（系统分析与集成专业论文）结合动态口令的vpn设计与实现.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：垄堑颦e t 期：丝：兰竺 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件 和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：墨鳖竖导师签名：e l 期：塑：竺f 山东大学硕士学位论文 摘要 随着电了商务、电子政务、远程办公和管理的迅速发展，用户对专用网络的 需求越来越大。同时面对业务需求流的不断增长，用户对网络的高性能、可靠性、 灵活性、安全性、经济性和可扩展性等方面提出了更高的要求。现有公司需要建 立一套内部信息管理系统，为内部工作人员及经常外出的工作人员提供信息传递 及信息公布。这些移动办公人员使用本机通过i n t e r n e t ，访问该企业的w e b 服 务器，从而实现信息交互业务。本课题的主要任务就是为该公司在公共数据网上 实现安全、可靠、高性能、可互操作、费用低的虚拟专用网( v p n ) 。 本文首先研究了v p n 的原理，v p n 的类型以及采用v p n 的优势。描述了v p n 的关键技术，包括密码技术、身份认证技术、隧道技术、密钥管理技术、o o s 技 术。重点描述了i p s e c 的概念、功能、体系结构以及运行方式。 针对系统的特点以及系统的需求，本文详细描述了项目中的v p n 方案，系统 软、硬件环境的搭建，访问控制在v p n 系统中的应用和设计同时针对该公司的 情况，方案中包括了与该公司相应的l d a p 接口的设计说明与实现，与r a d i u s 的 接口设计，r a d i u s 服务器的搭建，以及系统部分界面和功能描述，动态口令的 生成等。 为了保障系统接入的安全，用户登录验证过程中本系统采用了动态口令机 制。区别于传统的静态口令，将动态口令和手机短信相结合，消除了静态口令中 不安全和不方便的因素，使系统具有更强的安全性和实用性。本文详细描述了动 态口令的软件、硬件架构，各功能模块的设计实现等。 通过以上方案的设计实现，最终为该公司建立了安全可靠的虚拟专用网，该 公司外出移动人员可以安全方便的访问公司内部网络，并且防止了其他人员对公 司内部网络进行非法访问。 关键词：v p n ，身份认证，动态口令，l d a p 山东大学硕士学位论文 a b s t r a c t a st h e r a p i dd e v e l o p m e n to fe b u s i n e s s ，e - g o v e r n m e n t a f f a i r sa n dt h e t e l e c o m m u t i n ga n dm a n a g e m t n ，t h en e e d so fp r i v a t en e t w o r kg r o w a tt h es a m et i m e ， i nf a c eo ft h ei n c r e a s eo fd e m a n d ，t h eh i g hc a p a b i l i t y , d e p e n d a b i l i t y , f l e x i b i l i t y , s e c u r i t y , e c o n o m ya n de x p a n s i b i l i t y a l s or e q u i r e sh i g h q u a l i f i c a t i o n h e r e i sa c o m p a n yw h i c hn e e d st os e tu pa ni n n e ri n f o r m a t i o nm a n a g e m e n ts y s t e m f o ri t s e m p l o y e e sa n dt h o s ew h oo f t e ng oo u tt ot r a n s f e ra n dp u b l i c i z et h e i ri n f o r m a t i o n t h e s em o v i n ge m p l o y e e su s et h ec o m p u t e rt ov i s i tt h e i rc o m p a n yw e bs e r v e rt h r o u g h i n t e r n e tt or e a l i z et h ei n f o r m a t i o nc o m m u n i c a t i o n t h ea i mo ft h i sp a p e ri s t o e s t a b l i s hav p nf o rt h i sc o m p a n yw i t hs e c u r i t y , r e l i a b i l i t y , h i g h p o w e r , m u t u a l o p e r a t i o na n dl o w e x p e n s e f i r s to fa l l ，t h i sp a p e rs t u d i e so nt h e o r i e s ，t y p e sa n da d v a n t a g e so fv p n ， d e s c r i b i n gi t sk e yt e c h n o l o g yw h i c hi n c l u d e sp a s s w o r dt e c h n o l o g y , i da u t h e n t i c a t i o n t e c h n o l o g y , t u n n e lt e c h n o l o g y , s e c r e t - k e ym a n a g e m e n tt e c h n o l o g y a n dq o s t e c h n o l o g y t h ed e s c r i p t i o no fc o n c e p t ，f u n c t i o n ，s y s t e ms t r u c t i o na n dr u n n i n gm o d e o fi p s e ca r ee m p h a s i z e d a c c o r d i n gt ot h es y s t e mc h a r a c t e r i s t i c sa n dd e m a n d s ，t h i sa r t i c l ed e s c r i b e st h e v p ns c h e m e ，t h es e t t i n g u po ft h et h es o f t w a r ea n dh a r d w a r ee n v i r o n m e n t ，t h ev i s i t c o n t r o li nt h ea p p l i c a t i o na n dd e s i g no fv p ns y s t e m a tt h es a m et i m e ，t ot h i s s i t u a t i o n ，t h es h e m ei n c l u d e st h ed e s i g ne x p l a i n a t i na n dr e a l i z a t i o no ft h er e l e v a n t l d a pi n t e r f a c e ，i n t e r f a c ed e s i g nt or a d i u s ，t h ee s t a b l i s h m e n to fr a d i u ss e r v e ra s w e l la st h ed e s c r i p t i o no ft h es y s t e mi n t e r f a c ea n df u n c t i o n ，t h ec r e a t i o no fd y n a m i c p a s s p o r d i no r d e rt og u a r a n n t e et h es e c u r i t yo ft h es y s t e mi n p u t e ，t h es y s t e ma d o p t st h e d y n a m i cp a s s p o r dm e c h a n i s mi nt h ep r o c e s so fl o g g i n gi nv a l i d a t i o n d i f f e r e n tf r o m t h et r a d i t i o n a ls t a t i c p a s s w o r d ，d y n a m i cp a s s w o r da n d t h em o b i l e p h o n es h o r t m e s s a g e sa r ec o m b i n e dt oe l i m i n a t et h eu n s a f ea n dd i s c o m m o d i o u sf a c t o r si n s t a t i c p a s s w o r da n dm a k et h es y s t e mm o r es e c u r ea n dp r a c t i c a l t h es o f t w a r ea n dh a r d w a r e f r a m e sa n dt h ed e s i g nr e a l i z a t i o no f t h ef u n c t i o nm o d u l sa r ed e s c r i b e dd e t a i l e d l y t h r o u g ht h ea b o v ep r o g r a md e s i g n ，t h e s e c u r ea n dr e l i a b l ev i r t u a lp r i v a t e n e t w o r ki ss e tu pf o rt h a tc o m p a n y , s ot h a tt h em o v i n ge m p l o y e e sc o u l dv i s i tt h e c o m p a n yi n n e rn e t w o r ks a f e l ya n dc o n v e n i e n t l ya n dt h e ill e g a ln e t w o r kv i s i tt ot h a t c o m p a n y i sa l s op r e v e n t e d k e yw o r d s ：v p n ，i da u t h e n t i c a t i o n ，d y n a m i cp a s s w o r d ，l d a p 6 山东大学硕士学位论文 第一章引言 1 1 课题背景 随着电了商务、电子政务、远程办公和管理的迅速发展，用户对专用网络的 需求越来越大。同时面对业务需求流的不断增长，用户对网络的高性能、可靠性、 灵活性、安全性、经济性和可扩展性等方面提出了更高的要求，使得传统的，基 于固定地点的租用专线( d d n 、a i m 帧中继) 联网方式已难以适应现代业务对专用 网络的需求，尤其对一些特殊应用更加难以实现，如：异地办公和外出人员访问 内部网络资源等。利用i n t e r n e t 的资源来组建虚拟专用网络( v p n ) 己成为一种新 的选择，v p n 是利用公共网络建立的一个临时连接，是对企业内部网的扩展，可 以帮助远程用户、公司分支机构、移动用户与公司的内部网建立可信的安全连接， 并保证数据的安全可靠传输，提高网络数据传输的安全性、可靠性和保密性。 网络的访问控制可以分为两个方面：控制组织内部人员对网络系统的访问和 控制来自于外部不知名的用户的访问，一般外部访问只有部分是可信的，需要区 别出哪些是我们认为合法的访问用户。简单而又有效的办法是在服务器程序上作 口令认证和基于来访i p 地址的限制，而地域遍布全国，因此基于i p 地址限制 的方式似乎行不通。 虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ，简称v p n ) 技术的应用，很好地 解决了上述的问题。 1 2 课题任务 山东省移动公司( 以下简称公司) ，需要建立一套内部信息管理系统，为内部 工作人员及经常外出的工作人员提供信息传递及信息公布。使用人员预计2 5 0 0 名员工，其中有5 0 0 人需要经常在公司外部进行移动办公。这些移动办公人员使 用本机通过i n t e r n e t ，访问该企业的w e b 服务器，从而实现信息交瓦业务。由 于i n t e r n e t 的广泛性和开放性，给该企业的系统应用带来了很多安全隐患，给 系统提出了信息加密传输、登陆身份认证需求。 根据需求，加密传输采用v p n 的方式，身份认证过程中如果使用“用户名+ 密码”的方法验证移动用户的身份，在先进技术发展的背景下会存在诸多安全隐 7 山东大学硕士学位论文 患：首先，用户可能具有多个应用系统的访问帐号，随着时间的推移，用户大多 都无法记住自己在每个应用系统的用户名和密码，从而导致了系统管理员的维护 工作大大增加。其次，用户名和密码在网上传输中很容易被窃取，现在已经有很 多黑客软件，例如各种版本的网络嗅探器，通过网络监听就很容易截取用户名和 密码。另外，用户设置的用户名和密码都有一些个人习惯，密码往往是和自己有 关系的单词或数字，很容易被别人猜出。 因此，需要采用有加密传输与身份认证结合的安全机制，实现对访问用户的 身份验证、传输信道加密，确保身份真实的用户能够安全的访问系统、放心的传 输数据。 本课题的任务就是为公司构建安全v p n 系统，并且结合动态口令实现v p n 的 接入，使外部工作人员能够随时随地安全的访问山东移动内部的网络。 1 3 论文结构 本论文共分六章，结构如下： 第一章：引言，描述论文的背景以及意义。 第二章：v p n 原理，详细说明v p n 的实现方式，类型以及使用v p n 的优势。 第三章：v p n 技术，描述v p n 主要技术，包括密码技术，身份认证技术，隧 道技术，密钥箭理技术以及q o s 技术等 第四章：v p n 设计，主要描述公司v p n 的总体设计 第五章：结合动态口令的v p n 接入，介绍动态口令技术，公司动态口令方案， 以及系统与l d a p 、r a d i u s 接口设计 第六章：系统详细设计和实现，介绍系统详细的操作流程，部分界面和功能 描述，动态口令的牛成以及系统的安全管理和配置 8 山东大学硕士学位论文 第二章v p n 原理 2 1v p n 概述 虚拟专用网技术( v p n ) n 1 是将物理分布在不同地点的网络通过公用骨干网。 尤其是i n t e r n e t 连接而成的逻辑上的虚拟了网。为了保障信息的安全，v p n 技 术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄漏、篡改和 复制。 v p n 利用开放性公共网络作为信息传输的媒体，通过加密、认证、封装以及 密钥交换技术在公网上开辟一条专用隧道，使得合法的用户可以安全地访问内部 网络的私有数据。它可以替代专线，把单位的移动员工、远程分支机构连接到单 位的内部网络。虚拟专用网对用户端透明，用户好像使用一条专用线路进行通信。 要实现v p n 连接，单位内部网络中心必须提供v p n 服务，v p n 同时连接单位内部 网络和i n t e r n e t 。当客户机通过v p n 连接与内部专用网络中的服务器进行通信 时，先由i s p 将所有的数据传送到v p n ，然后再由v p n 服务将所有的数据传送到 内部网络的目标服务器。 2 2v p n 的类型 v p n 有3 种类型乜1 ：a c c e s sv p n ( 远程访问v p n ) ，i n t r a n e tv p n ( 企业内部v p n ) 和e x t r a n e tv p n ( 企业扩展v p n ) ，这3 种类型的v p n 分别对应于传统的远程访问 网络、企业内部的i n t r a n e t 以及企业和合作伙伴的网络所构成的e x t r a n e t 。 2 2 1a c c e s sv p n a c c e s sv p n 即所谓的移动v p n ，适用于企业内部人员流动频繁或远程办公的 情况，出差员工或者在家办公的员工利用当地i s p ( i n t e r n e ts e r v i c ep r o v i d e r ， i n t e r n e t 服务提供商) 就可以和企业的v p n 网关建立私有的隧道连接。 a c c e s sv p n 对应于传统的远程访问内部网络。在传统方式中，在企业网络 内部需要架设一个拨号服务器作为r a s ( r e m o t ea c c e s ss e r v e r ) ，用户通过拨号 到该r a s 来访问企业内部网。这种方式需要购买专门的r a s 设备，价格昂贵，用 户只能进行拨号，也不能保证通信安全，而且通过远程用户可能要支付昂贵的长 途拨号费用。 o 山东大学硕士学位论文 a c c e s sv p n 通过拨入当地的i s p 进入i n t e r n e t 再连接企业的v p n 网关，在 用户和v p n 网关之间建立一个安全的“隧道”，通过该隧道安全地访问远程内部 网，这样既节省了通信费用，也能保证安全性。 a c c e s sv p n 地拨入方式包括拨号、i s d n 。数字用户线路( x d s l ) 等，唯一的 要求就是能够使用合法i p 地址访问i n t e r n e t ，具体何种方式没有关系。通过这 些灵活的拨入方式能够让移动用户、远程用户或分支机构安全的接入到内部网 络。 2 2 2in t r a n e tv p n 如果要进行企业内部异地分支机构的互联，可以使用i n t r a n e tv p n 方式， 这是所谓的网关对网关v p n ，它对应于传统的i n t r a n e t 解决方案。 i n t r a n e tv p n 在异地两个网络的网关之间建立了一个加密的v p n 隧道，两 端的内部网络可以通过该v p n 隧道安全地进行通信，就好像本地网络通信一样。 i n t r a n e tv p n 利用公共网络( 如i n t e r n e t ) 的摹础设施，连接企业总部、远 程办事处和分支机构。企业拥有与专用网络相同的策略，包括安全、服务质量 ( q o s ) 、可管理性和可靠性。 2 2 3e x t r a n e tv p n 如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网， 可以使用e x t r a n e tv p n ，它对应于传统的e x t r a n e t 解决方案，如图2 4 所示 e x t r a n e tv p n 其实也是一种网关对网关的v p n ，与i n t e r n e tv p n 不同的是， 它需要在不同的内部网络之间组建，需要有不同协议和设备之间的配合和不同的 安全配置。 2 3v p n 的优势 ( 1 ) 保证安全 虽然实现v p n 的技术和方式很多，但所有的v p n 均应保证通过公用网络平台 传输数据的专用性和安全性。在非面向连接的公用i p 网络上建立一个逻辑的、 点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据 进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有 性和安全性。在安全性方面，由于v p n 直接构建在公用网上，实现简单、方便t 灵活，但同时其安全问题也更为突出。企业必须确保其v p n 上传送的数据不被攻 l o 山东大学硕士学位论文 击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 e x t r a n e t v p n 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 ( 2 ) 服务质量保证( q o s ) v p n 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对 服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保 证v p n 服务的一个丰要因素；而对于拥有众多分支机构的专线v p n 网络，交互式 的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用( 如视频等) 则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要 求网络根据需要提供不同等级的服务质量。在网络优化方面，构建v p n 的另一重 要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域 网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网 络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的 网络带宽空闲。o o s 通过流量预测与流量控制策略，可以按照优先级分配带宽资 源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 ( 3 ) 可扩充性和灵活性 v p n 支持通过i n t r a n e t 的任何类型数据流，方便增加新的结点，支持多种 类型的传输媒介，可满足同时传输语音、图像和数据等新应用对高质量传输及带 宽增加的需求。 ( 4 ) 可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在v p n 管理方面，v p n 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙 伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需 要完成许多网络管理任务。所以，一个完善的v p n 管理系统是必不可少的。v p n 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实 上，v p n 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、o o s 管理等内容。 ( 5 ) 降低成本 v p n 是利用了现有的i n t e r n e t 或其他公共网络的基础设施未用户创建安全 隧道，不需要使用专门的线路，如d d n 和p a t n ，这样就节省了专门线路的租金。 山东大学硕士学位论文 蔓曼曼曼曼皇i 一l ! 曼曼鼍曼曼曼! ! 曼曼曼! ! 曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼! ! 曼曼曼皇曼皇曼曼曼曼曼曼曼曼曼曼曼曼曼曼鼍曼皇曼皇曼量鼍 第三章v p n 技术 3 1 密码技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信 息，使非受权者不能了解被保护信息的内容。加密算法有d e s 和三次d e s 。 加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网 络层中的加密标准是i p s e c 。网络层加密实现的最安全方法是在主机的端到端进 行。另一个选择是”隧道模式”：加密只在路由器中进行，而终端与第一跳路由之 间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取 而危及数据安全。终端到终端的加密方案中，v p n 安全粒度达到个人终端系统的 标准；而”隧道模式”方案，v p n 安全粒度只达到了网标准。在链路层中，目前还 没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的， 需要特别的加密硬件。 3 2 身份认证技术 v p n 需要解决的首要问题就是网络上用户与设备的身份认证，如果没有一个 万无一失的身份认证方案，不管其他安全设施有多严密，整个v p n 的功能都将失 效。 从技术上说，身份认证基本上可以分为两类h 1 ：非p k i 体系和p k i 体系的身 份认证。非p k i 体系的身份认证基本上采用的是u i d + p a s s w o r d 模式，举例如下： p a p ，p a s s w o r da u t h e n t i c a t i o np r o t o c o l ，口令认证协议； c h a p ，c h a l l e n g e h a n d s h a k ea u t h e n t i c a t i o np r o t o c o l ，询问握手认证协 议 e a p ，e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l ，扩展身份认证协议 m s c h a p 。m i c r o s o f tc h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c o l ， 微软询问握手认证协议； s p a p ，s h i v ap a s s w o r da u t h e n t i c a t i o np r o t o c o l ，s h i v a 口令字认证协 议： r a d i u s ，r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ，远程认定拨号 1 2 山东大学硕士学位论文 用户服务。 p k i 体系的身份认证的例子有电子商务中用到的s s l 安全通信协议的身份认 证、k e r b e r o s 等。目前常用的方法是依赖于c a ( c e r t i f i c a t ea u t h o r i t y ，数字 证书签发中心) 所签发的符合x 5 0 9 规范的标准数字证书。通信双方交换数据前， 需先确认彼此的身份，交换彼此的数字证书，双方将此证书进行比较，只有比较 结果正确，双方才开始交换数据；否则，不能进行后续通信。 3 3 隧道技术 隧道技术通过对数据进行封装，在公共网络上建立一条数据通道( 隧道) ，让 数据包通过这条隧道传输。生成隧道的协议有两种瞄1 ：第二层隧道协议和第三层 隧道协议。二者本质区别在于用户的数据包是被封装到哪一层的数据包在隧道里 传输。 ( 1 ) 第二层隧道协议是在数据链路层进行的，先把各种网络协议封装到p p p 包中，再把整个数据包装入隧道协议中，这种经过两层封装的数据包由第二层协 议进行传输。第二层隧道协议有以下几种： p p t p ( p o i n tt op o i n tt u n n e li n gp r o t o c o l ，r f c 2 6 3 7 ) ：p p t p 是v p n 的基 础。p p t p 的封装在数据链路层产生，p p t p 协议采用扩展g r e ( g e n e r i cr o u t i n g e n c a p s u l a ti o n ) 头对p p p s l i p 报进行封装。 l 2 f ( l a y e r2f o r w o r d i n g ，r f c 2 3 4 1 ) ：l 2 f 可在多种介质( 如a t m 、帧中继、 网) 上建立多协议的安全虚拟专用网，它将链路层的协议( 如p p p 等) 封装起来传 送。因此，网络的链路层完全独立于用户的链路层协议。 l 2 t p ( 1 a y e r2t u n n e l i n gp r o t o c o l ，r f c 2 6 6 1 ) 是远程访问型v p n 今后的标 准协议。它结合了p p t p 协议和l 2 f 协议的优点几乎能实现p p t p 和l 2 f 协议能 实现的所有服务，- 并且更加强大、灵活。 ( 2 ) 第三层隧道协议是在网络层进行的，把各种网络协议直接装入隧道协议 中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有以下几种： i p s e c ( i ps e c u r i t y ) ：在i p 层提供通信安全的一套协议族，包括封装的安 全负载e s p 和认证报头a h 、i s a k m p ，它对所有链路层上的数据提供安全保护和 透明服务。a h 用于通信双方验证数据在传输过程中是否被更改并能验证发送方 的身份，实现访问控制、数据完整性、数据源的认证功能。i s a k m p 用于通信双 山东大学硕士学位论文 方协商加密密钥和加密算法，并且用户的公钥和私钥是由可信任第三方产生。有 关i p s e c 详细信息将在3 6 节中详述。 g r e ( g e n e r a lr o u t i n ge n c a p s u l a t i o n ，r f c2 7 8 4 ) 是通用的路由封装协议， 支持全部的路由协议( 如r i p 2 ，o s p f 等) ，用于在i p 包中封装任何协议的数据包， 包括i p 、i p x 、n e t b e u i 、a p p l e t a l k 、b a n y a nv i n e s 、d e c n e t 等。 g r e 主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文 用一个新的报文头( g r e 报文头) 进行封装然后带着隧道终点地址放入隧道中。 当报文到达隧道终点时，g r e 报文头被剥掉，继续原始报文的目标地址进行寻址。 g r e 隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些 实现允许点到多点，即一个源地址对多个终地址。这时候就要和下一跳路由协议 ( n e x t - h o pr o u t i n gp r o t o c o l ，n h r p ) 结合使用。n h r p 丰要是为了在路由之间 建立捷径。 g r e 隧道用来建立v p n 有很大的吸引力。从体系结构的观点来看，v p n 就象 是通过普通主机网络的隧道集合。普通丰机网络的每个点都可利用其地址以及路 由所形成的物理连接，配置成一个或多个隧道。在g r e 隧道技术中入口地址用的 是普通主机网络的地址空间，而在隧道中流动的原始报文用的是v p n 的地址空 间，这样反过来就要求隧道的终点应该配置成v p n 与普通丰机网络之间的交界 点。这种方法的好处是使v p n 的路由信息从普通主机网络的路由信息中隔离出 来，多个v p n 可以重复利用同一个地址空间而没有冲突，这使得v p n 从丰机网络 中独立出来。从而满足了v p n 的关键要求：可以不使用全局唯一的地址空间。隧 道也能封装数量众多的协议族，减少实现v p n 功能函数的数量。还有，对许多 v p n 所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功 能，这是非常重要的。i p 路由过滤的主机网络不能提供这种服务，而只有隧道 技术才能把v p n 私有协议从主机网络中隔离开来。基于隧道技术的v p n 实现的另 一特点是对丰机网络环境和v p n 路由环境进行隔离。对v p n 而言主机网络可看成 点到点的电路集合，v p n 能够用其路由协议穿过符合v p n 管理要求的虚拟网。同 样，主机网络用符合网络要求的路由设计方案，而不必受v p n 用户网络的路由协 议限制。 虽然g r e 隧道技术有很多优点，但用其技术作为v p n 机制也有缺点，例如管 1 4 山东大学硕士学位论文 曼曼皇曼皇! ! 曼曼! ! ! ! ! ! ! 曼曼曼曼曼曼曼曼曼曼曼皇l i e ； i ；i 皇! 曼曼舅曼! 曼! 曼! 皇曼曼曼皇曼曼! 曼! 曼! 皇 理费用高、隧道的规模数量大等。因为g r e 是由手工配置的，所以配置和维护隧 道所需的费用和隧道的数量是直接相关的一每次隧道的终点改变，隧道要重新配 置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容 易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类 机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报 文( 进入隧道前的) 进行的话，就会影响路由发送速率的能力及服务性能。 g r e 隧道技术是用在路由器中的，可以满足e x t r a n e tv p n 以及i n t r a n e tv p n 的需求。但是在远程访问v p n 中，多数用户是采用拨号上网。这时可以通过l 2 t p 和p p t p 来加以解决。 3 4 密钥管理技术 在v p n 应用中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是 通过手工配置的方式，另一种是采用密钥交换协议动态分发。手工配置的方法要 求密钥更新不要太频繁，否则管理工作量太大，因此只适合于简单网络的情况。 密钥交换协议采用软件方式动态牛成密钥，保证密钥在公共网络上安全地传输而 不被窃取，适合于复杂网络的情况，而且密钥可快速更新，可以显著提高v p n 应 用的安全性。目前主要的密钥交换于管理标准有s k i p 1 ( s i m p l ek e ym a n a g e m e n t f o ri p ) 和i s a k m p 1 ( i n t e r n e ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n t p r o t o c o l ， i n t e r n e t 安全联盟和密钥管理协议，r f c 2 4 0 8 ) o a k l e y ( r f c 2 4 1 2 ) 。 r s k i p 是由s u n 所发展的技术，主要利用d i f f i e h e ll m a n 算法在网络上传输 密钥，在i s a k m p o a k l e y 中，o a k l e y 定义如何辨认即确认密钥，i s a k m p 定义分 配密钥的方法。 3 5q o s 技术 通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的 v p n 。但是该v p n 性能上不稳定，管理上不能满足企业的要求，这就要加入q o s 技术【7 1 。实行o o s 应该在主机网络中，即v p n 所建立的隧道这一段，这样才能建 立一条性能符合用户要求的隧道。 不同的应用对网络通信有不同的要求，这些要求可用如下参数给予体现： 带宽：网络提供给用户的传输率； 反应时间：用户所能容忍的数据报传递延时； 抖动：延时的变化： 1 5 山东大学硕士学位论文 丢失率：数据包丢失的比率。 网络资源是有限的，有时用户要求的网络资源得不到满足、通过o o s 机制 对用户的网络资源分配进行控制以满足应用的需求。q o s 机制具有通信处理机制 以及供应和配置机制。通信处理机制包括8 0 2 1 p 、区分服务、综合服务等等。 现在大多数局域网是基于i e e e 8 0 2 技术的，如以太网、令牌环、f d d i 等，8 0 2 i p 为这些局域网提供了一种支持o o s 的机制。8 0 2 1 p 对链路层的8 0 2 报文定义了 一个可表达8 种优先级的字段。8 0 2 i p 优先级只在局域网中有效，一旦出了局 域网，通过第三层设备时就被移走。d i f f s e r v 则是第三层的o o s 机制，它在i p 报文中定义了一个字段称d s c p ( d i f f s e r vc o d e p o i n t ) 。d s c p 有六位，用作服 务类型和优先级，路由器通过它对报文进行排队和调度。与8 0 2 1 p 、d i f f s e r v 不同的是，i n t s e r v 是一种服务框架，目前有两种：保证服务和控制负载服务。 保证服务许诺在保证的延时下传输一定的通信量；控制负载服务则同意在网络轻 负载的情况下传输一定的通信量。典型地，i n t s e r v 与资源预留协议( r e s o u r c e r e s e r v a t i o np r o t o c o l ，r s v p ) 相关。i n t s e r v 服务定义了允许进入的控制算法， 决定多少通信量被允许进入网络中。 供应和配置机制包括r s v p 、了网带宽管理( s u b n e tb a n d w i d t hm a n a g e r ，s b m ) 、 政策机制和协议以及符理工具和协议。这里供应机制指的是比较静态的、比较长 期的符理任务，如：网络设备的选择、网络设备的更新、接口添加删除、拓扑结 构的改变等等。而配置机制指的是比较动态、比较短期的管理任务，如：流量处 理的参数。 r s v p 【8 1 是第三层协议，它独立于各种的网络媒介。因此，r s v p 往往被认为介 于应用层( 或操作系统) 与特定网络媒介o o s 机制之间的一个抽象层。r s v p 有 两个重要的消，i f , ：p a t h 消息，从发送者到接收者；r e s v 消息，从接收者到始发 者。r s v p 消息包含如下信息：网络如何识别一个会话流( 分类信息) ；描 述会话流的定量参数( 如数据率) ；要求网络为会话流提供的服务类型；政 策信息( 如用户标识) 。r s v p 的工作流程如下： 会话发送者首先发送p a t h 消息，沿途的设备若支持r s v p 则进行处理， 否则继续发送； 1 6 山东大学硕士学位论文 设备若能满足资源要求，并且符合本地管理政策的话，则进行资源分 配，p a t h 消息继续发送，否则向发送者发送拒绝消息； 会话接收者若对发送者要求的会话流认同，则发送r e s v 消息，否则发 送拒绝消息； 当发送者收到r e s v 消息时，表示可以进行会话，否则表示失败。 s b m 是对r s v p 功能的加强，扩大了对共享网络的利用。在共享了网或l a n 中 包含大量交换机和网络集线器，因此标准的r s v p 对资源不能充分利用。支持r s v p 的主机和路由器同意或拒绝会话流，是基于它们个人有效的资源而不是基于全局 有效的共享资源。结果，共享子网的r s v p 请求导致局部资源的负载过重。s b m 可以解决这个问题：协调智能设备。包括：具有s b m 能力的丰机、路由器以及交 换机。这些设备自动运行一选举协议，选出最合适的设备作为d s b m ( d e s i g n a t e d s b m ) 。当交换机参与选举时，它们会根据第二层的拓扑结构对子网进行分割。 主机和路由器发现最近的d s b m 并把r s v p 消息发送给它。然后，d s b m 查看所有 消息来影响资源的分配并提供允许进入控制机制。 网络管理员基于一定的政策进行o o s 机制配置。政策组成部分包括：政策数 据，如用户名；有权使用的网络资源；政策决定点( p o l i c yd e c s i o np o i n t ，p d p ) ； 政策加强点( p o l i c ye n f o r c e m e n tp o i n t ，p e p ) 以及它们之间的协议。传统的 由上而下( t o p d o w n ) 的政策协议包括简单网络管理协议( s i m p l en e t w o r k m a n a g e m e n tp r o t o c o l ，s n m p ) 、命令行接口( c o m m a n dl in ei n t e r f a c e ，c l i ) 、 命令开放协议服务( c o m m a n do p e np r o t o c o ls e r v i c e s ，c o p s ) 等。这些q o s 机 制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网 络服务。 3 6i p s e c 3 。6 1lp s e c 概念 i p s e c 阳1 ( i ps e c u r i t y ) 是一种由i e t f 设计的端到端的确保i p 层通信安全的 机制，i p s e c 不是一个单独的协议，而是一组协议。i p s e c 协议的定义文件包括 了1 2 个r f c 文件和几十个i n t e r n e t 草案，已经成为工业标准的网络安全协议。 i p s e c 是随着i p v 6 的制定而产生的，鉴于i p v 4 的应用仍然很广泛，所以后 来在i p s e c 的制定中也增加了对i p v 4 的支持。i p s e c 在i p v 6 中是必须支持的， 山东大学硕士学位论文 而在i p v 4 中是可选的。 i p 协议在当初设计时并没有过多的考虑安全问题，而只是为了能够时网络 方便的进行互联互通，因此i p 协议从本质上就是不安全的。仅仅依靠i p 头部的 校验和字段无法保证i p 包的安全，修改i p 包并重新正确计算校验和是很容易的。 如果不采取安全措施，i p 通信会暴露在多种威胁之下，下面举几个简单的例予 ( i ) 窃听一般情况下i p 通信是明文形式的，第三方可以很容易的窃听到 i p 数据包并提取出其中的应用层数据。“窃听”虽然不破坏数据，却造成了通信 内容外泄，甚至危及敏感数据的安全。 ( 2 ) 篡改攻击者可以在通信线路上非法窃取到i p 数据包，修改其内容并 重新计算校验和，数据包的接收方一般不可能察觉出来。作为网络通信用户，即 使并非所有的通信数据都是高度机密的，也不想看到数据在传输过程中有任何差 错。 ( 3 ) i p 欺骗在一台机器上可以假冒另外台机器向接收方发包。接收方 无法判断收到的数据包是否真的来自该i p 包中所声称的源i p 地址。 ( 4 ) 重放攻击法搜集特定i p 包，进行一定的处理，然后再一一重新发送， 欺骗接收方丰机。 i p 协议之所以不安全，就是因为i p 协议没有采取任何安全措施，既没有对 数据包的内容进行完