（通信与信息系统专业论文）虚拟专用网关键技术研究.pdf

中文摘要 中文摘要 摘要：随着网络互联技术和企业间安全通信需求的迅猛发展，虚拟专用网( v i r t u a l p r i v a t en e t w o r k ，v p n ) 技术成为了宽带互联网技术发展和研究的热点，成为近年 来快速发展并得到应用普及的新兴互联网业务。v p n 是一种利用公众信息网络基 础设施、隧道协议和安全技术提供具有保密性、灵活性和低成本优势的专用数据 网络。下一代网络的服务互通、复杂网络连接、多层次的服务体系结构的目标对 未来虚拟专用网技术的发展提出了更高的要求。为了适应下一代网络的发展变化， 未来的虚拟专用网技术应更加具多样性与灵活性，技术服务与需求趋向紧密结合， 在保证安全的前提下，具有同时支持数据、语音和视频业务的能力；支持组播、 服务质量和移动性；接入技术的多样性、复杂环境的适应能力和互操作性。 本论文针对v p n 组播、移动和服务质量等关键技术，主要研究工作与创新点 如下： 1 、提出了基于虚拟路由器v r v p n 的用户站点组播及骨干网络上的三种组播 方案。首先，在用户站点组播实现方面提出了组播代理源r p 机制，基本思想是将 与用户站点相连的v i i 作为站点内部的组播代理源r p ，v r 作为用户站点组播流 的出入接口，配置方式简单固定，为整个网络提供一致的视图，可以有效地减少 站点内部的路由迂回和环路，实现了对v p n 站点内部组播状态完整的控制。其次， 针对不同的v r 拓扑结构提出三种骨干网络上的组播实现方案，分别是基于共享树 的组播、基于有源树的组播以及基于聚合共享树的组播，并从可扩展性、安全性、 资源利用率、服务质量四个方面进行分析评价。结果表明，本文提出的组播实现 机制在扩展性、安全性和服务质量方面优于现有的v p n 组播方案。 2 、提出了一种基于非对称的正反向隧道的移动v p n 方案。通过i p s e c 安全协 议提供数据源验证以及数据的完整性和保密性服务，在确保安全性的基础上，利 用互联网上下行流量分布非对称的特点建立非对称隧道，以合理的负载代价实现 了传输效率的优化，通过预协商机制实现移动节点无缝切换功能。方案有效地解 决了移动v p n 节点漫游过程中的注册问题和数据传输，对现有v p n 基础设施改 动较小，利于实际部署。理论分析了方案在m i p v 6 以及移动网络环境下的适用性， 并提出了移动网络环境下的改进方案。 3 、提出了一种基于v p n 软管模型的满足最大最小公平性的带宽资源分配模 型，在无需预知v p n i 网络拓扑结构和详细的流量分布矩阵前提下，依据对到达流 的速率估算来实时分配软管预留资源，从而得到可预测的q o s 性能保障及带宽的复 用增益。该模型可以实现v p n 网络吞吐量的最大化，并具有良好的可扩展性。为 了更有效地适应动态变化网络的带宽管理，本文还提出了一种基于误差补偿机制 北京交通大学博士学位论文 的网络流量预测模型。应用于实际的v p n 网络带宽资源管理可以有效地动态调整 链路资源，使v p n 共享链路上的负载得以有效地均衡分配。 关键词：虚拟专用网；组播；移动网络；服务质量；虚拟路由器 分类号：t p 3 9 3 a b s t r a c t a b s t r a c t a b s t r a c t ：w i t ht h er a p i dd e v e l o p m e n to fi n t e r - n e t w o r k i n gt e c h n o l o g ya n dt h e i n c r e a s i n gn e e d so fs e c u r ec o m m u n i c a t i o n sb e t w e e nc o r p o r a t i o n s ，v i r t u a lp r i v a t e n e t w o r k ( v p n ) t e c h n o l o g yh a sa t t r a c t e dal o to fa t t e n t i o nf r o mr e s e a r c h e r sa n d d e v e l o p e r so nt h eb r o a d b a n di n t e m e tt e c h n o l o g y i ti sr e c e n t l yr i s i n gu pa sn e w i n t e m e t o p e r a t i o n sw i t hr a p i dg r o w t ha n de x t e n s i v ei m p l i c a t i o n s v p ni sap r i v a t ed a t a n e t w o r kt h a tp r o v i d 鼯c o n f i d e n t i a l i t y , f l e x i b i l i t ya n dl o w e rc o s tt h r o u g ht h eu s eo f p u b l i c n e t w o r ki n f r a s t r u c t u r e ，t u n n e l i n gp r o t o c o la n d s e c u r i t y t e c h n o l o g i e s c h a r a c t e r i s t i c so ft h en e x t g e n e r a t i o nn e t w o r k s ( n g n ) ，s u c h 硒t h es e r v i c e s i n t e r w o r k i n g , c o m p l e xc o n n e c t i v i t ya n d m u l t i l e v e ls e r v i c ea r c h i t e c t u r e , h a v ei m p o s e d h i g h e rr e q u i r e m e n t so nt h ef u t u r ed e v e l o p m e n to fv i r t u a lp r i v a t en e t w o r k i no r d e rt o a d a p tt ot h ed e v e l o p m e n to fn g n t h ev p n s h o u l db em o r ed i v e r s i f i e da n df l e x i b l ei n o r d e rt om a k et h et e c h n o l o g ys e r v i c e sm e e tw i t ht h ed e m a n d s b e s i d e sp r o v i d i n g s e c u r i t yi n s u r a n c e ，t h ee m e r g i n gr e q u i r e m e n t sf o rv p n i n c l u d es u p p o r t i n gd a t a , v o i c e a n dv i d e ot r a f f i cs i m u l t a n e o u s l y ；m u l t i c a s t , q u a l i t yo fs e r v i c e ( q o s ) a n dm o b i l i t y ； s e r v i c ei n t e r w o r k i n gs c e n a r i o s ，c o m p l e xc o n n e c t i v i t ys c e n a r i o s ，c u s t o m e r - o n - d e m a n d c a p a b i l i t i e s t h et h e s i ss t u d i e st h ev p nt e c h n o l o g i e so fm u l t i c a s t ，m o b i l i t ya n dq o s 1 1 1 em a i n r e s e a r c hr e s u l t sa n di n n o v a t i o n sa r ea sf o l l o w s ： 1 、t h r e ei n n o v a t i v ev p nm u l t i c a s tm e c h a n i s mo ns e r v i c ep r o v i d e rb a c k b o n e n e t w o r ka n do n es c h e m eo nt h ec u s t o m e rs i t e sa r ep r o p o s e db a s e do ni pv p nu s i n g v i r t u a lr o u t e r s f i r s t , i tp u tf o r w a r dam u l t i c a s tp r o x ys o u r c e r pm e c h a n i s mo nt h e c u s t o m e rs i t e sm u l t i c a s t ，t h em a i ni d e ai st od e p l o yt h ev rc o n n e c t i n gt oac u s t o m e rs i t e a sam u l t i c a s tp r o x ys o u r c e r po ft h i sv p ns i t e 。t h e nt h e 馏a st h ei n t e r f a c et oa c c e s s t h em u l t i c a s ts t r e a mi nc u s t o m e rs i t e s i tp r o v i d e sc o n s i s t e n tv i e wo ft h ew h o l en e t w o r k a n ds i m p l ec o n f i g u r a t i o nf o rc u s t o m e r sa n dp r o v i d e r s i tc a ne f f e c t i v e l yr e d u c et h e c i r c u i t o u sr o u t ea n dt h el o o pw i t h i nt h es i t ea n dc o m p l e t ec o n t r o lo fm u l t i c a s ts t a t e s w i t h i nt h ev p n s i t e s e c o n d ，a c c o r d i n gt od i f f e r e n tv rt o p o l o g y , t h r e ev p n m u l t i c a s t s c h e m e so nb a c k b o n en e t w o r ka r ep r o p o s e d ，r e s p e c t i v e l yb a s e do ns h a r e dt r e e ，s h o r t e s t p a t ht r e ea n da g g r e g a t es h a r e b a s e dt r e e ，t h e nd e t a i l e da n a l y s i sa n de v a l u a t i o no nt h e s c a l a b i l i t y , s a f e t y , r e s o u r c eu t i l i z a t i o na n dq u a l i t yo fs e r v i c ea r ep r e s e n t e d t h er e s u l t s s h o wt h a tt h ep r o p o s e dm u l t i c a s tm e c h a n i s m sa r es u p e r i o rt oe x i s t i n gv p nm u l t i c a s t s c h e m e so ns c a l a b i l i t y , s e c u r i t ya n dq u a l i t yo fs e r v i c e 2 、am o b i l ev p ns c h e m eb a s e do na s y m m e t r i ct u n n e l si sb r i n gf o r w a r d i t p r o v i d e ss e r v i c e so fs o u r c ea u t h e n t i c a t i o n ，d a t ai n t e g r i t ya n dc o n f i d e n t i a l i t yt h r o u g ht h e i p s e cs e c u r i t yp r o t o c 0 1 t h ee s t a b l i s h m e n to ft h ea s y m m e t r i ct u n n e l si s t a k i n g a d v a n t a g eo ft h ea s y m m e t r yd i s t r i b u t i o no ft h et o t a lu p s t r e a ma n dd o w n s t r e a mt r a f f i c v 北京交通大学博士学位论文 o ni n t e m e t i to p t i m i z e st h et r a n s m i s s i o ne f f i c i e n c ya tt h ee x p e n s eo far e a s o n a b l e p a y l o a do nt h ep r e m i s eo fe n s u r i n gt h es e c u r i t y , a d o p t sp r e n e g o t i a t i o nm e c h a n i s mt o a c h i e v es e a m l e s sh a n d o v e ra n da d d r e s s e st h ep r o b l e m so ft h er e g i s t r a t i o na n dd a t a t r a n s m i s s i o n e f f e c t i v e l y i nt h e p r o c e s so fm o b i l e n o d e s r o a m i n g o n l yf e w m o d i f i c a t i o n st o e x i s t i n gv p ni n f r a s t m c t u r em a k e si te a s yt ob ei m p l e m e n t e d t h e o r e t i c a la n a l y s i so ft h es c h e m ei nm i p v 6a n dt h en e m oe n v i r o n m e n ti sp r e s e n t e d a n da l li m p r o v e ds o l u t i o ni nt h en e m oe n v i r o n m e n ti sp r o p o s e d 3 、an o v e lb a n d w i d t ha l l o c a t i o nm o d e ls a t i s f i e dt h em a x - m i nf a i r n e s si sp r o p o s e d f o rh o s e - m o d e l e dv p n i tr e a l i z e sr e a l - t i m eh o s eb a n d w i d t hr e s o u r c ea l l o c a t i o i lb a s e d 0 nt h ee s t i m a t e da r r i v a lr a t eo ft h eh o s ef l o ww i t h o u tt h ep r e m i s eo fd e t a i l e dv p n n e t w o r kt o p o l o g ya n d 垤m cd i s t r i b u t i o nm a t r i x ，t h u sa c h i e v et h ep r e d i c t a b l eq o s p e r f o r m a n c eg u a r a n t e e sa n db a n d w i d t hm u l t i p l e x i n gg a i n i ti sp r o v e d ，a n a l y t i c a l l y , t h a t t h ep r o p o s e dm o d e lw i m w e i g h i n gm a x - m i i lf a i ra l l o c a t i o na l g o r i t h mi sa b l et oa c h i e v e t h em a x i m u mo v e r a l lv p n t h r o u g h p u ta n dg o o ds c a l a b i l i t y m o r e o v e r , w es t r i c t l yp r o v e t h es t a b i l i t ya n da d a p t a b i l i t yo ft h i sf a i ra l l o c a t i o na l g o r i t h mb yt h e o r e t i c a la n a l y s i sa n d s i m u l a t i o nr e s u l t s t ob e t t e ra d a p tt ot h eb a n d w i d t hm a n a g e m e n ti nd y n a m i cm u t a t i v e n e t w o r k , i tp r o p o s e san e t w o r ki r a 伍cp r e d i c t i o nm o d e l 嘶t he r r o rc o m p e n s a t i o n a p p l i e dt ot h ea c t u a lv p nn e t w o r k , i t 咖d y n a m i c a l l ya d j u s tl i n kr 龉o u r c e 8a n d e f f e c t i v e l yb a l a n c et h ep a y l o a d o nt h es h a r i n g1 i n ko ft h ev p n k e y w o r d s ：v i r t u a lp r i v a t en e t w o r k ；m u l t i c a s t ；m o b i l en e t w o r k ；q o s ；v i r t u a l r o u t e r c l a s s n 0 ：t p 3 9 3 致谢 本论文的工作是在我的导师张宏科教授的悉心指导下完成的，张宏科教授严 谨的治学态度、超前的学术思想和宽厚的学者风范给了我极大的帮助和影响。在 此衷心感谢几年来张老师对我的关心和指导。 攻读博士期间，下一代互联网互联设备国家工程实验室和我本人工作所在的 信息与网络安全研究所的同事们给予了我大量的帮助和支持，在此向刘云教授、 张思东教授、周华春教授、秦雅娟教授、张振江老师、穆海冰老师、孟嗣仪老师、 卢燕飞老师和刘颖老师表示衷心的谢意，同时对师姐刘文红在课题研究期间和论 文撰写过程中提出的建议和鼓励表示由衷的感谢。 在实验室工作及撰写论文期间，张悦、刁溯等同学对我论文中的研究工作给 予了热情帮助，在此向他们表达我的感激之情。 另外也感谢爱人王红民先生及其父母对我的关心和支持，感激年迈的公婆千 里迢迢来北京照顾我刚满一周岁的可心儿宝贝，正是他们无私的付出和宽容理解 才使我能够克服诸多困难，不抛弃、不放弃，在学校专心完成我的学业。 本课题承蒙国家9 7 3 项目和自然科学基金的资助，特此致谢! 绪论 1 绪论 1 1 引言 随着网络互联技术和企业间安全通信需求的迅猛发展，虚拟专用网( v i r t u a l p r i v a t en e t w o r k ，v p n ) 技术成为了宽带互联网技术发展和研究的热点，是近年来 快速发展并得到应用普及的新兴互联网业务。虚拟专用网具有两层含义n 唰：其一， 所谓的“专用 是指v p n 技术利用公众信息网传输数据，通过对网络数据的封装 和加密传输，从而实现在公网上传输私有数据、达到私有网络的安全级别。直观 地去理解，“专有 即表示网络资源只能被指定的团体或个人所使用，未经允许的 第三方不会获得进入网络获取资源的权力，从而实现了信息的归属和访问控制， 网络的安全性得以体现。相对于“公用”来说，v p n 强调私有性和安全可靠性； 其二，所谓“虚拟 则是因为用户不再需要租用实际的长途数据线路，而是使用 公众信息网络基础设施。v p n 技术采用隧道协议、加密算法、身份认证等方法保 障用户专网数据通过安全的“加密管道 在公众网络中传播。 多媒体应用和技术的飞速发展使得网络上多媒体信息和实时业务的数量与日 俱增，用户在多业务支持、服务质量、移动性和安全性等方面的要求使目前的v p n 技术逐渐显露不足。下一代网络的服务互通、复杂网络连接、多层次的服务体系 结构的目标也对v p n 技术提出了更高的要求。为了适应下一代网络的发展变化， 未来的虚拟专用网技术应更加具多样性与灵活性，技术服务与需求趋向紧密结合， 在保证安全的前提下，具有同时支持数据、语音和视频业务的能力；支持组播、 服务质量和移动性；接入技术的多样性、复杂环境的适应能力和互操作性。v p n 业务将具有更广泛的服务内涵、更低的复杂性、更便利的管理和操作能力。虚拟 专用网独有的技术特点，诸如服务与传输层分离、资源虚拟化、多点连接以及自 动发现功能在下一代多业务网络环境的演进和服务方面发挥着关键的作用。因此， 研究v p n 网络服务质量技术、提出大范围v p n 组播实施的方案、解决移动v p n 环境下存在的诸多问题具有重要的意义。 1 2v p n 技术框架 传统v p n 采用的技术主要包括帧中继( f r ) 、异步转移模式( a t m ) 和虚电 路( v c ) 。但在过去的几年中，随着互联网逐渐成为现代社会最重要的信息基础设 施之一，以i p 和i p m p l s ( m u l t ip r o t o c o ll a b e ls w i t c h ，多协议标签交换) 为承载 北京交通大学博+ 学位论文 技术的i pv p n 成为运营商和学术界研究的焦点，本文对v p n 关键技术的研究也 主要针对i pv p n ，而i n t e r n e t 作为最普遍应用的p 网络也就成为目前v p n 最重要 的承载网络。 v p n 虽然是一种覆盖网络，但其中涉及的技术内容广泛而繁杂。通过对现有 各种信息网络分层理论的大量研究可以发现，各种网络体系结构都可以基本划分 为两个层面：一个是服务层面，一个是网络层面。因此，本文归纳出基于两层的 v p n 技术框架，即“v p n 服务层”和“v p n 通信控制层”。如图1 1 所示，v p n 技术框架中的服务层对应于t c p i p 网络体系结构中的应用层和传输层，通信控制 层则对应于网络层和网络接口层。服务层可以细分为管理服务子层和传输控制子 层。通信控制层也可以分为网络子层和链路子层。服务层为多种v p n 业务的会话、 管理控制与安全策略提供支持；通信控制层为服务层的多种业务和安全机制提供 统一的网络服务，并由v p n 网络接口与物理承载网络相接。 服 务 层 同 络 层 o s l 的体系结构 r ，磊 应用屡覆 紫9 表示层 爹 会话屡 运输层 鏊 鼹络层 数据链路层 物理层 爹 t c p f l p 的体系结构 服 务 层 网 络 层 图卜1v p n 技术框架分层结构 对应于上述分层结构，v p n 的相关技术框架组成如图1 - 2 所示。 管理服务子层主要对v p n 用户实施业务管理功能，包括计费( b i l l i n g ) 、用户 报告( u s e rr e p o r t ) 、服务监控( s e r v i c em o n i t o r ) 、服务等级协议s l a ( s e r v i c el e v e l a g r e e m e n t ) 管理等。 传输控制子层除了实现传统的t c p u d p 协议所提供的端到端的传输控制功能 外，还增加7 v p n 网络安全管理和应用层组播服务。其中网络安全管理主要由数 据控制( d a t ac o n t r 0 1 ) 和管理控制( m a n a g e m e n tc o n t r 0 1 ) 两部分组成。数据控制 实现数据包的压缩解压缩( c o m p r e s s d e c o m p r e s s i o n ) 、加密解密 ( e n c r y p t i o n d e e r y p t i o n ) 、数据完整性认证功能( d a t a - i n t e g r i t y a u t h e n t i c a t i o n ) 。 管理控制包括密钥和证书分发( k e ya n dc e r t i f i c a t i o nd i s t r i b u t i o n s ) 、隧道维护 ( t u n n e lm a i n t a i n ) 及鉴别与权限( i d e n t i f i c a t i o na n dp r e v i l e g e ) 的管理。 2 绪论 通信控制层在物理承载网络之上，主要实现网络层的路由功能( r o u t i n g ) 、信 令传递( s i g n a l i n gt r a n s f e r ) 、组播服务( m u l t i c a s t i n g ) 以及移动支持( m o b i l i t y ) 。 此外，还包括v p n i 网络特有的成员自动发现( m e m b e r s h i pa u t o - d i s c o v e r y ) 、端节 点生成( e n d p o i n tc r e a t i o n ) 、隧道建立( t u n n e le s t a b l i s h m e n t ) 及可达信息分发 ( d i s t r i b u t i o no fv p nr e a c h a b i l i t yi n f o r m a t i o n ) 。通信控制层的链路子层包含了链 路层的一些功能，提供点点的连接服务。 网络的服务质量( q u a l i t yo fs e r v i c e ，q o s ) 控制是一个复杂的工程，涉及网 络层的q o s 路由、队列服务、流量控制等，也存在端到端的q o s 策略以及应用层q o s 机制，因此在v p n 技术框架中将q o s 功能贯穿两个层次。 管 计费用户报告服务监控 服务等s l 级a 协议 理 服 务 k e r b e r o a 一 亍 服 层 安全管理 i p s e c ( i k e v 2 ) 务一一 层 传 压缩解压缩 翥鉴 输 应用层组播 加密，解密皂 隧 别 s o c k s ： 燕 址 道 与 制 数据完整恸 寡 维 权 s s i ，n ，s 护 限子 认证 发 层 服务质量 q o s 安全数据安全控制 传输层( t c p u d p ) i p s e e ( a h e s p ) 网 网络层 路由服务信令服务移动服务 g r e 通窆 组播服务 m p l s 堡 壶 成员端节点 隧道建立 可达信息 控 发现生成 分发 生i i 层链 c h a p p a p ，m s c h a p 肇 以太网p p p s u p ，无线接入 p p t p l 2 f l 2 t p 私网接口 公网接门 图1 - 2v p n 技术框架及对应的协议 上述v p n 技术框架涵盖了目f i _ i j v p n 研究和应用的各类技术，提出v p n 报务质 量保障q o s 的跨层概念、n 安全服务的过程及管理、v p n 特有服务特征、各种隧 道技术及协议的层次( 见表1 1 ) 等，为进一步研究适应下一代网络的v p n 技术提 供了技术参考和框架概念。 3 一! 室銮望叁堂堕主堂垡笙壅 表卜1 各种隧道技术及协议的说明 提供安全的、具有服务质量( q o s ) 保障的一层 n 业务。 y 1 3 1 3 m s - c h a p r f c13 3 4 l x i l , h , j y l z1p l a y 盯2t 吼n e lp r o t o 鲥二层隧道协议，l 2 t p 扩展亍i 昂1 酹矿孺r i 良弦湎一 一 用p p p 封装用户数据，允许多协议通过隧道传送，支持在两端点间 r f c 3 4 3 8 使用多隧道，提供多种身份验证机制以及对隧道端点进行验证。具 有增强的安全性。 报在基于m 的网络上传送。p p t p 支持多种网络协议。提供了在p 网 上建立多协议的安全 n 的通信方式。 l z 上【丑y 盯2f o 邢a r d i n g 二层转发协议，可以在多种介质r 面甭菌丽再广1 函西互互了一 继、m ) 上建立多协议的安全) n 。支持拨号接入服务器，将拨号数 据流封装在p p p 帧内，与p p l p 和l 2 t p 不同的是，l 2 口没有确定的 客户方，并且只在强制隧道中使用。 交换技术( a t m 、f r 和e t h e r n e t ) 和第三层i p 路由技术的优势，采用r f c 3 0 3 2 标签交换的概念实现了控制和转发的完全分离。m p l s 支持二层和 三层v p n 。 l j k e g e i l 谢ci b u t i i l ge n c a p s u l a t i o n 通用路由封装协议。允 磊丽再雨面= i 哥i i 页五一 种网络协议封装另一种网络协议，即将有效载荷封装在一个g 砌；包 中，然后将此g r e 包封装在其它某协议中并进行转发。 心s e c i ps e c u r i 妙i p 层安全协议，一组开放协议的总称，通猎聂鬲磊丽焉r 1 渖瓦i i 石t 一 通过加密和数据源验证来保证数据包在i n t e n l e t 网上传输时的私有 r f c 4 3 0 2 性、完整性和真实性。i p s e c 通过a h 认证头和e s p 封装安全协议来 r f c 4 3 0 3 实现。 层安全协议指定了一种在应用程序协议和1 m p 协议之间提供数 据安全性分层的机制，为t c p i p 连接提供数据加密、服务器认证、 消息完整性以及可选的客户机认证。主要功能是在两个通信应用程 序之间提供私密性和可靠性。 s o c k s s o c l ( s 是建立在t c p 层上需要认证的安全协议，优孬茬手磊面磊函f 面罨丙至r 可以为与特定t c p 端口相连的应用建立特定的隧道，并能够为认 证、加密和密钥管理提供“插件”模块。 - _ _ _ - _ - 一一 _ 一 4 绪论 1 3 国内外研究现状 v p n 技术综合了传统数据网络的安全和服务质量，以及共享数据网络结构的 简单和低成本，建立安全v p n 的发展代表了互联网络今后的发展趋势，近年来， 国内外学者围绕这一技术展开了多方面的学术研究，主要的研究内容可以大致分 为三个方面：网络性能、支持功能以及性能评价( 图1 3 ) 。本论文主要针对v p n 组播业务、移动性支持以及服务质量保障技术展开研究与讨论。 1 3 1v p n 组播 支持功能 图1 - 3v p n 技术的主要研究方向 络性能 组播是一种优化使用网络带宽的路由技术，允许i p 数据流从一个数据源或多 5 北京交通大学博士学位论文 个数据源发送到多个数据接收目的地。采用组播技术，避免了不必要的数据包复 制，减少了骨干网络的数据流量，所以i p 组播一直是互联网络研究领域中的热点。 自i p 组播的概念提出以来，经过2 0 多年研究的逐渐深入与发展，i p 组播领 域已经形成了比较完整的体系结构，其中包括组播成员管理协议m l d v 2 嘲、主机 组播协议i g m p v 3 、i g m ps n o o p i n g 州、组播地址管理协议m a d c a p 、m a s c t e l 和组播路由协议d v m r p 、m o s p f 、p i m d m 、p i m - - s m 、c b t 、b i d i r p i m 、 s s m 、m b g p 、m s d p 、b g m p 、p i m - - s s mh q 刨等。i p 组播对移动终端的支持目 前还处于研究中，除移动i p 中定义的两种基本的移动组播方案双向隧道m i p b t 和 远程加入m i p r s n 蝴1 外，根据组播加入地点、层次结构、支持类型等方面诸多学 者提出了不同的移动组播算法髓。近几年，针对p v 6 的组播、任播理论与标准的 研究也成果显著啪】。 与p 组播研究与应用的热度相比，v p n 组播的研究工作稍显滞后，标准化和 实用化进程都十分缓慢。i t u - t 将v p n 组播的研究归类在2 0 0 6 年成立的i p t v 焦 点组( f g i p t v ) 的标准研究工作中，在网络控制方面工作组( w g 4 ) 所研究的相 关问题中提出了组播v p n ，包括组播组管理以及不同环境下组播互通问题，但目 前还没有形成相关技术标准。2 0 0 4 年i e t f 将v p n 组播的研究正式纳入l 3 v p n ( l a y e r 3v p n ) 工作组的纲领，此后，业界对v p n 相关的组播研究逐渐成为热点。 l 3 v p n 工作组主要研究三种类型的v p n ：基于p e 的b g p m p l si pv p n ( 简称 b g p m p l sv p n ) 和虚拟路由器i pv p n ( i p v p nu s i n gv i r t u a lr o u t e r s ，简称v r v p n ) ，基于c e 的i p s e ev p n ( c e - b a s e dv p n su s i n gi p s e e ) 。从网络运营商的角 度，b g p m p l sv p n 和v rv p n 更具有应用前景，对这两种技术的研究和应用也 相应比较多。但在l 3 v p n 工作组针对b g p m p l sv p n 最新提出的r f c4 3 6 4 测 中只考虑了针对单播v p n 业务的解决方案，并没有对组播v p n 业务的开展给出 具体规划或建议，针对组播v p n 业务的开展还仅停留在草案阶段，没有形成标准， 仅在2 0 0 7 年提出了关于p p v p n ( p r o v i d e rp r o v i s i o n e dv p n ) 的组播需求乜射。虽然 还未有成型的标准，但就v p n 的组播研究来说，针对b g p m p l sv p n 的研究进 行得较早，研究成果也相对较多心5 屯7 1 。典型的代表是c i s c o 公司先后提出的1 4 个 版本的组播草案啪1 ，已即将确定成为i e t f 标准。此外，j u n i p e r 和n t t 也相继提 出过其它的解决方案陋3 2 1 。而目前国际上对于另外两种形式的v p n 组播研究，相 对进行的较少1 ，目前尚未提出比较完善的组播解决方案。 1 3 2 移动v p n 支持移动用户的接入是下一代互联网发展的必然目标。目前i e t f 关于i n t e r n e t 如何支持移动的研究已经趋于成熟u 蚓，并i ：im o b i l ei f , q - 作组提出的移动p 技术也 6 绪论 取得了一定的应用。移动v p n 技术是移动i p 和v p n 两种技术的融合，既能够实现 节点移动性，同时又能获得v p n 的安全性。但是，技术的复杂性带来了更多问题， 如在节点移动时频繁重建隧道、节点在安全的内网和移动到外网时通信过程的区 别对待、隧道建立的时机判断、无缝切换以及包括网关、家乡代理、外地代理等 的整体部署问题等。 在诸多v p n 协议标准中，口层安全协议i p s e c ( i ps e c u r i t y ) 提供了完整的一套 安全服务m 粕1 ，其开放系统的安全框架可以“无缝”的为i p 层引入安全特性，并提 供数据源身份验证、数据完整性检查和机密性保证机制，以防范数据受到来历不 明的攻击。因此，国内外对移动v p n 的研究焦点集中在i p s e c 协议上。尽管移动v p n 越来越受运营商的关注，但是在学术领域移动v p n 的建树并不是很多。目前移动 v p n 的发展还处于起步阶段，i e t f 尚没有成立关于移动v p n 的专门工作组，这一 领域的讨论更多的出现在个人草案当中，有关移动v p n 的相关标准进展缓慢。2 0 0 5 年，r f c 4 0 9 3 口刀的公布首次对移动i p v 4 协议穿越i p s e c 网关时存在的问题进行了定 义，并提出可能的解决框架，但缺少具体的实施方案。直至2 0 0 8 年，r f c 5 2 6 5 标准 嘲中才确定了一种基于i p v 4 的双家乡代理结构的解决方案。口v 6 协议将i p s e e 作为 其重要组成部分，在节点移动过程中强制执行。i e t f 标准r f c 3 7 7 6 啪1 、r f c 4 8 7 7 为移动i p v 6 确定了整体安全标准，即采用i p s e c 保护移动节点与家乡代理间的安全， 用返回路由可达过程保护移动节点与通信对端间的绑定注册过程，但缺少具体的 实施细节或没有兼顾到切换性能。 针对移动v p n 节点漫游过程中与v p n 网关频繁重建隧道的问题，i p s e c 与移 动环境的矛盾，不断有学者提出解决方法。近几年提出的比较具有代表性的方案 有三种： h i p h h4 2 】，h i p 的关键思想是断开网络层和传输层的紧密耦合，把主机 身份同p 地址相分离，通过引入主机标识( h o s ti d e n t i f i e r ，h i ) 来表示主机身份， 当口地址在节点移动过程中发生变化时，h i 保持不变，由此保证了连接的不中断。 h i p 虽然解决了重新协商安全关联的问题，但对t c p i p 体系结构彻底进行了改变； m o b i k e h 3 4 钔协议解决了在节点移动过程中频繁重建安全关联的问题，通过修改 现有的密钥协商管理协议i k e v 2 ，对其进行移动性支持扩展，但仍需要修改系统内 核中的安全关联；改变安全关联索引方式h 5 1 ，将三元组索引方式改为二元组索 引，动态更新v p n 网关中的安全策略数据库保存的目标i p 地址，以消息的交换替 代i k e 协商过程，但可能会导致安全关联不唯一的问题。 有关于移动v p n 整体架构方面，主要问题包括家乡代理、v p n 网关、防火墙 的位置部署和策略设置，采用何种隧道封装的形式以及移动v p n 封装效率等嵋卜5 2 1 。 针对这些问题典型的解决方案有双家乡代理结构。懈1 、单家乡代理结构隋引、动态外 部家乡代理m 朋 、双层封装方案旧3 等。移动安全性首先依赖于用户的身份认证， 如何在不影响移动i p 注册的情况下，建立v p n 隧道保护注册信息的安全也是移动 7 北京交通大学博十学位论文 v p n 研究的重点4 钉。另外移动节点位置检测和网络切换时的通信连续性问题也 有一些研究成果删，其中将移动i p 的移动检测和v p n 位置检测相结合，在路由 通告消息中携带位置判断信息是解决隧道建立时机的有效方案。i p s e c 协议处理对 移动网络设备的运算能力、带宽提出额外的要求，因此必须综合考虑选择的方案 对整个系统性能产生的影响侧。此外在不同系统平台上的移动v p n 实现以及不 同无线网络的适应性测试嘲也是目前移动v p n 的一个研究方向。 1 3 3v p n 服务质量 随着i n t e r n e t 商业化的巨大成功，服务质量成为网络发展的一个重要课题。近 年来，学术界对i n t e r n c t 上的q o s 保障研究已经形成了较为完善的体系结构，包括 o o s 定义、参数指标、q o s 模型以及各种实现机制等汹1 ，相关研究成果及文献繁多， 本文主要讨论) n 网络q o s 机制的特殊性，对传统q o s i h 题不再赘述。 虚拟专用网中的q o s 保证首先依赖于i n t 锄e t 环境t q o s 体系结构和管理机制 的发展，但同时也面临由于隧道加密、认证和数据包封装等特殊处理过程造成的 v p n q o s