g r e ) 、i p 安 全协议( i p s e c ) 。( 3 ) 介于第二层和第三层之间的隧道协议，如旧l s 协议。 现有网络中发展铰陕的哟哲肋议有咿l s 年i i p s e c 两种。 i p s e c 协议不是一个单独的协议，它给出了应用于i p 层上网络数据安全 的一整套体系结构，规定了如何在对等层之间选择安全协议、确定安全算 法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全 服务。 船l s 使用标签堆栈建立i p 隧道，与其他隧道协议不同，只能在肝l s 网 络范围内使用，而i p 可以伸展到任何因特网可以到达的地方，基于归l s 隧 道建立的v p n 机制从定义上就不可能延伸到咿l s 网络以外。下面对这两种协 议进行详细论述。 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 第二节l p s e c 协议 i p s e c ( i ps e c u r i t y ) 可以给i p v 4 和i p v 6 数据报提供基于密码学的安全 性标准协议簇，它对i p v 4 是可选的，而对i p v 6 是强制的。可以无缝弛插入i p 协议，为i p 引入安全特性，并为数据源提供身份验证、数据完整性检查以 及机密j 生保证机制，可以防范数据受到来历不明的攻击。 i p s e c 主要由头认证( a ) 协议、封装安全载荷( e s p ) 协议和i n t e r n e t 密钥管理( i i ( e ) 协议组成。 i p s e c 提供了两种不同的模式来传输加密数据：传输模式和隧道模式。 通常情况下，传输模式只用于两台主机之间的安全通信；隧道模式必须用 在网关到网关的会话或主榧0 网关的会话。 。、i p s e c 安全体系结构 图2 2 1 描述了i p s e c 的体系结构。 图2 2 1i p s e c 安全体系结构 ( 1 ) 认证头( a u t h e n t i c a t i o nh e a d e r ，a h ) 是为i p 数据包提供无连接 的数据完整陛、数据源身份验证和一些可选的、有限的抗重播服务。a h 提 供了e s p 能够6 巳供的切，但a h 不对受保护的i p 数据的任何部分进行 加密。a | i 可用来保护个上层协议( 传输模式) 或个完整的i p 数据报( 隧 道模式) ，其问的差别根据受保护的数据报如何应用a h 来定。数据完整 i p s e cv p n 干b g p m p l sv p n 技术的比较研究 性校验通过消息认证码产生的校验值来保证；数据源身份认证通过在待认 证的数据中加入一个共享密钥来实现；a h 报头中的序列号可以防止重放 攻击。 ( 2 ) 封装安全载荷( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，e s p ) 是一个 通用的、易于扩展的安全机制。e s p 插入i p 数据报内的一个协议头，为i p 提 供机密性、数据源验证、抗重播以及数据完整性等安全服务。e s p 用一个 加密器提供机密性，用一个身份验证器提供数据完整性。加密器和身份验 证器采用的专用算法是由e s p 安全关联的相应组件决定的。 ( 3 ) 密钥管理协议( i n t e r n e t 密钥交换，i 旺) 可为i p s e c 协议验证参 与各方身份、协商安全服务以及生成密钥等。i r e 在i s a k m p ( i n t e r n e t s e c u r i t ya s s o c i a t i o nk e ym a n a g e m e n tp r o t o c 0 1 ) 框架内实现了o a k l e y 和s k e m e 密钥交换协议，可与其他协议起使用。i r e 提供i p s e c 端点的 认证，协商i p s e c 密钥以及协商i p s e c 安全关联( s e c u r i t y a s s o c i a t i o n ，s a ) ，s a 描述实体间如何使用安全服务来实现安全通信， 确定认证算法和密钥、加密算法和密钥、密钥的生存周期和密钥的更换频 率。一个s a 被一个三元组唯一标识：个安全策略索引s p i 、一个目标i p 地址和一个安全协议标识符。s a 可以手工建立或可动态建立。 应用s a 对通信数据进行保护时i p s e c 会用到两种数据库：一个是安 全策略数据库s p d ( s e c u r i t yp o l i c yd a t a b a s e ) ，对不同的数据，可能 会用刁i 同的安全策略来处理。s p d 为不同的通信数据定制不同的安全策 略，i p 层的数据类型、目标地址及不同的上层协议类型都有可能对应着 不同的安全策略。另个是安全关联数据库s a d ( s e c u r i t ya s s o c i a t i o n d a t a b s e ) ，通过s a d 来维护s a 记录。s a 是单向的，因l 【 身俞入和输出数据 流需要独立的s a 。如果两个主机a 和b 正在通过a h 进行安全j 置信，那么 主村la 就需要有一个s a ，即s a ( o u t ) 来处理外发的数据包；另外还需要有 一个不同的s a ，即s a ( i n ) 来处理进入的数据包。主机a 的s a ( o u t ) 和主 机b 的s a ( i n ) 将共享相同的密钥等加密参数。类似的，主机a 的s a ( i n ) 和主机b 的s a ( o u t ) 也共享相同的加密参数。针对外发和进入处理使用 的s a ，分别需要维护一张单独的数据表。另外，s a 还与协议相关，每种 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 协议都有一个s a ，如果主机a 和b 同日寸通过a h 和e s p 进彳亍j 匿信，那么每 个主机都会针对每一种协议来构建一个独立的s a 。 在数据包的处理过程中，s a d 和s p d 这两个组件需要联合使用。对于 发送端的数据包，需要先从s p d 中查找应用其上的策略，若策略为“应用”， 则通过一卟s p d 与s a d 关联的隐指针找到一个或多个s a ，从而为其应用 安全保护；对于接收端的数据，通过数据包中的s p i 等参数，找到s a ， 检查是否为重放包，然后为其解密、验证，从而检验其数据完整陛和机密 性，得到含有真实地址的裸包，之后再从s p d 中查找应用于其上的策略。 i s a o a k l e y 是i k e 的核心，它确保密钥交换和i p s e c 通信的双方已 经通过认证，协商协议、算法和密钥，当它们过期时更新s a 。i s a l 日v p 提供 了认证和密钥交换的框架，但是并没有定义具体的密钥交换技术。i i ( e 利用 i s a k m p 语言描述了一种混合型协议，它建立在i s a k m p 定义的框架上，提供 了0 a k l a y 和s k 团匹密钥管理协议的一部分，同时还定义了自己的两种密钥交 换技术，即i k e 沿用了i s a t 珊p 的基础、o a k l a y 的模式以及s k e m e 的共享和密 钥更新技术，描述了如何提供i s a j 呷实例化的方法。 ( 4 ) d o i ( 解释域) ：d o i 是i p s e c 很重要的部分，它是所有的i p s e c 安全参 数的主数据库，i p s e c 协议用到的所有安全参数都可以通过查询d o i 获取。 二、i p s e c 的工懒 i p s e c 有两种工作模式：传输模式和隧道模式。 ( 1 ) 传输模式。如图2 1 2 所示，在i 时艮头之后和数据字段之前插入i p s e c 报头( 脚艮头或e s 时艮头) ，白色区域为新增部分，原始的i p 头未做任何修改， 由于传输模式的i p 报头暴露在外，因而容易遭到攻击。传输模式常用于两 个终端节点间的连接，如客户端的服务器或主机。 ( 2 ) 隧道模式。如图2 2 2 所示，是将整个原始的i p 数据报放入一个新 的i p 数据报中，这样每一个i p 数据报都有两个i 对艮头；外部i p 报头和内部i p 报头。外部i p 报头指定将对i p 数据报进行i p s e c 处理的目的地址，内部i p 报 头指定原始i p 数据报最终的目的地址。同时隧道模式对i p 包都加密，这样， i p 包的源地址和目的地址都被隐藏起来，使i p 包能安全地在网上传送。隧 道模式既可以用于两个主机之间的i p 通信，还可以用于两个安全网关之问 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 或一个主机与一个安全网关之间的i p 通信。 原始的i p 数据报： 传输模式下受a h 保护的i p 数据报 传输模式下受e s p 保护的i p 数据报 隧道模式下受a h 保护的i p 数据报 隧道模式下受e s p 保护的i p 数据报 图2 2 2 分别处于传输模式下和隧道模式下，受i p s e c 保护的数据包 对受传输模式保护的分组来说，因为i p 头未发生改变，所以它的通 信终点和加密终点是一样的，都是i p 头中“目标地址”字段所指定的地 址。对受隧道模式保护下的分组而言，它的通信终点在原i p 头中指定， 而加密终点在新i p 头中指定，这两个地址通常是不样的，即使第三方 在不安全的信道上得到该数据包，因为不知道双方通信的共享密钥，也无 法知道通信的最终地址。 在隧道模式下i p s e c 还支持嵌套遂道，因为增加了新的i p 头，所以 在某些场合还可支持非i p 协议，如i p x 或o s i 。当然，由于i p s e c 的包 不能仅来自i p 层，e 匕虫可以让其来自数据链路层，此时实施i p s e c 的主 机或路由起到了安全网关的作用。 从以上分析可以看出，隧道模式比传输模式的安全系数更高，它不仅 保证了数据的机密性，而且保证了业务流量的机密性。此外，a l l 和e s p 分别可以工作在传输模式和隧道漠式下，可以独立使用也可以结合使用。 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 三、i p s e c 的实施 i p s e c 可在终端主机、网关路由器或两者中同时进行实施和配置。至 于i p s e c 到底在网络的什么地方配置，则由用户对安全保密的要求来决 定。 在主机实施有能保障端到端的安全性，能够实现所有的i p s e c 安全模 式和为数据流提供安全保障。在网关上实施，主要是与路由器或防火墙的 软件结合在一起，构建个安全网关，可在网络的部分中对传输的数据 包进行安全保护。如果v p n 中，内网中通信的数据包被认为是安全的，而 只对经i n t e r n e t 到达不同地域的本企业的数据包实施安全附褓护，就可 选闶在网走匕实施i p s e c ，在网乡让实施能刘通过公用网在两个子网之间 流动的数据提供安全杲护，能谜行身份验证，并授权用户进入私用网络。 许多公司都利用这一点允许员工在互联网匕通过远程通信建立v p n 或内联 网。 i p s e c 的实施方法有以下三种： 堆栈中的块( b u m pi nt h es t a c k ，b i t s ) ：其主要思想i p 协议栈 和本地的网络底层之间实现i p s e c ，作为一个“楔子”插入到网络层和数 据链路层之间，负责i p 堆栈提取数据报，处理后再将其插入。这种方法 比较适合在j e $ 1 l e 实现i p s e c 。 线路中的块( b u m p - i n t h e - w i r e ，b i t w ) ：这种实现方法同b i t s 一样，不需要向i p 堆栈进行源代码访问。在这种情况下，i p s e c 的实现 使用独立的加解密处理器，做成一个独立的b i t w 设备，直接接入网关的 物理接口，它般不需要运行任何路由算法，只是用来保护数据包的安全。 这种方法可以服务于主机和安全网关。 与操作系统( o s ) 集成：i p s e c 是一个网络层协议，所以可以作 为网络层的部分来实现。这种方法需要访问i p 源代码，利用i p 层的服 务来构建i p 头，这种方法由于i p s e c 与网络层紧密集成在起，因此不 需要考虑诸如分段p m l u 之类的网络服务，使实施方案更为有效，但是这 种方法需要修改原o s 中i p 源代码，实现起来e 匕较困难。它可用于主机和 安全网关上实施。 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 四、i p s e c 的工作原l 理 i p s e c 的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的 一种扩展。当接收到一个i p 数据包时，包过滤防火墙使用其头部在一个规 则表中找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法 对接收到的i p 数据包进行处理。i p s e c 通过查询s p d ( s e c u r i t yp o l i c y d a t a b a s e 安全策略数据库) 决定对接收到的i p 数据包进行处理。与包过 滤防火墙不同的是，对i p 数据包的处理方法除了丢弃、直接转发( 绕过i p s e c ) 外，还可以立即进行i p s e c 处理。正是这种新增添的处理方法，提供了比包 过滤防火墙更进一步的网络安全性。只有在对i p 数据包实施了加密和认证 后，才能保证在外部网络传输数据包的机密性、真实性和完整性，通过 i n t e r n e t 进行安全的通信才成为可能。i p s e c 既可以只对i p 数据包进行加密， 或只进行认证，也可以二者同时实施。 对外出的数据包，i p s e c 协议首先查询s p d ，来设定数据包应该使用 的安全策略。如果检索到的安全策略是应用i p s e c ，就再查询s a d 来确定 是否存在有效的s a ，这时： ( 1 ) 若存在有效的s a ，则取出相应的参数，将数据包封装( 包括加 密、验证添加i p s e c 头等) 然后发送。 ( 2 ) 若尚未建立s a 则启动或触发i k e 协商，协商成功后按( 1 ) 中 的步骤处理，不成功则应将数据包丢弃，并记录出错信息。 ( 3 ) 如果存在s a 但无效，则将此信息向i k e 通告，请求协商新的s a ， 协商成功后按( 1 ) 中的步骤处理，不成功则应将数据包丢弃，并记录出 错信息。 对进入的数据包，i p s e c 协议先查询s a d 。如果得到有效的s a ，则对数据 包进行解封还原，再查询s p d ，验证为该数据包提供的安全保护是否与所配 置的策略相符。如相符则将还原后的数据包交 觚卯层，或转发。如不相符， 或要求使用i p s e c 但并未建立s a ，或s a 无效，贝i j 将数据包丢弃，并记录出错 信息。 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 第三节m p l s 协议 忡l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) 协议在i p 路由和控制协议 的基础上，提供面向连接的交换。御l s 最初是用来提高路由器的转发速 度而提出的一个协议，其基本思想就是使用一个短的定长标签( l a b e l ) 来 标识数据流。此标签和数据流起传送，网络节点根据此标签，就知道此 数据流的目的地址和其他特征，从而完成数据报的转发。因为是根据固定 长度的标签搜索目的地址，所以m p l s 能实现高速转发。 支持船l s 的路由器称为标签交换路由器l s r ，其中边缘路由器通常被 称为标签边界路由器l e r ，根据标签确定的转发路径称为标签转发路径 l s p 。标签分发协议是标签交换路由器同另一个标签交换路由器标签含义 的过程。印l s 的转发模式除了明显的简化转发、提高转发速度外，还易 于实现以下功能：显式路由( 类似于i p 中的源路由) 、c o s 、q o s 、流量工 程和v p n 等。 一、m p l s 中的些重要概念： 1 、转发等价类( f e c ) ，咿l s 实际上是种分类转发技术，它将具有 相同转发处理方式的分组归为类，这种类别就是f e c ，f e c 是在相同路 径l 转发，以相同方式处理并因此被个l s r 映射到个单标签的一组 i p 分组。在标签绑定过程中，各f e e 对应于不同的标签。各节点将通过 分组的标签来识别分组所属的f e e 。 2 、标签( l a b e l ) ，标签是一个包含在每个分组中的短而固定的数值， 用于唯一的标志一个分组所属的f e c ，决定分组的转发方式。一对l s r 在 标签的数值和意义上一致。 在传统的路由器中，必须分析每个分组头，以确定下一站转发地点。 但是在艘l s 中，只需要在归l s 网络的入口端处理个流束的所有分组， 对属于同一个流束的分组将被用一个固定长度的字段加以编号。这一字段 在押l s 里被称为标签。在l s r 中，一个流束的f e e 就映射到标签上。卿l s 中的标签格式取决于分组封装所在的介质。如：a t m 封装采用v p i v c i 作 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 标签；对于那些没有内在标签结构的媒体封装，则采用通用归l s 封装格 式，用一个特殊的数值在第二层与第三层头之间插入一个s h i m 标签头。 s h i m 标签头由4 字节构成，它包含一个2 0 b i t 的标签数据值、一个3 b i t 的c o s ( 服务类别) 数值、一个i b i t 的堆栈指示符和一个8 b i t 的t t l ( 生 存期) 数值，如图2 3 1 所示。s h i m 可以灵活的封装到不同的位置，可 以在第2 层头或第3 层头中，甚至可以在第2 层头与第3 层头之问，而且 依据不同的数据链路层将有不同的格式，它还支持标签堆栈( l a b e l s t a c k ) 。 且庄数据i1 2 头l 迦竖堕i ml 簋三层女喱头i o i 益i 鼬ssl 皿 图2 3 1m p l s 标签 3 、标签栈，标签栈实际上就是一组标签的级联。m p l s 可以支持无限 层的标签堆栈，位于栈底的标签s h i m 封装中的s 比特的值为1 。标签栈 可以用于实现多级归l s 网络或是v p n 等的应用。 4 、标签交换路径( l s p ) ，l s p 是指具有个特定的f e c 的分组，在 传输经过的标签交换路由器集合构成的传输通路。它由m p l s 节点建立， 目的是采用一个标签交换转发机制转发个特定的f e c 分组。 5 、标签交换路由器( l s r ) 。l s r 是m p l s 网络中的基本构成单元，它 主要由控制组件与转发组件两部分组成。标签边缘路由器( l e r ) 是从一 个m p l s 域转发分组的传统路由器，它的作用是分析i p 分组头，用于决定 相应的传送级别和标签交换路径( l s p ) 。 6 、标签转发信息库( l f i b ) ，l f i b 是保存在个l s r ( l e r ) 中的连 接表，在l s r 中包含有阳c 标签绑定信息和关联端口以及媒体的封装信 息。l f i b 通常包括下面内容：入、出口端口；入、出口标签；f e c 标识符； 下一跳l s r ；出口链路层封装等。 7 、标签分发协议( l d p ) ，l d p 是m p l s 的控制协议，用于在l s r 之间 交换f e c 标签绑定信息，也就是一个l s r 通知另个l s r 标签含义的过 i p s e cv p n 和b g p m p l sv p n 技术的比较研究 程。实现标签分发的协议有l d p ，c r _ l d p 和r s v p - t e 等协议。 8 、流束( s t r e a m ) ，属于同一个f e c 的一组分组流，它们流经同一个 节点，从相同的通道传输，并以相同方式转发到目的地，它们在忡l s 里 被称为“流束”。 二、