（农业机械化工程专业论文）基于ipsec的vpn技术穿越nat的研究与设计.pdf

西南大学硕士学位论文摘要 摘要 基于i p s e c 的v p n ( v i s u a lp r i v a t en e t w o r k 虚拟专用阿络) 技术和n a t ( n e t w o r k a d d r e s st r a n s l a t i o n 网络地址转换) 技术都是目前在网络中得以广泛应用的优秀技术。利用 v p n 隧道技术可以在公共网络中构建私有专用网络，数据可以通过安全的加密隧道进行传送。 用户只需要连接上本地的公众信息网，就可以实现在公用网络中数据的安全交换。n a t 是一个 i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务组) 标准，允许一个整体机构以 一个公用i p ( i n t e r n e tp r o t o c 0 1 ) 地址出现在i n t e r n e t 上。它是一种把内部私有网络地址 转换成合法网络i p 地址的技术。利用n a t 技术，不但是提高i p 地址使用效率的好方法，可 以大量节省企业用于i p 注册所产生的费用，而且n a t 技术的另一个很有用的特性是能让多台 计算机共用一个i p 地址，这样n a t 网关可以起到屏蔽内部网络和公用网络的作用，从而增强 了系统的安全性。现在人们可以经常在防火墙或者网关、路由器上看到n a t 技术的应用。 由于目前v p n 和n a t 技术的不兼容，使得这两种优秀的技术无法同时在网络中并存，其 根本原因在于n a t 技术的应用破坏了由v p n 所建立的加密隧道。v p n 在建立通信隧道的时候 对数据包的地址或校验和的值进行了加密和解密的工作，而n a t 改变了这个地址或校验和的 值。如果这一问题得以解决，就可以使众多中小型企业用户以较低的成本进行安全的数据交换， 具有很好的应用前景。 本文在阐述了i p s e cv p n 和n a t 技术原理的基础上，详细分析研究了两种技术无法兼容 的原因。针对这些造成不兼容的原因，分析了可能的几种解决方案。通过对这些方案的对比， 以费用最优化为原则，并考虑到目前中小型企业的实际需求，确定了使用u d p 封装并配合对 i k e 协议的修改和扩充以实现n a t 穿越的方法。利用这种方法，可以使附加的数据处理降至晟 低，同时对现有的n a t 设备不需重新部署，是i p v 6 正式实施前一个较好的解决方案。从用户 的角度来说，此种方案也可以在较少投资的前提下，实现基于i p s e c 的v p n 技术与n a t 技术 的有机融合。 根据在进行n a t 穿越过程中对数据的处理。文章提出了n a t 穿越方案的总体架构a 在这 个总体架构中较为清晰地描述了在现有协议框架下如何进行功能上的修改和扩充以完成对 n a t 设备的穿越。指出了实现基于i p s e c 的v p n 和n a t 技术兼容的两个必须要解决的关键问题： u d p 数据封装和l i c e 协议的修改和扩充。 针对这两个关键问题，文章详细阐述了在i p s e c 数据包的基础上进行u d p 封装的方法和 数据格式；对于在i p s e c 协议体系中起到关键作用的i k e 协议的工作模式及其工作过程也作 了详细说明，同时研究了如何进行i k e 协议功能的扩充和完善以完成相应的要求，并且针对 西南大学硕士学位论文 摘要 实现n a t 穿越的凡个重要步骤如v e n d o ri d 的校验、n a t 设备的检测、n a t d 数据包的h a s h 值的生成等均给出了详细的分析和示意编码。 本文结合目前中小型企业网络的实际需求，在不需要对现有n a t 设备进行重新部署的前 提下提出了使用u d p 数据封装和i k e 修改相结合的方法以完成v p n 和n a t 技术的融合。以 n a t 穿越方案的总体架构为基础，对数据封装格式进行改进和相关协议的功能进行扩充，可以 形成一套完整的n a t 穿越解决方案。 关键字：v p n n a ti p s e cl k eu d p 封装 i i a b s t r a c t v p n ( v i s u a lp r i v a t en e t w o r k ) b a s e do ni p s e ca n dn a tf n e t w o r ka d d r e s s t r a n s l a t i o n ) a r ee x c e l l e n tt e c h n o l o g i e st h a ta r ew i d e l yu s e di nn e t w o r k v p nc a l l e s t a b l i s hp r i v a t en e t w o r ki np u b l i cn e t w o r kt h a ta l l o w sd a t at r a n s m i ts a f e l yt h r o u g ht h e e n c r y p t e dt u n n e l t h ec l i e n t so n l yn e e dt oc o n n e c tt ot h el o c a lp u b l i cn e t w o r k ，t h ed a t a c a nb et r a n s m i t t e di nt h ep u b l i cn e t w o r ks a f e l y n a ti sa ni e t f ( i n t e r a c te n g i n e e r i n g t a s kf o r c e ) s t a n d a r d ，a l l o w i n gaw h o l eo r g a n i z a t i o na p p e a ro ni n t e m e tb yo n e p u b l i ci p a d d r e s s i ti sc a p a b l eo ft r a n s l a t i n gt h ei n t e r i o rp r i v a t en e t w o r ka d d r e s st ot h el e g a l n e t w o r ki pa d d r e s s n a tn o to n l yi m p r o v e se f f i c i e n c yo fi pa d d r e s su t i l i z a t i o n ，s a v e s m u c hm o n e yt h ec o r p o r a t i o n ss p e n di nr e g i s t e r i n gi p - b u ta l s oe n h a n c e st h es y s t e m s s e c u r i t yb e c a u s eo fa n o t h e rc h a r a c t e r i s t i co fn a t , n a m e l y , i t sc a p a b i l i t yt ol e tm a n y c o m p u t e r ss h a r eo n ei pa d d r e s s ，w h i c ha l l o w sn a tg a t e w a yc o v e r su pb o t ht h ei n t e r i o r p r i v a t en e t w o r ka n dt h ep u b l i cn e t w o r k r e c e n t l y , n a ti so f t e nu s e di nf i r e w a l l ， g a t e w a yo rr o u t e r a tp r e s e n t ，b e c a u s ev p na n dn a ta r e i n c o m p a t i b l e ，t h et w o e x c e l l e n t t e c h n o l o g i e sc a n n o tc o e x i s ti nn e t w o r ka tt h es a m et i m e t h er e a s o ni st h a tn a t d e s t r o y st h et u n n e le s t a b l i s h e db yv p n t h a ti s ，w h i l ee s t a b l i s h i n gc o m m u n i c a t i o n t u n n e l ，v p nd o e se n c r y p t i n ga n dd e e r y p t i n gt ot h ed a t ap a c k a g ea d d r e s sa n dc h e c ks u m ， w h i c hi sc h a n g e db yn a t ：i ft h i sp r o b l e mi ss o l v e d ，m a s sm e d i u ma n ds m a l ls i z e d e n t e r p r i s e sc o u l de x c h a n g ed a t as a f e l ya tal o w e rc o s t c o n s e q u e n t l y , i th a s ap r o s p e r o u s f u t u r eo f a p p l i c a t i o n b a s e do nt h et h e o r i e so f l p s e ca n dn a t , t h er e a s o n sw h y t h e ya r ei n c o m p a t i b l ea r e p r e s e n t e d s e v e r a lf e a s i b l ew a y st o d e a lw i t ht h ei n c o m p a t i b i l i t ya r ea n a l y z e da n d c o m p a r e d a tl a s t ，c o m b i n i n gt h el e a s t - c o s tp r i n c i p l ew i t ht h ep r a c t i c a ln e e d s o ft o d a y s m e d i u ma n ds m a l ls i z e de n t e r p r i s e s ，t h em e t h o do fu s i n gu d pe n c a p s u l a t i o nw i t h c e r t a i nm o d i f i c a t i o na n de x p a n s i o no fi k ep r o t o c o li sf i x e dt oc o m p l e t et h en a t t r a v e r s a l i nt h i sw a y , t h ea p p e n d e dd a t ap r o c e s sc a nb er e d u c e dt ot h el e a s t ，a n dt h e p r e s e n tn a te q u i p m e n tn e e d sn or e c o n f i g u r a t i o n i ti sag o o dw a y t os o l v et h ep r o b l e m b e f o r ei p v 6i sp u ti n t op r a c t i c e f r o mt h eu s e r sp e r s p e c t i v e ，t h i ss o l u t i o nc o s t sl e s sa n d p e r m i t sv p n a n dn a tw o r kt o g e t h e r a c c o r d i n gt ot h ed a t ap r o c e s s i n gi nn a t t r a v e r s a l ，t h eg e n e r a ls t r u c t u r eo fn a t t r a v e r s a li sm a d e t h es t r u c t u r ec l e a r l yd e s c r i b e sh o wt om o d i f ya n de x p a n dt h e f u n c t i o n su n d e rt h ep r e s e n tp r o t o c o li no r d e rt oa c c o m p l i s hn a t t r a v e r s a l t w ok e y i i 西南大学硕士学位论文a b s t r a c t p r o b l e m si ns o l v i n gt h ei n c o m p a t i b i l i t yo fv p nb a s e do ni p s e ca n dn a ta l ep o i n t e d o u t ：u d pd a t ae n c a p s u l a t i o na n dt h em o d i f i c a t i o na n de x p a n s i o no f i k e p r o t o c 0 1 f o rt h e s et w op r o b l e m s ，t h em e t h o da n dd a t af o r m a to fu d p e n c a p s u l a t i o nb a s e d o ni p s e cd a t ap a c k a g ei sd i s c u s s e di nd e t a i l ；t h ew o r k i n gm o d ea n dp r o c e s so fi k e p r o t o c o lw h i c ha l eo fv i t a li m p o r t a n c ei ni p s e cp r o t o c o ls y s t e ma l ep a r t i c u l a r l y e x p l a i n e d ；t h eq u e s t i o no f h o w t oe x p e n da n dp e r f e c ti k ep r o t o c o lf u n c t i o nt om e e tt h e a c c o r d i n g l yr e q u i r e m e n t so fi ss t u d i e d ；d e t a i l e da n a l y s i sa n ds a m p l ec o d e sa l eg i v e nt o t h ef e ws i g n i f i c a n ts t e p si nn a tt r a v e r s a is u c ha st h ec h e c k i n go fv e n d o ri d n a t e q u i p m e n te x a m i n a t i o n a n dt h ep r o d u c i n go f h a s hv a l u eo f n a t - dd a t ap a c k a g e a c c o r d i n gt ot h ep r a c t i c a ln e e d so fm e d i u ma n ds m a l ls i z e de n t e r p r i s e s ，an e w m e t h o do f c o m b i n i n gu d pd a t ae n c a p s u l a t i o nw i t hm o d i f i e di k et of u s ev p na n dn a t i sp r o p o s e d ，w i t h o u tr e c o n f i g u r i gt h ep r e s e n tn a te q u i p m e n t b a s e do nt h eg e n e r a l s t r u c t u r eo f n a tt r a v e r s a l m o d i f y i n gd a t ae n c a p s u l a t i o na n de x p a n d i n gt h ea c c o r d i n g l y p r o t o c o l sf u n c t i o nf o r ma ni n t e g r a t e ds c h e m et os o l v et h ep r o b l e m i nn a tt r a v e r s a i k e yw o r d s ：v p n n a ti p s o ci k eu d pe n o a p s u i a t i o n 独创性声明 学位论文题目： 基王! 里s ! 曼数y 里堕技盛宝越坠! 煎盟窒皇遮让 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得西南大学或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示谢意。 学位论文作者：刁赋材弓 签字日期：娜占年j 月，j 日 学位论文版权使用授权书 本学位论文作者完全了解西南大学有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允 许论文被查阅和借阅。本人授权西南大学研究生院可以将学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书，本论文：骈保密， 口保密期限至年月止) 。 学位论文作者签名：吃磺彤 签字日期：伽年r 月心日 学位论文作者毕业后去向： 工作单位： 通讯地址： 导师签名： 彳迎，杼 签字日期：2 口口易年f 月，7 日 电话：f2 邮编： 第1 章文献综述 随着世界经济全球化的发展以及i n t e r n e t 的商业化，各种规模的企业尤其是大量的中小 型企业的内部网络与i n t e r n e t 实现了互联，使现代企业网络的规模和具体应用发生了根本性 的变化。 在i n t e r n e t 得到大规模发展之前，传统的企业隧络之间的互联是通过架设专用的私有网 络或者是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，也必须采用 长途拨号的方式连接到企业所在地的内部网。这些连接方式的价格非常昂贵，一般只有大型 的企业可以承担。同时也造成了网络的重复建设和投资。 i n t e r n e t 的发展，推动了采用基于公用网络的虚拟专网( v p n ) 的发展，从而使得跨地 区的企业的不同部门之间、政府的不同部门之间以及企业之间通过公用网络实现互联成为可 能。v p n 的应用可以为企业节省大量的通信费用和资金，也可以使政府部门不需要重复建网。 这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是，如何保证企业内部的 数据通过公用网络传输的安全性和保密性，以及如何管理企业网在公共网络上的不同节点， 越来越成为企业非常关注的问题。i p 网络安全一直是一个倍受关注的领域，如果缺乏一定的 安全保障，无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵；对于某个特 定的企业内都网i n t r a n c t 来说，网络攻击既可能来自网络内部，也可能来自外部的i n t e m e t 或 e x t r a n e t ，其结果均可能导致企业内部网络毫无安全性可言。单靠口令访问控制不足以保证数 据在网络传输过程中的安全性。 1 1v p n 网络的发展 v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用网络) 是一门新型的网络技术，它为我们提供 了一种可以跨越公用网络而安全地连接企业内部专用网络的方式。v p n 利用公共网络基础设 施，通过一定的技术手段，达到类似私有专网的数据安全传输。v p n 连接是使用一种称之为 “隧道”的东西来作为传输介质的，这个隧道是建立在公共网络或专用网络基础之上的r 如 i n t e r n e t 或专用i n t r a n e t 等。要实现v p n 连接，企业内部网络中必须配置有v p n 服务器t v p n 服务器一方面连接企业内部专用网络( l a n ) ，另一方面连接到公用网络或其它专用网络t 这就要求v p n 服务器首先必须要申请一个合法的公用i p 地址。当客户机通过v p n 连接与专 用网络中的计算机进行通信时，先由n s p ( 网络服务提供商) 将所有的数据传送到v p n 服务器， 然后再由v p n 服务器将所有的数据传送到目标计算机。因为在v p n 隧道中通信能确保通信通 道的专用性，并且传输的数据是经过压缩、加密的，所以v p n 通信同样具有专用网络的通信 安全性。 v p n 主要有三方面的应用，分别为远程访问v p n ( r e m o t ea c c e s sv p n ) 、 站点到站点的 内联网v p n ( s i t e t o - s i t ei n t r a n e tv p n ) 以及外联网v p n ( e x t r a n e t sv p n ) ”。 ( 1 ) 远程访问v p n ( r e m o t ea c c e s s ) 用于连接一个单一的远程网络设备和企业的内 联网。这个单一的网络设备可以是通过电话网访问网络的便携式计算机，或者是通过电缆调 制解调器、a d s l 、以及其他一些连接方式访问网络的远程通信计算机。最常用于对移动用户 的支持。 ( 2 ) 站点到站点的内联网v p n ( s i t e t o s i t ei n t r a n e tv p n ) 在这种情况下，同 个机构内部的多个网络站点位于不同的地理位置，这些站点之间使用v p n 连接。每个站点都 可能有多个i p 子网，它们形成了一个企业的内部互联网络。v p n 被用来连接这些站点从而形 成一个更大的内联网。 ( 3 ) 外联网v p n ( e x t r a n e t sv p n ) 在这种情况下，在某个企业内部的网络资源对 于来自其他公司的不同目的的访问是开放的，比如商业事务。这种访问是不同于内联网的， 不同类型的资源对外部的访问是具有不同访问许可约束的。 1 2v p n 网络的特点和优势 1 可以有效降低成本v p n 在设备的使用量及广域网络的频宽使用上，均比专线式的架 构节省，故能使企业网络的总成本( t o t a lc o s to f o w n e r s h i p ) 降低。根据分析。在l a n t o - l a n 连接时，用v p n 较使用专线的成本节省2 0 4 0 左右：而就远程访问而言，用v p n 更能 比直接拨接至企业内部网络节省6 溉8 0 的成本1 。 2 网络扩展性强v p n 较专线式的架构更具有弹性，当有必要将网络扩充或是变更网络 架构时，v p n 可以很容易地达到目的。v p n 的平台具备完整的扩展性，大至企业总部的设备， 小至各分公司，甚至个人拨号用户，均可以被包含于整体的v p n 架构中，同时，v p n 平台也 具有对未来广域网带宽扩充及架构更新时的扩展性。 3 良好的安全性v p n 架构中采用了多种安全机制，如隧道( t u n n e l i n g ) 、加密 ( e n c r y p t i o n ) 、认证( a u t h e n t i c a t i o n ) 、防火墙( f i r e w a l l ) 及黑客入侵检测系统( i n t r u s i o n d e t e c t i o n ) 等技术，通过上述的各项网络安全技术，可以确保资料在公用网络中传输时不至 于被窃取，或是即使被窃取了，对方也无法读取数据包内所传送的资料。 4 管理方便v p n 较少的网络设备及物理线路，使网络的管理较为轻松。分公司或是 远程访问用户通过通过互联网进入企业网络。认证v p n c l i e n t 为分支机构用户提供加密隧道， 用户可以创建到公司网络的安全隧道。此外，共享高度机密信息的本地用户也可以通过局域 网内计算机之间的加密隧道实现同样目的。 5 可随意与合作伙伴联网在过去，企业如果想与合作伙伴连网，双方的信息技术部 门就必须协商如何在双方之间建立租用线路或帧中继线路。这样相当麻烦，因为租用的专线 在灵活性方面是非常不够的。有了v p n 之后，这种协商变得毫无必要，真正达到了要连就连， 要断就断，可以实现灵活自如的扩展和延伸。 6 完全控制主动权借助v p n ，企业可以利用i s p 的设施和服务，同时又完全掌握着自 2 己网络的控制权。比如，企业可以把拨号访问交给i s p 去做，由自己负责用户的验证、访问 权限、网络地址、安全性和网络变化管理等重要工作。 7 安全的i p 地址 因为v p n 是加密的，v p n 数据包在因特网中传输时，因特网上的用 户只看到公用的i p 地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的 地址是受到保护的。 8 支持新兴应用 许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体 和协作交互式应用。v p n 则可以支持各种高级的应用，如i p 语音，i p 传真，还有各种协议， 如r s i p 、i p v 6 、m p l s 、s n m p v 3 等，而且随着网络接入技术的发展，新型的v p n 技术可以支持 诸如a d s l 、c a b l em o d e m 之类的宽带技术。 1 3v p n 的类型与应用方式 1 3 1 远程访问v p n ( r e m o t ea c c e s s ) 随着当前移动办公的日益增多，远程用户需要及时地访问i n t r a n e t 和e x t r a n e t 。远程 访问v p n ( r e m o t ea c c e s s ) 向出差流动员工、远程办公人员和远程办公室提供了通过公用网 络与企业的i n t r a n e t 和e x t r a n e t 建立私有的网络连接。远程访问v p n ( r e m o t ea c c e s s ) 的应用如图卜1 所示。在r e m o t ea c c e s sv p n 的应用中，利用了一种网络隧道技术在公用网 络上建立v p n 隧道( t u n n e l ) 连接来传输私有网络数据。 图1 1 远程访问v p n 的体系结构 1 3 2 站点到站点的内联网v p n ( s i t s t o _ s i t ei n t r a n e tv p n ) 采用集中式信息访问的企业通常使用专线或帧中继连接远程站点。这些专用线路会产 生大幅开支，而且这种开支会因站点之间带宽的增加和距离的延长而增加，因此这些连接成 为w a n 维护中一项最大的开支。要使站点到站点v p n 的方式降低这方面的成本，公司可以通 过互联网建立费用较低的连接来代替昂贵的专用链路，大大降低租用链路的费用因为互 联网连接对距离是不敏感的。 圈卜2 站点到站点的内联网v p n 的体系结构 1 3 3 外联网v p n ( e x t r a n e t sv p n ) 外联网指的是提供从一个公司网络到另一个公司网络的安全接入，它可以实现安全的商 业通信。外联网v p n 与站点到站点v p n 类似，只是外联髓v p n 要求更多地考虑安全问题。当 两家公司或更多公司决定进行合作、允许对方访问自己的网络时，必须认真考虑相关的安全 措施，以保证公司的每个合作伙伴都可以轻松地获得适当的信息，同时使敏感的信息受到严 密保护，防止未授权用户的访问。在外联网中，通过防火墙进行接入控制非常关键。用户鉴 权也很重要，因为它可以保证只有经授权的用户才允许访问网络资源。部署完毕后，安全性 应尽量在后台实现，对用户尽可能透明。 c e n t r a ls i t e 固卜3 外联网v p n 的体系结构 通常情况下，这三种方案是通过使用三种不同类型的网络来解决的。在基于i n t e r n e t 的v p n 中这三种方案可能被合并，作为i n t e r n e t 的通用基础设备。为了这些情况而构造的 v p n 解决方案阐明了不同体系结构的方法。 4 1 4v p n 中的安全技术 目前v p n 主要采用四项技术来保证数据的安全，这四项技术分别是隧道技术 ( t u n n e l i n g ) 、加解密技术( e n c r y p t i o n d e c r y p t i o n ) 、密钥管理技术( k e ym a n a g e m e n t ) 、 使用者与设备身份认证技术( a u t h e n t i c a t i o n ) 。 1 4 1 隧道技术( t u n n e ii n gt e c h n o i o g y ) 所谓隧道，实质上是一种协议封装技术，它利用一种网络传输协议，将其他协议产生 的数据报文封装在它自己的报文中在网络中传输。隧道是通过隧道协议在公用网络中建立点 到点连接的一种方法。在隧道中传递的数据可以是其他类型的协议所产生的数据帧或者数据 包。隧道协议将这些由其他类型的协议所产生的数据帧或者数据包重新封装，在新的数据包 中提供相应的安全校验方法以及路由信息等，在到达目标后，数据包将被解开并被发送到目 的主机。严格来说，隧道技术包括了数据包的封装、传输和解包校验的全过程。 隧道是由隧道协议形成的。分为第二、三层隧道协议。第二层隧道协议是先把各种网络 协议封装到p p p 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包放到 第二层协议进行传输。第二层隧道协议有l 2 f 、p p t p 、l 2 t p 等。l 2 t p 协议是目前i e t f 的标准， 是融合了p p t p 与l 2 f 而形成的。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依照第三层协议 进行传输。第三层隧道协议有v t p 、i p s e c 等。i p s e c ( i ps e c u r i t y ) 是由一组r f c 文档组成， 定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在i p 层 提供安全保障。 1 4 2 加解密技术( e n c r y p t i o l l & d e c r y p t i o n ) 加解密技术是v p n 的另一核心技术。为了保证数据在传输过程中的安全性，不被非法用 户窃取或篡改，一般都在传输之前进行加密，在接收方再对其进行解密。密码技术是保证数 据安全传输的关键技术，以密钥为标准，可将密码系统分为单钥密码( 又称为对称密码或私 钥密码) 和双钥密码( 又称为非对称密码或公钥密码) 。单钥密码的特点是加密和解密都使 用同一个密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最 有影响的单钥密码是美国国家标准局颁布的d e s 算法6 6 比特密钥) 。而3 d e s ( 1 1 2 比特密 钥) 被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开， 而解密密钥保密，相比单钥体制。其算法复杂且加解密速度慢“1 。所以现在的v p n 大都采用单 钥的d e s 或3 d e s 作为加解密的主要技术，而以公钥和单钥的混合加密体制( 即加解密采用单 钥密码，而密钥传送则采用双钥密码) 来进行网络上密钥的交换和管理，不但提高了传输速 度，还具有良好的保密功能。 西南大学硕士学位论文 第l 章文献综述 1 4 3 密钥管理技术( k e ym a n a g e m e n t ) 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥 管理技术又分为s k i p 与i s a l ( i i p o a k l e y 两种。s k i p 主要是利用d i f f i e - h e l l m a n 的演算法则， 在网络上传输密钥；在i s a k m p 中，双方都有两把密钥，分别用于公用、私用。 因特网密钥交换协议( i k e ) 是i n t e r n e t 安全关联和密钥管理协议i s a k m p 框架的实例 化，现在已经成为主要的密钥管理标准。因特网密钥交换协议( i k e ) 是一份符合因特网协议 安全标准的协议。它常用来确保虚拟专用网络v p n 与远端网络或者主机进行交流时的安全。 对于两个或更多实体间的交流来说，安全关联( s a ) 扮演着安全警察的作用。每个实体都通 过一个密钥表明自己的身份。因特网密钥交换协议( i k e ) 保证安全关联( s a ) 内的沟通是安 全的。因特网密钥交换协议( i k e ) 是结合了两个早期的安全协议而生成的综合性协议。它们 是：o a k l e y 协议和s k e m e 协议。因特网密钥交换协议( i k e ) 是基于因特网安全连接和密钥管 理协议i s a k m p ( i n t e r n e ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c 0 1 ) 中t c p i p 框架的协议。 i s a i o a p 协议中包含独特的密钥交换和鉴定部分。o a k l e y 协议中指定了密钥交换的顺 序，并清楚地描述了提供的服务，比如区别保护行为和鉴定行为。s k e m e 协议说明了密钥交 换的具体方法。尽管没有要求因特网密钥交换协议( i k e ) 符合i p s e c 的内容，但是因特网 密钥交换协议( i k e ) 内的自动实现协商和鉴定、否则重发服务、凭证管理c a ( c e r t i f i c a t i o n a u t h o r i t y ) 支持系统和改变密码生成方法等内容均得益于i p s e c 协议集的思想。 1 4 4 使用者与设备身份认证技术( a u t h e n t i c a t i o n ) v p n 可以使台法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。 通过用户验证、访问级别控制以及必要的访问记录等功能。这一点对于a c c e s sv p n 和e x t r a n e t v p n 具有尤为重要的意义。 一般用户和设备双方在交换数据前，先核对证书，如果准确无误t 双方才开始交换数据。 用户身份认证最常用的技术是用户名与密码方式。而设备认证则需要依赖由c a 所颁发的电子 证书。目前主要的认证方式有：简单口令如质询握手验证协议p a p 和密码身份验证协议c l j a p 等： 动态口令如动态令牌和x 5 0 9 数字证书等。简单口令认证方式的优点是实施简单、技术成熟、 互操作性好，但安全性不高，只能适用于一些基本的应用。动态口令具有很高的安全性，互 操作性好，且支持动态地加载v p n 设备，可扩展性强。 6 西南大学硕士学位论文 第1 章文献综述 1 5n a t 技术的应用以及出现的问题 n a t 的英文全称是“n e t w o r ka d d r e s st r a n s l a t i o n ”。中文意思是“网络地址转换”。 它是一个i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务组) 标准，通过使用 n a t 技术，可以允许一个整体机构以个公用i p 地址出现在i n t e r n e t 上。顾名思义，它是 一种把内部私有网络地址翻译成合法网络i p 地址的技术。 随着i n t e r n e t 的飞速发展，越来越多的企业、政府机关、学校等需要将自己的内部网络 接入i n t e r n e t ，让内部网络实现与公用网络的互联已经成为信息沟通的必然需求。 但这种需求受到i p 地址数量的诸多限制。随着i n t e r n e t 的膨胀式发展可用的i p 地址 资源越来越少，如果为内部网络中多个主机申请多个公用网络的i p 不仅要花费惊人的代价， 而且对于i p 地址资源的消耗也是极为迅速的。这样就提出了一种要求，如何让一个内部网络 中的多台主机能够使用一个或者若干个公用i p 地址完成与i n t e r n e t 的连接。 n a t 能解决这个问飚。它解决问题的办法是：在内部网络中使用内部地址，通过n a t 设备 把多个内部地址翻译成一个合法的i p 地址，在i n t e r n e t 上使用。其具体的做法是把i p 包内 的地址域用合法的公用i p 地址来替换。 其工作原理如图卜4 所示： n a t 地址转换 i 蛹鹏p 网关 刮外翻络 设各 图1 - 4n a t 工作原理示意图 当内部网络的主机要与公用网络进行通讯时，内部主机将连接请求发送至n a t 网关，由n a t 网关将内部地址替换成公用地址，完成内部主机与公用网络( 如i n t e r n e t ) 的正常连接，从 而使得多台计算机共享i n t e r n e t 连接，这一功能很好地解决了公共i p 地址紧缺的问题。通 过这种方法，只申请一个或者若干个合法i p 地址，就可以把攘个局域网中的计算机接入 i n t e r n e t 中。同时，n a t 网关也起到了一个屏障的作用，对于公用网络来说。内部网络的主 机是不可见的，从表面上看，与公用网络进行通讯的只是n a t 网关，这一特点也在一定程度 上保护了内部网络的安全。作为内部网络的用户来说不会意识到n a t 的存在，n a t 功能的发挥 对于用户是透明的。 内部网络的i p 地址分配可以根据组织的实际需要自行掌握，但是，为了避免歧义，推荐 采用保留的i p 地址段，a 类地址：1 0 0 0 0 1 0 2 5 5 2 5 5 2 5 5 ，b 类地址：1 7 2 1 6 0 0 7 1 7 2 3 1 2 5 5 2 5 5 - c 类地址1 9 2 1 6 8 0 0 1 9 2 1 6 8 2 5 5 2 5 5 。这些地址是专门保留下来用 于私有网络地址的分配，不会与公用网络的地址发生冲突。 图1 _ 5 表明了n a t 在内部网络与外部网络通信时所起到的作用。 利用n a t 连接到i n t e r n e t 围卜5 利用n a r 设备进行网络地址转换 目前，基于i p s e c 协议的v p n 技术在网络中应用非常广泛，因为这种技术可以提供很好 的数据传输的安全保障。n a t 技术的应用可以使得大量的中小型企业、机关、学校等以较小的 代价实现自身网络与i n t e r n e t 的互联。但是，这两种优秀的技术却无法同时使用，因为豫种 协议的运作方式本质上是互不兼容的。如果可以让基于i p s e c 协议的v p n 技术和n a t 技术在 网络中同时发挥作用，将可以让众多的中小型私有网络以较小的代价、安全的数据传输方式 联入公用网络，这将是一件非常具有实际的事情。这也是本文所研究的主要方向。 8 西南大学硕士学位论文 第2 章引言 第2 章引言 随着企业信息化的广度和深度的不断发展，越来越多的用户都在部署基于i p s e c 的v p n 网络，以达到通过公用网络实现企业内网的安全连接和提供远程访问的解决方案。i p s e c 是 一个能在i n t e r n e t 上保证通道安全的开放标准，它在i p 层上对数据包进行高强度的安全处 理，提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服 务。各种应用程序可以享用i p 层提供的安全服务和密钥管理，而不必单独设计和实现自己的 安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。i p s e c 可以连续或递 归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端的安全、虚拟专用网络( v p n ) 和安全隧道技术。 n a t 技术的提出是为了解决i p v 4 地址日渐紧张的问题。n a t 可以将私有网络中的主机地 址映射成为公网地址，使得只需要注册一个或者很少几个i p 就可以将用户的私有网络与公用 网络实现互联，从而可以极大地节省用户用于注册i p 所产生的费用，同时，n a t 也可以实现 私有网络和公用网络的屏蔽，提供一定程度的安全性。因此，n a t 技术目前的应用范围也相当 广泛。 然而，i p s e c 和n a t 技术由于两者协议架构本身的原因以及缺乏同时支持两者的设备， 当i p s e c 和n a t 在一起运行时就会出现很多问题。 本文研究的主要内容是如何将基于i p s e c 的v p n 技术实现与n a t 技术的融合。通过对 i p s e c 和n a t 及其相关协议的架构、工作原理和流程进行详尽的分析，提出可以实现n a t 穿 越的v p n 的总体架构，同时提出在进行n a t 穿越时对于原有关键协议i k e 的改进和扩充方 法。 本文首先对基于i p s