（信号与信息处理专业论文）基于gprscdma1x公共移动接入系统的vpn通道技术研究.pdf

摘要 摘要 随着无线通信技术的发展，已获授权的用户可以利用p d a 智能手机、笔记本 电脑等移动设备在任何时间、任何地点都可以实时快捷地访问企业内网资源。为 保证信息传送安全性，可以在移动网络中建立v p n ( v i t u a lp r i v a t en e t w o r k ) 通道对 数据加密封装，并使用s d i o ( s e c u r ed i g i t a li o ) 数字加密卡为v p n 通道提供私钥 存储、数字签名、加解密等服务。此类公共移动安全接入系统可广泛应用于公安 警务查询、税务查询、企业移动应用、移动电子商务、移动电子银行等领域。论 文研究了基于g p r s c d m a l x 公共移动接入系统的v p n 通道技术，主要包括以 下几个方面的工作： 首先研究了p p t p 、l 2 t p 、i p s e c 等v p n 技术，详细分析了其工作原理、关 键技术及在c d m a g p r s 网络中实现过程。在此基础上，研究了移动v p n 的实 现技术以及v p n 中的a h 、e s p 等隧道技术。 其次结合v p n 的安全技术和数字加密卡技术，研究了基于v p n 的公共移动 安全接入系统体系结构。在此基础上，设计与实现了手机短信的加解密功能，并 在d e s 和3 d e s 等不同算法下测试了手机短信的加解密性能，测试结果达到设计 要求。 最后研究了s d i o 数字加密卡，给出了s d i o 数字加密卡系统结构设计与软硬 件实现方案，并实现了包括开放接口a p i 函数、以及部分应用程序。对数字加密 卡的自动监测和证书的管理功能的测试结果表明达到设计要求。 关键字：公共移动网络，安全接入，v p n ，g p r s ，c d m a ，数字加密卡 a b s t r a c t a b s t r a c t w i 血t h ed e v e l o p m e n to fw i r e l e s sc o m m u n i c a t i o nt e c h n o l o g y , t h ea u t h e n t i c a t e d u s e r s c o u l du s ei n t e l l i g e n tm o b i l ep h o n e s ，p o r t a b l ec o m p u t e r st oc o n v e n i e n t l ya c c e s s i n t e r i o rn e t w o r ko ft h e i rc o m p a n i e sa n y w h e r ea ta n yt i m e t og u a r a n t e et h es e c u r i t y o fi n f o r m a t i o nt r a n s f e r s ，t h ei n f o r m a t i o nc a nb es e n tt h r o u g ht h ev p n ( v i t u a lp r i v a t e n e t w o r k ) t u n n e l a n dt h es d i o ( s e c u r ed i g i t a lv o ) k e yc a ns t o r ec r y p t o g r a p h i c k e y s ，p r o v i d i n gd i g i t a ls i g n a t u r ea n do t h e rs e c u r i t ys e r v i c e s t h i sk i n do fs e c u r e a c c e s s i n gs y s t e mc a l lb e 、】l ，i d e l yu s e di np o l i c e ，r e v e n u es e a r c h i n g ，m o b i l ea p p l i c a t i o n f o rc o m p a n i e s ，m o b i l ee l e c t r o n i cc o n n l l e r c ea n dm o b i l eb a n k s w ed or e s e a r c ho nt h e v p nt e c h n o l o g yi nt h ep u b l i cm o b i l en e t w o r k s m a i n l yc o m p r i s i n gt h ef o l l o w i n g a s p e c t so f w o r k ： a tt h eb e g i n n i n gw es t u d yt h ep p 吧l 2 1 pa n di p s e cp r o t o c o l s ，a n da n a l y z et h e p r i n c i p l e 勰w e l la st h ek e yt e c h n o l o g yo ft h e m o nt h eb a s i so ft h e s e w ee m p h a s i z e o nt h em e c h a n i s m so fe n c a p s u l a t i n gs e c u r i t yp a y l o a d ( e s na n ds o m ec r y p t o g r a p h i c a l g o r i t h m s w ea l s or e s e a r c ho n t h em o b i l ev p ni nc d m ai x t h e nw er e s e a r c ho nt h es t r u c t u r eo ft h ev p ns e c u r ea c c e s s i n gs y s t e mb a s e do n s d i ok e yi nt h ep u b l i cm o b i l en e t w o r k s h e r ev p ne n s u r e st h es e c u r i t yo f i n f o r m a t i o nw i t ht h eh e l po fs d i ok e y w ea l s od e v e l o pt h ee n c r y p t i o na n d d e c r y p f i o no fs h o f tm e s s a g e si ng p r s ，a n dt e s tt h ee n c r y p t i o na n dd e c r y p t i o n p e r f o r m a n c eo fs h o r tm e s s a g ew i md e sa n d3 d e sa l g o r i t h m , a n dt h er e s u l to ft h e t e s t i n gt u r n so u tt ob es a t i s f 3 4 n g i nt h el a s tp a r tw ei n t r o d u c et h ec h a r a c t e ra n df u n c t i o no ft h es d i ok e y w e r e s e a r c ha n dd e s i g nt h es t r u c t u r eo ft h es d i ok e ya n dd e v e l o pp a r to fi t ss o f t w a r e i n c l u d i n gt h ea p if u n c t i o n sa n ds o m ea p p l i c a t i o np r o g r a m s w et h e nt e s tt h ea u t o d e t e c t i n ga n dc e r t i f i c a t em a n a g i n gf u n c t i o no ft h es d i ok e y , a n dt h er e s u l to ft h e t e s t i n gm e e t st h er e q u i r e m e n t k e y w o r d ：p u b l i cm o b i l en e t w o r k s ，s e c u r ea c c e s s ，v p n ，g p r s ，c d m a ，s d i o i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名：墓簦单日期 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 研究生签名：雠导师签名： 伊f ；o 寺 第一章绪论 第一章绪论 从移动通信业务的发展看，传统的话音业务已趋于饱和，数据业务正蓬勃发展，成为移 动通信业务的发展趋势。随着移动数据业务的需求增加，中国移动和中国联通分别在已有的 g s m 网络和c d m a 网络的基础上建立起来适应高速数据业务传输的第2 5 代网络：g p r s 网络和c d m ai x 网络。普通手机、智能手机、手持电脑p d a 和笔记本电脑等通过在公麸 移动网络上建立起来的专用安全通道实现对单位内部的数据库进行查询访问和其它的操作， 实现在任何时间，任何地点已获授权的用户都可以实时快捷地查询中心服务器和获得相关服 务。这样的系统可以应用于公安系统警务查询，税务部门查询，国安系统，企业移动应用， 移动电子商务，移动电子银行等方面。在公共移动网络中直接访问方式会使企业内部网随时 面临受黑客攻击的危险，经由公网的信息很容易被窃听、修改或伪造。由g p r s c d m a i x 网承载的v p n ( r i t u a lp r i v a t en e t w o r k s ) 能够解决上述问题。v p n 中采用隧道技术、加解密技 术和安全认证机制，为用户提供安全、可靠和透明的数据访问通道，使远程用户和企业内部 网之间能安全通信作为3 g 网络的前奏，g p r s c d m a l x 网较好地承载了各类数据业务，能 提供“永远在线”的分组数据交换业务，将互联网与移动通信紧密联系起来。由 g p r s c d m a l x 网承载的v p n 业务是移动用户和企业内部网络之间实现远程数据通信的理 想方式。 针对当前移动数据接入业务的需要，在公共移动通信网络中建立安全高效灵活的v p n 通 道是论文研究的主要内容。 1 1 基于公共移动网络的v p n 接入系统框架 公共移动网络的数据业务接入系统包括四个大的部分：局端服务器体系，公共移动网络， i p s e cv p n 通道，接入终端和s d i o 加密卡。 局端服务器体系要完成对接入用户的认证，鉴权：证书的发放和管理；实现对传输数据 的解密和加密；应用服务器的建立和数据库的维护；为保障关键的业务还需要实现内阿和外 网的隔离过程( 如在公安系统和银行及其它关键行业的应用) 。 公共移动网络包括现今的第二代的g s m c d m ai s 一9 5 网络，2 5 代的g p r s c d m al x 网络和以后的第三代移动通信网络( 3 g 网络) ，也包含着p h s 小灵通网络和基于热点的公 共无线局域网系统。在我们这里，主要侧重于考虑g p r s c d m al x 的移动通信数据接入网 络。g p r s 的峰值通信速率可以达到1 1 5 3 k b s ，而c d m al x 的峰值通信速率可达1 5 3 6 k b s 。 但由于g p r s 采用语音和数据共享信道。而c d m al x 数据和语音分别采用不同的信道传输， 因此c d m al x 网络的平均业务接入速率要比g p r s 高，一般g p r s 的平均业务速率可以达 第一章绪论 到2 0 1 c b i 以0 0 k b i t s ，而c d m al x 的平均业务速率为9 0 k b i t s 1 0 0 k b i v s 。g p r s 在g s m 以 话音为基础的运营模式上，以终端客户为核心。把具有增值意义的业务和应用加到g s m 上 来。如简单信息和远程数据查询、信息接入、高质量的多媒体、广播业务及纵向的应用等。 其中8 0 - 9 0 的业务都可以在现在的g s m 网上通过g p r s 实现，其突出的特点是多个用 户可以共享一个信道，可以充分利用网络资源，可以按照用户的需要来提供带宽，大幅度提 高数据传输速率。公共移动网络与局端接入外网之间通过建立专线方式连接。在c d m al x 网络中，p d s n ( p a c k e td a t as e r v i n gn o d e ) 与局端接入外网通过v p d n ( v m u a tp r i v a t ed i a l u p n e t w o r k s ) 建立通信的专线过程。在g p r s 网络中，g g s n ( g p r sg a t e w a ys u p p o r t n o d e ) 与局 端接入外网之间通过a p n ( a c c e s sp o i n tn a m e ) 方式建立专线过程。 1 2v p n 通道的建立 虚拟专用网( 、，p n ) 是专用网的扩展，它的通信两端之间通过的是公用传输介质如i n t e r n e t 或g p r s c d m al x 网络。v p n 允许你在两台计算机之间通过公共传输介质通信，就好像是 自己的端到端的专用网一样。为了模拟端到端的专用网。数据必须被加上一个路由信息头， 以便能够找到正确的路径：同时为了数据的安全，数据包在传输过程中必须被加密。v f n 连 接使用户可以在家工作或者在出差的旅途中利用公用介质如g p r s ，c d m a1 x 网络来和公司 总部的机器连接。从用户的角度来看，v p n 是一个v p n 的客户端与服务器端的端到端的的 连接，g p r s ，c d m a1 x 网络等公共介质的网络结构是无关紧要的，因为从逻辑上看，数据 是在专用网上传输。v p n 也可以使公司在地域上分割的各个分部之间通过通信网络传输信 息，信息必须在一个安全的通道中传播，从逻辑上看就像一个w a n 上的专用网。v p n 的一 个重要的特征就是安全性，通过v p n 通信的两台主机必须通过一个安全的通道( t u n n e l ) 。这 个t u n n e l 是逻辑上的，并不真正存在，因此通过数据的加密和认证使得数据包即使被截获也 不容易破译。 为保证数据业务用户的安全接入，在用户终端和局端接入外网之间建立端到端的i p s c c v p n 通道。在移动终端，在s d i ok e y 的基础上建立起i p s e cv p n 客户端，通过向i p s e cv p n 网关发起接入请求，与i p s c cv p n 服务器模块协商和相互认证，然后在移动终端和移动接入 网关之闻建立i p 层安全通信隧道，为上层应用提供透明的安全数据上传和下载服务。移动 终端通过在s d i ok e y 加密卡中实现对传送数据的加密封装。在局端的接入网关处，应用加 密机完成对各终端相应的加密和解密的过程。在局端，除了要建立相应的v p n 接入网关外， 还需要建立包过滤防火墙和应用代理防火墙，另外还需要有病毒防火墙来保证局端系统的安 全防护。 v p n 可分为三大类：企业各部门与远程分支之间的i n t r a n e t v p n ；企业网与远程( 移动) 雇员之间的远程访问( r e m o t e a c c e s s ) v p n t 企业与合作伙伴、客户、供应商之间的e x t r a n e t v p n 。v p n 主要的技术要求包括： 安全性：因为v p n 在公共网络上为用户提供虚拟专网，因此建立在不安全、不可信任 2 第一章绪论 的公共数据网的首要任务是解决安全性问题。v p n 的安全性可通过隧道技术、加密和认证 技术得到解决。 管理问题：由于网络设施、应用不断增加，网络用户所需的碑地址数量持续增长，对 越来越复杂的网络管理，网络安全处理能力的大小是v p n 解决方案好坏的重要指标。v p n 是内网的外延，因此v p n 要有一个固定的管理方案以减轻管理、报告等方面负担。管理平 台要有一个定义安全政策的简单方法，将安全政策进行分布，并管理大量设备。 互操作：企业的v p n 产品应该能够同其他厂家的产品进行互操作。这就要求所选择的 v p n 方案应该是基于工业标准和协议的。这些协议有i p s e c 、点到点隧道协议( p o i n t t op o i n t t u n n e l i n gp r o t o c o l ，p p t p ) 、第二层隧道协议( l a y e r2t u n n e l i n gp r o t o c o l ，l 2 t p ) 等。 目前v p n 技术的主要研究问题包括： 安全加密技术：加密算法有r c 4 、用于i p s e c 的d e s 和三次d e s 。r c 4 虽然强度比较 弱，但是保护避免非专业人士的攻击已经足够了；d e s 和三次d e s 强度比较高可用于敏 感的商业信息。加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网 络层中的加密标准是i p s e c 。网络层加密实现的最安全方法是在主机的端到端进行，此外还 可以选择隧道模式。隧道模式中加密只在路由器中进行。而终端与第一跳路由之间不加密， 因为数据从终端系统到第一条路由时可能被截取而危及数据安全，所以隧道模式安全性存在 问题。端到端的加密方案中，v p n 安全粒度达到个人终端系统的标准；而隧道模式方案， v p n 安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此所有链路 层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。 q o s 技术；通过隧道技术和加密技术。已经能够建立起一个具有安全性、互操作性的 v p n 。但是该v p n 性能上不稳定，管理上不能满足企业的要求，这就要加入q o s 技术。实 行q o s 应该在主机网络中，即v p n 所建立的隧道这一段，这样才能建立一条性能符合用户 要求的隧道。不同的应用对网络通信有不同的要求( 带宽、反应时间抖动、丢失率) 。 1 。3 论文的主要工作 论文研究了基于g p r s c d m a i x 公共移动接入系统的v p n 通道技术，并研究实现了 s d i o 数字加密卡，在此基础上实现了手机短信的加解密功能。论文包括以下几方面内容： 第一章绪论介绍课题的背景、意义以及主要研究内容和所要解决的问题。 第二章首先研究了p p t p 、l 2 t p 、i p s e c 等v p n 技术，详细分析了其工作原理、关键技 术及在c d m a g p r s 网络中实现过程。在此基础上，研究了移动v p n 的实现技术。 第三章研究了v p n 通道中的安全技术，重点讨论了e s p 等隧道封装技术和d e s 、3 d e s 等加密算法。 第四章结合v p n 的安全技术和数字加密卡技术，研究了基于v p n 的公共移动安全接入 系统体系结构。在此基础上，设计与实现了手机短信的加解密功能。 第五章研究了s d i o 数字加密卡，给出了s d i o 数字加密卡系统结构设计与软硬件实现方 3 第一章绪论 案，并实现了包括开放接口a p i 函数，以及部分应用程序。 第六章在d e s 和3 d e s 等不同算法下测试了手机短信的加解密性能，并测试了数字加密 卡的自动监测和证书的管理功能，对实验测试结果进行了分析。 第七章对论文的工作进行了总结。并展望了以后进一步的研究方向。 4 第二章v p n 技术及在g p r s c s d m a 网络中的实现 第二章v p n 技术及在g p r s c d m a 网络中 的实现 2 1 虚拟专用网( v p n ) 技术 随着经济全球化和企业规模的扩大，企业全球运作广泛分布的情况下，员工需要访问中 央资源，企业之间必须要进行及时有效的通讯的问题。远程用户、远程办公人员、分支机构、 合作伙伴也在增多，传统的租用线路的方法实现私有网络的互连给企业带来大的经济负担， 因此人们寻求一种经济、高效、快捷的私有网络互连技术，v p n 就是适应企业的这种需求 而发展起来的一种新的私有网络互连技术。 虚拟专用网v p n ( v i r t u a l p r i v a t e n e t w o r k ) 指的是依靠i s p ( i n m e t 服务提供商) 和其 他n s p ( 网络服务提供商) ，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网 中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众 网的资源动态组成的。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接，能够 利用i n t e m e t 或其它公共互联网络的基础设施为用户创建隧道，井提供与专用网络一样的安 全和功能保障。 2 。1 1v p n 的基本应用及特点 v p n 的应用大致可分为三类：远程访问虚拟网( a c c e s sv p n ) ，企业内部虚拟网( i n t r a n e = t v p n ) 和企业扩展虚拟网( e x t r a n e tv p n ) 。 a c c e s sv p n ：是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟 网。a c c e s sv p n 能使用户随时随地以其所需的方式访问企业资源。a c c e s sv p n 包括模拟， 拨号，i s d n ，数字用户线路( a d s ) ，移动i p 和电缆技术，能够安全地连接移动用户、远程 工作者或分支机构。如果企业的内部人员移动办公或有远程办公需要，就可以考虑使用 a c c e s sv p n 。 i n t r a n e t v p q q ：是指企业的总部与分支机构间通过公网构筑的虚拟网。i n t r a n e t v p n 通过 一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构，企业拥有与专 用网络相同的政策，包括安全、服务质量( q o s ) 、可管理性和可靠性。i n t r a n e tv p n 是解决 内联网结构安全和连接安全、传输安全的主要方法。 e x t r a n e tv p n ：是指企业问发生收购、兼并或企业间建立战略联盟时，不同企业网通过 公网来构筑的虚拟网。e x t r a n e t v p n 通过一个使用专用连接的共享基础设施，将客户、供应 商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络相同的政策，包括安全、 5 第二章v p n 技术及在g p r s c d m a 网络中的实现 服务质量( q o s ) 、可管理性和可靠性。e x t r a n e tv p n 是解决外联网结构安全和连接安全、 传输安全的主要方法。 我们通常把a c c e s sv p n 叫做拨号v p n ，即v p d n ；将i n t r a n e tv p n 和e x l r a n c tv p n 统 称为专线v p n 。v p n 具有以下主要特点： 安全保障：由于v p n 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问 题也更为突出。企业必须确保其v p n 上传送的数据不被攻击者窥视和篡改，并且要防止非 法用户对网络资源或私有信息的访问。 服务质量保证( q o s ) ：，n 网为企业数据提供不同等级的服务质量保证，如对移动办 公用户，提供广泛的连接和覆盖性是保证v p n 服务的一个主要因素；而对于拥有众多分支 机构的专线v p n 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性。q o s 通 过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据 能够被合理地先后发送，并预防阻塞的发生。 可扩充性和灵活性：v p n 能够支持遁过i n l r a n e t 和e x t r a n e t 的任何类型的数据流。方便 增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对 高质量传输以及带宽增加的需求。 可管理性：v p n 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至客户 和合作伙伴，要求减小网络风险，具有高扩展性、经济性、高可靠性等优点。事实上，v p n 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理以及q o s 管理等内容。 2 1 2v p n 的隧道及加密技术 所谓隧道，实质上是一种封装，将种协议( 协议x ) 封装在另一种协议( 协议y ) 中 传输，从而实现协议x 对公用网络的透明性。采用隧道机制实现的v p n 的协议体系结构如 图2 1 所示，这里协议x 称为被封装协议( 乘客协议) ，协议y 称为封装协议，封装时一般 还要加上特定的隧道控制信息，因此隧道协议的一般封装形式为( 协议y ( 隧道头( 协议 x ) ) ) 。 上层协议 v p ni 二协议 上层协议 协议x协- 议x 协议y协议y 一 i 协议y ，| “卜崖协议公用网卜协议h 。毯协议l。卜层协议 v p n 网关公用路由器v p n 网关 图2 1v p n 的协议体系结构 新的隧道头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的 数据包在隧道的两个端点之间通过公共互联网络进行路由。一旦到达隧道终点，数据将被解 包并转发到最终目的地。隧道技术是指包括数据封装，传输和解包在内的全过程。 目前因特网上较为常见的隧道协议大致有两类：第二层隧道协议和第三层隧道协议。第 6 第二章v p n 技术及在g p r s c d m a 网络中的实现 二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，第二层隧道 协议对应o s i 模型中的数据链路层，使用帧作为数据交换单位。p p t p ，l 2 t p 和l 2 f ( 第二 层转发) 都属于第二层隧道协议，都是将数据封装在点对点协议( p p p ) 帧中通过网络发送。 第三层隧道协议对应o s l 模型中的网络层，使用包作为数据交换单位。i p s e c 属于第三层隧 道协议，是将p 包封装在附加的i p 包头中通过口网络传送。 对于p p r p 和l 2 t p 这样的第二层隧道协议。创建隧道的过程类似于在双方之间建立会 话，隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩 等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协 议被用来作为管理隧道的机制。第三层隧道技术通常假定所有配置问题已经通过手工过程完 成，这些协议不对隧道进行维护。与第三层隧道协议不同，第二层隧道协议必须包括对隧道 的创建，维护和终止。 隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议 准备传输数据。当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道 数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道 的服务器端。隧道服务器收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转 发到目标网络。 隧道协议的特性及安全要求包括以下几方面： 用户验证：第二层隧道协议继承了p p p 协议的用户验证方式。许多第三层隧道技术都 假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是 i p s e c 协议的i s a k m p 协商提供了隧道端点之间进行的相互验证。 令牌卡( t o k e nc a r d ) 支持：通过使用扩展验证协议( e a p ) ，第二层隧道协议能够支持 多种验证方法，包括一次性口令( o n e - t i m e p a s s w o r d ) ，加密计算器( c r y p t o g r a p h i cc a l c u l a t o r ) 和智能卡等。第三层隧道协议也支持使用类似的方法。例如，i p s e c 协议通过i s a k m p o a k i e y 协商确定公共密钥证书验证。 动态地址分配：第二层隧道协议支持在网络控制协议( n c p ) 协商机制的基础上动态分 配客户地址。第三层隧道协议通常假定隧道建立之前已经进行了地址分配。目前i p s e e 隧道 模式下的地址分配方案仍在开发之中。 数据压缩：第二层隧道协议支持基于p p p 的数据压缩方式。例如，微软的p p t p 和l 2 t p 方案使用微软点对点加密协议( m p p e ) 。正t p 正在开发用于第三层隧道协议的类似数据压 缩机制。 数据加密：第二层隧道协议支持基于p p p 的数据加密机制。微软的p p t p 方案支持在 r s a r c 4 算法的基础上选择使用m p p e 。第三层隧道协议可以使用类似方法，例如，i p s e c 通过i s a k m p o a k l e y 协商确定几种可选的数据加密方法。微软的l 2 t p 协议使用i p s e e 加密 保障隧道客户端和服务器之间数据流的安全。 密钥管理：作为第二层协议的m p p e 依靠验证用户时生成的密钥，定期对其更新。i p s e c 7 第二章v p n 技术及在g p r s c d m a 网络中的实现 在i s a k m p 交换过程中公开协商公用密钥，同样对其进行定期更新。 多协议支持：第二层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用 i p ，i p x ，或n e t b e u i 等多种协议企业网络。但是。第三层隧道协议，如i p s e c 隧道模式只 能支持使用i p 协议的目标网络。 2 1 3 基于二层隧道技术的p p t p - v p n 技术 因为p p t p 协议在很大程度上依靠p p p 协议的各种特性，因此有必要对p p p 协议进行 深入的探讨， 点对点协议p p p 协议( p e e r - t o - p e e r p r o t o c 0 1 ) 主要是设计用来通过拨号或专线方式建立 点对点连接发送数据。p p p 协议将i p ，i p x 和n e t b e u i 包封装在p p p 帧内通过点对点的链 路发送。p p p 协议主要应用子连接拨号用户和n a s 。p p p 拨号会话过程可以分成4 个不同 的阶段。分别如下： 阶段1 ：创建p p p 链路 p p p 使用链路控制协议( l c p ) 创建，维护或终止一次物理连接。在l c p 阶段的初期， 将对基本的通讯方式进行选择。应当注意在链路创建阶段，只是对验证协议进行选择，用户 验证将在第2 阶段实现。同样，在l c p 阶段还将确定链路对等双方是否要对使用数据压缩 或加密进行协商。实际对数据压缩肋密算法和其它细节的选择将在第4 阶段实现。 阶段2 ；用户验证 在第2 阶段，客户端p c 将用户的身份证明发给远端的n a s 。该阶段使用一种安全验证 方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的p p p 方案只提供 了有限的验证方式，包括口令验证协议( p a p ) ，挑战握手验证协议( c h a p ) 和微软挑战握 手验证协议( m s - c h a p ) 。下面对各种认证方式做简单的说明； 口令验证协议( p a p ) ：p a p ( p a s s w o r da u t h e n t i c a t i o np r o t o c 0 1 ) 是一种简单的明文验证方 式。n a s 要求用户提供用户名和口令，p a p 以明文方式返回用户信息。很明显，这种验证 方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与 n a s 建立连接获取n a s 提供的所有资源。所以，一旦用户密码被第三方窃取，p a p 无法提 供避免受到第三方攻击的保障措施。 挑战握手验证协议( c h a p ) ：c h a p ( c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 是一 种加密的验证方式，能够避免建立连接时传送用户的真实密码。n a s 向远程用户发送一个 挑战口令( c h a l l e n g e ) ，其中包括会话i d 和一个任意生成的挑战字串( a r b i t r a r yc h a l l e n g e s t r i n g ) 。远程客户必须使用m d 5 单向哈希算法( o n e - w a yh a s h i n ga l g o r i t h m ) 返回用户名和 加密的挑战口令，会话d 以及用户口令，其中用户名以非哈希方式发送。 c h a p 对p a p 进行了改进，不再通过链路直接发送明文口令，而是使用挑战口令以哈 希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进 行的操作。并将结果与用户返回的口令进行对照。c h a p 为每一次验证任意生成一个挑战字 8 第二章v p n 技术及在g p r s c d m a 网络中的实现 串来防止受到再现攻击( r 印l a ya t t a c k ) 。在整个连接过程中，c h a p 将不定时的向客户端重 复发送挑战口令，从而避免第三方冒充远程客户( r e m o t ec l i e n t i m p e r s o n a t i o n ) 劫持会话进行 攻击。 微软挑战握手验证协议( m s c h a p ) ：与c h a p 相类似，m s - c h a p 也是一种加密验 证机制。同c h a p 一样，使用m s c h a p 时，n a s 会向远程客户发送一个含有会话i d 和任 意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过m d 4 哈希算法加密的挑 战字串，会话d 和用户口令的m d 4 哈希值。采用这种方式服务器端将只存储经过哈希算 法加密的用户口令而不是明文口令，这样就能够提供进一步的安全保障。此外，m s c h a p 同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密的客户一服 务器( c l i e n t - s e r v e r ) 附加信息。使用m s - c h a p ，客户端和n a s 双方各自生成一个用于随 后数据加密的起始密钥。m s - c h a p 使用基于m p p e 的数据加密，同时启用基于m p p e 的数 据加密时也必须要进行m s - c h a p 验证。 在第2 阶段的p p p 链路配置阶段，n a s 收集验证数据，然后对照自己的数据库或中央 验证数据库服务器验证数据的有效性。 阶段3 ：p p p 回叫控制( c a l l b a c kc o n t r 0 1 ) p p p 包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议( c b c p ) 。 如果配置使用回叫，那么在验证之后远程客户和n a s 之间的连接将会被断开，然后由n a s 使用特定的电话号码回叫远程客户，这样可以进一步加强拨号网络的安全性。但n a s 只支 持对位于特定电话号码处的远程客户进行回叫。 阶段4 ：调用网络层协议 在以上各阶段完成之后，p p p 将调用在链路创建阶段( 阶段1 ) 选定的各种网络控制协 议( n c p ) 。例如，在该阶段i p 控制协议( i p c p ) 可以向拨入用户分配动态地址。在微软的 p p p 方案中，考虑到数据压缩和数据加密实现过程相同，所以共同使用压缩控制协议协商数 据压缩( 使用m p p c ) 和数据加密( 使用 p e ) 。 完成上述4 阶段的协商，p p p 就开始在连接对等双方之间转发数据。每个被传送的数据 报都被封装在p p p 包头内，该包头将会在到达接收方后被去除。如果在阶段1 选择使用数 据压缩并且在阶段4 完成了协商，数据将会在被传送之前进行压缩。类似的，如果已经选择 使用数据加密并完成了协商，数据( 或被压缩数据) 将会在传送之前进行加密。 点到点隧道协议p p t p ( p o i m - t o - p o i n tt u n n e lp r o t o c 0 1 ) 是由p p r p 论坛开发的点到点的 安全隧道协议，为使用电话上网的用户提供安全v p n 业务。p p t p 是p p p 协议的一种扩展， 提供了在口网上建立多协议的安全v p n 的通信方式，远端用户能够通过任何支持p p t p 的 i s p 访问企业的专用网络。p p t p 提供p p t p 客户机和p p t p 服务器之间的保密通信。p p t p 客户机是指运行该协议的p c 机，p p t p 服务器是指运行该协议的服务器。 通过p p r p ，客户可以采用拨号方式接入公共的i p 网。拨号客户首先按常规方式拨号到 i s p 的接入服务器( n a s ) ，建立p p p 连接；在此基础上，客户进行二次拨号建立到p p p t p 9 第二章v p n 技术及在g p r s c d m a 网络中的实现 服务器的连接，该连接称为p p t p 隧道，实质上是基于m 协议的另一个p p p 连接，其中口 包可以封装多种协议数据，包括t c p i p ，i p x 和n e t b e u i 等。对于直接连接到i p 网的客 户则不需要第一次的p p p 拨号连接，可以直接与p p t p 服务器建立虚拟通路。图2 2 概要地 描述了p p t p 协议的应用网络拓扑。 p p t p 4 t 一一一一一i i i 图2 2 p p t p 应用网络拓扑图 p p t p 将p p p 数据帧封装在i p 数据报内通过i p 网络，如i n t e m e t 传送。p p t p 还可用于 专用局域网络之间的连接。p p t p 使用一个t c p 连接对隧道进行维护，使用通用路由封装 ( g r e ) 技术把数据封装成p f i p 数据分组通过隧道传送。可以对封装p p t p 帧中的负载数 据进行加密或压缩。图2 3 描述了如何在数据传递之前组装一个p p t p 数据包。 图2 3p p t p 分组封装方式 可以看到，采用g r e 封装，从层次上将数据链路层的p p p 分组提升到传输层，成为m 协议可识别数据。同时，利用扩展的g r e 头中的一些标志位，可以对用户会话进行传输层 流量控制，从而为用户会话提供面向连接的服务。 p p t p 的最大优势是m i c r o s o f t 公司的支持。w i n d o w s2 0 0 0 以上的版本已经包括了p p t p 客户机和服务器的功能。p p t p 把建立隧道的主动权交给了客户，但客户可以在其p c 机上 配置p p t p 。 其他的基于二层隧道的v p n 技术还有l 2 f 和l 2 t p ： l 2 f ( l a y e r 2f o r w a r d i n g ) 是由c i s o o 公司提出的，可以在多种介质( 如a t m 、帧中继、 i p ) 上建立多协议的安全v p n 的通信方式。它将链路层的协议( 如h d l c 、p p p 、a s y n c 等) 封装起来传送，因此网络的链路层完全独立于用户的链路层协议。1 9 9 8 年提交给i e t f ， 成为r f c2 3 4 1 。 第二层隧道协议( l 2 t p ) l 2 t p 协议由c i s c o 、a s c e n d 、m i c r o s o f t 、3 c o m 和b a y 等厂 商共同制订，1 9 9 9 年8 月公布了l 2 t p 的标准r f c2 6 6 1 。 1 0 第二章v p n 技术及在g p r s c d m a 网络中的实现 l 2 t p 结合了p p t p 和l 2 f 协议，设计者希望l 2 t p 能够综合p p t p 和l 2 f 的优势。l 2 t p 可以让用户从客户端或接入服务器端发起v p n 连接。它定义了利用公共网络设施封装传输 链路层p p p 帧的方法。目前用户拨号访问因特网时，必须使用m 协议，并且其动态得到的 p 地址也是合法的。l 2 t p 的好处就在于支持多种协议，用户可以保留原来的i p x 、a p p l e t a l k 等协议或企业原有的咿地址，企业在原来非舻网上的投资不至于浪费。另外，l 2 t p 还解 决了多个p p p 链路的捆绑问题。 l 2 t p 是支持封装的p p p 帧在妒、x 2 5 、帧中继或a t m 等的网络上进行传送。当使用 口作为l 2 t p 的数据报传输协议时，可以使用l 2 i p 作为i m e m e t 网络上的隧道协议。l 2 t p 还可以直接在各种w a n 媒介上使用而不需要使用i p 传输层。 在安全性考虑上，l 2 t p 仅仅定义了控制包的加密传输方式，对传输中的数据并不加