（通信与信息系统专业论文）虚拟专用网的实现和服务质量研究.pdf

虚拟专用网的实现和服务质量研究 摘要 随着计算机网络的不断发展，很多大公司、政府部门和民间组织 ， 都用它来传输数据。f 这些单位的各个部门往往都是跨地区的，如果全 部用自己的专线，其价格非常昂贵，于是利用i n t e r n e t 这样的公共 。， f 网络来传输私有数据就可以节省大量费用，缺点是不安全，因此枷必 须采用一定的机制来保障数据的安全，虚拟专用网络( v p n ) 技术便 应运而生。i v p n 具体实现是采用隧道技术，将企业网的数据封装在隧 、 道中进行传输。隧道协议可分为第二层隧道协议( 如：p p t p 、l 2 f 和 l 2 t p 等) 和第三层隧道协议( 如i p s e c 等) 。p p t p 、l 2 f 和l 2 t p 各自 有自己的优点，但是都没有很好地解决数据加密的问题。而i p s e c 协 议把多种安全技术集合到一起，可以建立安全、可靠并具有互通性的 v p n 。因此，目前v p n 的开发都必须要遵循i p s e c 协议。 v 一万 为了达到这一目标，j 我首先使用自由软件的源代码在p c 机上实 现了i p s e c 协议，然后在此基础上进行仔细地分析和研究，并对其进 行了一些改进，包括：启用重播窗口以抵抗重播攻击、采用r a d i x 树 进行策略查找、i p s e c 嵌套模式的实现以及使用特定的c o o k i e 生成 算法抵抗服务否认攻击等。f 这些改进显著提高了v p n 的性能和安全 十牛。 第1 页 沟交通人学坝l 学位论史 传统的i p 网络为尽力传送网络，而新兴的i p 语音、实时点播等 应用对网络的服务质量( q o s ) 提出了较高的要求，这种需求也出现 、，“ 在j ，v p n 上j 适合v p n 的q o s 应能在提供网络安全服务的同时根据用 户应用所要求的q o s 参数来选择不同的处理方式。f 它的意义在于使 v p n 能在i p 网络的发展基础上，结合用户q o s 要求提供高质量的服 务，实现真正高性能的v p n 。p 一 对i pq o s 的研究近年来进展得异常迅速，i e t f 在r f c 标准和草 案中已经提出了多种服务模型来满足q o s 。住要包括集成服务 ( i n t s e r v ) 模型，区分服务( d i f f s e r v ) 模型及多协议标记交换 ( m p l s ) 等。我分别研究了这些模型，并提出了各自在v p n 中的实现 方案。厂一一 为了更好地研究v p n 的q o s ，我在l i n u x 的i p s e c 上设计了一个 d i f f s e r v 的原型，并编写了一些测试程序来研究其上的q o s 性能。 ( 奉艮据测试的结果可以看出，在v p n 网关上实现d i f f s e r v 将v p n 网关 内的多媒体业务与其它业务区分开来，可以显著地提高v p n 内多媒体 业务的性能。p 一丫 关键字网络安全，虚拟专用网，i p 安全，服务质量 ! ：塑窒望叁堂堡土兰些堡兰一一 l m p i e m e n t a t i o n a n dq u a ii t yo fs e r v i o e r e s e a r c ho fv ir t u aip riv a t en e t w o r k a b s t r a c t w it ht h e d e v e l o p m e n t o f c o m p u t e rn e t w o r k s 。m a n yl a r g e c o m p a n i e s ，g o v e r n m e n t s a n dc i v i l i a n o r g a n i z a t i o n s t r a n s m i t d a t ab yt h e m d e p a r t m e n t so ft h e s ee n t i t i e sm a yb ed i s t r i b u t e d f r o mp l a c et o p l a c e i t i s v e r ye x p e n s i v e t ou s e p r i v a t e n e t w o r k sf o rt h e m ，s oi tw i 儿s a v eal o to fm o n e yt om a k eb e s t u s eo fp u b l i cn e t w o r k ss u c ha st h ei n t e r n e t ，b u ti tw i l lb e i n s e c u r e v i r t u a lp r i v a t en e t w o r k ( v p n ) c o m e sa l o n gi no r d e r t os e c u r et h ed a t a t u n n e lt e c h n o l o g yi su s e dt oi m p l e m e n tv p n it e n c a p s u l a t e st h ed a t af r o mt h ei n t r a n e ta n dt r a n s m i t st h e m i nt u n n e l s t u n n e lt e c h n o l o g yi n c l u d e sl a y e r2t u n n e lp r o t o c o l s ( f o re x a m p l e ：p p t p ，l 2 fa n dl 2 t p ) a n dl a y e r3t u n n e lp r o t o c o l s ( f o re x a m p e ：i p s e c ) p p t p ，l 2 fa n dl 2 t ph a v et h e i rm e r i t s r e s p e c t i v e l y ，b u tt h e yd o n ts o l v et h ep r o b l e mo fs e c u r i t y p e r f e c t l y i p s e c p r o t o c o la g g r e g a t e ss e v e r a l s e c u r i t y t e c h n 0 1 0 9 i e s ，a n d c a r lb eu s e dt oe s t a b l i s hs e c u r e ，t e l i a b l ea n d 第3 页 ! ：塑奎望叁兰塑! 兰丝堡苎 i n t e r m a n i p u l a b l ev p n b e c a u s eo ft h a t ，t h ed e v e l o p m e n to fv p n m u s tc o n f o r mt o i p s e cp r o t o c o l i no r d e rt oa r c h i v et h i sg o a l ，i u s e df r e es o f t w a r e t o i m p l e m e n tt h ei p s e co np cf i r s t l y t h e ni d i dd e t a i l e da n a l y s i s r e s e a r c ha n di m p r o v e m e n t s o ni t t h e i m p r o v e m e n t s i n c l u d e u s i n gr e p l a yw i n d o wt or e s i s tr e p l a ya t t a c k ，u s i n gr a d i xt r e e t o s p e e du p t h e p o li c y s e a r c h ，i m p l e m e n t a t i o n o fi p s e c r e c u r s i v em o d ea n du s i n gs p e c i a lc o o k i eg e n e r a t o rt o r e s i s t d e n i a lo fs e r v i c ea t t a c k t h e s ei m p r o v e m e n t se n h a n c et h e p e r f o r m a n c e a n ds e c u r i t y o fv p n t h eo r i g i n a li pn e t w o r ki sd e s i g n e df o rb e s te f f o r td e l i v e r y b u tt h en e wa p p l i c a t i o n ss u c ha si pv o i c ea n dv o da s kf o rh i g h q u a li t yo fs e r v i c e ( q o s ) t h ed e m a n da l s oa p p e a r so nv p n q o s e n a b l e dv p ns h o u l db ea b l et on o to n l yp r o v i d en e t w o r ks e c u r i t y s e f v i c eb u ta ls od i f f e r e n t i a t et h es e r v i c eo nt h eu s e r a p p l i c a t i o n sq o sr e q u e s t i tm e a n sv p nc a nt a k ea d v a n t a g eo f t h ed e v e l o p m e n to fi pn e t w o r kt op r o v i d eh i g hq u a l i t ys e r v i c e s ot h a tt h er e a lh i g hp e r f o r m a n c ev p nc a nb ea r c h i v e d t h er e s e a r c ho ni p o o s a d v a n c e s q u i c k l y i e t fp r o v i d e s s e v e r a lm o d u l e sa b o u tq o si ns t a n d a r d sa n dd r a f t s ，w h i c h i n c l u d ei n t s e r vm o d u l e d i f f s e r vm o d u l ea n dm p l s i r e s e a r c h e dt h e s em o d u l e sa n dp r o v i d e di m p i e m e n t a t i o ns c h e m e s 第4 页 l ：塑窒望叁兰塑! ：兰些堡皇 ， o nv p n i no r d e rt or e s e a r c hq o so nv p n ，id e s i g n e d ad i f f s e r v p r o t o t y p eo nl i n u x si p s e ca n dw r o t es e v e r a lp r o g r a m st ot e s t t h ep e r f o r m a n c eo fq o so ni t t h er e s u l t ss h o w s ，i m p e m e n t i n g d i f f s e r vo nv p ng a t e w a yt od i f f e r e n t l a t em u l t i m e d i ad a t af r o m o t h e r sc a ns i g n i f i c a n t l yi m p r o v et h ep e r f o r m a n c eo fm u l t i m e d i a a p p l i c a t i o ni n v p n k e yw o r d sn e t w o r ks e c u r i t y ，v i r t u a lp r i v a t e n e t w o r k ，i p s e c q u a i t yo fs e r v i c e ! 塑窒望叁兰塑i 兰垡堡：! j ! ： 第一章引言 1 、虚拟专用网的作用 虚拟专用网( v p n ) 出现于i n te r n e t 盛行的今天，它使企业网络几乎可以无 限延伸到地球的每个角落，从而以安全、低廉的网络互联模式为包罗万象的应用 服务提供了发展的舞台。 v p n 是利用公共网资源为客户构成专用网的一种业务。它包含两层含义： 1 、它是虚拟的网，即没有固定的物理连接，网络只有用户需要时才建立； 2 、它是利用公共网络设施构成的专用网。 v p n 实际上就是一种服务，用户感觉好象直接和他们自己的网络相连，但实 际上是通过i n t e r n e t 服务提供商fi s p ) 来实现连接的。v p n 可以为企业和i s p 带来以下益处： 1 、采用远程访问的公司提自u 支付了购买和支持整个企业远程访问基础结 构的全部费用： 2 、公司能利用无处不在的i n t e r n e t 通过单一网络结构为职员和商业伙伴 提供无缝和安全的连接； 3 、对于企业，基于拨号v p n 的e x t r a n e t 能加强与用户、商业伙伴和供应 商的联系： 4 、通过为公司提供安全的外界远程访问服务，i s p 能增加收入，通过 e x t r a n e t 分层和相关竞争服务，i s p 也可以提供不同的拨号v p n 。 v p n 兼备了公共网和专用网的许多特点，将公共网可靠的性能、丰富的功能 与专用网的灵活、高效结合在一起，是介于公共网与专用网之间的一种网。 v p n 能够充分利用现有网络资源，提供经济、灵活的连网方式，为客户节省 设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应 用。有专家认为，v p n 将是新世纪发展速度最快的业务之一。 2 、虚拟专用网的实现 v p n 丌发的最终目标是：设计一个i n t e r n e t 网络上、基于嵌入式系统的、 遵循i p s e c 协议的，提供服务质量( o o s ) 保证的v p n 接入设备。为达到这一个 目标，我们首先考虑在p c 机上实现，通过研究改进，开发出拥有自己的知识产 权的特性，然后再将其移植到专用芯片( 如s t r o n g a r m ) 中，所以我的目标是在 p c 上实现v p n 接入设备的功能，并在此基础上作进一步的研究，提出v p n 的改 进实现方案( 其中包括q o s 功能的实现) 。 ( 1 ) 开发平台的选定 目前，市场上有很多嵌入式操作系统可供选择，如：q n x 、v x w o r k s 等，最 终我们选用l i i u x 操作系统，是基于以下几点考虑： l 、l i f l u x 支持很多平台( 如i 3 8 6 和a r m ) ，在这些版本之间移植较为容易。 第9 页 i ：塑至塑壁盟型堕l 一 符合我们的分阶级丌发的要求。 2 、l i n u x 的内核组织形式为整体式结构。也就是说l i n u x 内核由很多过程组 成，每个过程可以独立编译，然后连接成一个整体。这种结构的内核刁i 仅工作效率高，而且它的丌放性允许任何人对其进行修诈、改进和完善。 3 、很多嵌入式操作系统及其t c p i p 协议栈价格昂贵并且核心技术不公丌。 而l i n u x 是免费的而且源代码公丌，有助于丌发者了解系统的运作过 程，而且将自己的技术建立在l i f l u x 之上，不会在知识产权上受制于人t 从长远来看也有利技术的积累。 4 、对j r 发者柬| 兑，使用l i n t l x 意味着在网上可以有很多资源可以免费共享。 g n u 的成功模式目前已经受到世界的广泛关注，在i n t e r n e t 上有成千上 力的文档、程序可以共享，如果有问题还可以在网上讨论，这对于加快 丌发进度，提高软件质量是很有帮助的。 9 8 年至9 9 年，赵海波硕士和刘彦硕士相继在d o s 上实现了网络防火墙和 v p n ，在安全协议丌发上积累了丰富的经验，为我在l i n u x 系统上实现类似的系 统提供了很大的帮助。 ( 2 ) f p s e c 协议的实现 i p s e c 协议是一个庞大的体系结构，为了在l i n u x 上较好地实现i p s e c 协议， 并达到预期的目标，我阅读了l i n u x 网络部分的源代码，分析了l i n u x 网络各部 分的组成关系，及如何在l i f l u x 内核中嵌入自己的代码。在此基础上仔细研究了 f r e e s w a n 的源代码，将其在l i n u x 系统上编译成功并且一常运行，以作为本文 研究的基础。 在研究i p s e c 协议的实现中，我查看了大量的资料，提出了一些新的改进算 法，包括：启用重播窗口以抵抗重播攻击，采用r a d i x 树进行策略查找、i p s e c 嵌套模式的实现以及使用特定的c o o k i e 生成算法抵抗服务否认攻击等。我将这 些算法结合到f r e e s w a n 的源代码中，进行调试和编译成一个新的i p s e c 实现， 运行后表明，这些改进显著提高了l i n u x 下i p s e c 的性能和安全性。 3 、虚拟专用网的服务质量研究 i n t e r n e t 在规划之初，是为传输数据而不是语音或视频而建立的，因此，对 q o s 的唯一要求就是数据不被破坏或丢失，而新兴的i p 语音、实时点播等应用 对网络的延迟和抖动等其它o o s 性能提出了较高的要求，这种需求也出现在了 v p n 上。比如，由于公司的v p n 本来就分布在不同的地点，利用现成的v p n 网络 资源进行语音通话可以大大节省公司电话费丌支，同时又能保证通话不被窃听， 但这在很大程度上将取决于i n t e r n e t 提供的带宽和延迟等能否满足这一需求， 如果不行，能否区分出这一业务，使之比一般数据业务具有更高的优先级。 对i pq o s 的研究近年来进展得异常迅速，i e t f 在r f c 标准和草案中已经提 出了多种服务模型来满足q o s 。主要包括集成服务( i n t s e r v ) 模型，区分服务 ( d if f s e r v ) 模型，多协议标记交换( r p l s ) 等。我分别研究了这些模型，并 提出了各自在v p n 中的实现方案。 为了更好地研究v p n 的q o s ，我在l i n u x 的i p s e c 上设计了一个d i f fs e r v 的原型，并编写了一些测试程序来研究其l 的q o s 的性能。根掘客观测试和主观 第1 0 页 ! ：塑窒塑叁兰丝! 兰! ! 堡茎 测试的结果刚以看出，在v p n 网关上实现d i f fs e r v 将v p n 网关内的多媒体业务 与其它业务区分丌来，可以显著地提高v p n 内多媒体业务的性能。 4 、各章的内容 论文的第二章综述了实现网络安全的多种途径及v p n 的作用、应用和相关国 际标准发展的情况。第三、第叫、第血章详细叙述了i p s e c 协议的内容和在l i n u x 上实现的内部细节，包括体系结构、核心算法等。第六、第七章阐述了i n t e r n e t 上与o o s 相关的标准以及它们与v p n 结合的方案，并给出了一个l i n u x 上i p s e c 中实现o o s 的原型和实验结果。 第1 1 页 第二章网络安全机制与虚拟专用网 随着计算机网络的升i 断发展由于其方便快捷，很多大公司和政府部门或民 i a j n 织都用它来传输数据。这些单位的各个部门往往都是跨地区的，相隔很远， 如果全部用自己的专线，其价格非常昂贵，于是利用i n t e r n e t 这样的公共网络 来传输私有数据就可以节省大量费用。但是这样的后果就是非常不安全，在 i n t e r n e t 上，数据随时可能会被不怀好意的网络入侵者窃取或修改，因此就必 须采用一定的机制来保障数掘的安全。 1 、保密的层次 在当今的i n t e r n e t 中，存在着大量特制的协议，专门用来保障网络各个层 次的安全。决定在哪个层次应用安全措施，要依赖于应用对安全保密的要求，以 及用户的需要。本节将讨论网络各层提供安全保障的优点和缺点。 ( 1 ) 应用层 应用级的安全措施必须在端主机上实现。在应用层提供安全保障有以下优 点： 由于是以用户为背景执行，所以更容易访问用户凭证，比如私人密钥等； 对用户想保护的数据具有完整的访问权。这便简化了提供一些特殊服务 的任务，比如不可抵赖： 一个应用可白出扩展，不必依赖操作系统来提供这些服务； 应用程序对数据有着充分的理解，可据此采取相应的安全措施。 应用层安全的缺点在于针对每个应用，都要单独设计一套安全机制。这就意 味着对现有的应用来说，必须对其进行改进，才能提供安全保障。由于每个应用 都必须定义自己的安全机制，所以犯错误的机率大增，为黑客打开了更多的安全 漏洞。 在应用层中实现安全机制时，应用程序要和一个专用的应用层安全协议集成 到一起，建立起最终的安全机制。针对e m a il 的s m i m e “3 就是一个典型的应用层 安全协议。s m i m e 是在p e m 的基础上建立起来的，它选择r s a 的p k c s # 7 标准同 m i m e 一起使用来加密所有的i n t e r n e te - m a i l 信息。s m i m e 的信息格式并不限 制s m i m e 只能使用某些特定的算法，它提供了一种方法在发送每条信息时指示 用户有哪些算法是可用的，这样收发安全e m a i l 的双方就可以协商使用最强的算 法。正如它的名字所表示的，s m i m e 能很好地保密全部的m i m e 信息。被发送的 保密信息也使用m i m e 进行标记和打包，使它们易于被绝大部分m i m ee m a i l 软件 识别和处理。当然，e m a i l 软件必须显式地支持s m i m e ，以实现s m i m e 所提供 的安全功能。 此类系统的例子还包括针对h t t p 的s h t t p “1 等。这些均属应用层安全协议， 可提供密钥协商以及其它安全服务。应用程序通过使用这些新的协议，可以为原 先不安全的应用层服务提供安全保证。由于基于的应用层协议不同，各应用层安 全协议的差别也较大。 第1 2 页 5 ：塑、奎望苎兰塑! ：兰垡堡墨 ( 2 ) 传输层 与应用层安全相l t ，在传输层提供安全服务具有一些明显的好处，因为它不 会强制要求每个应用都在安全方面作出相应的改进。即使现有的应用本身没有提 供安全服务，也能自然、“无缝”地获得安全服务。与应用层的安全类似的是， 传输层的安全也只可在端系统实现。目前传输层主要有三个安全协议：s s l 。” ( s e c u r es o c k e t sl a y e r ) 、p u t ( p r i v a t ec o m m u n i c a t i o n st e e h n o l o g y ) 利s s h 。 ( s e c u r es h e l l ) 协议。 s s l 与l c t 最初是由n e t s e a p e 公司提出来的。p c t 是由m i c f o s o f t 公司在s s l 的基础上提出的。这两个协议颇有相似之处；它们的主要目的是提供两个通信应 用日j 的保密和可靠性，适用于为i n t e r n e t 用户提供安全服务。二者都必须运行 在可靠的传输层协议( 如t c p ) 而不能在不可靠的传输协议( 如u d p ) 之上。它 们共同的优点是独立于高层的应用协议，如h t t p 、f t p 、t e l n e t 等，因而上层协 、义可迭加在s s l 和p c t 之上。s s l 和p c t 提供三种基本的安全服务：连接的保密 性、可靠性和相互认证。协议规定通信分为两个阶段：握手：通信双方通过数 次交互，协商加密算法、会话密钥，同时为c l i e n t 认证s e r v e r ( 或为s e r v e r 认证c li e n t ，此项为可选) ，认证基于被鉴定的不对称公钥机制；传输应用数 据：用握手时协商的会话密钥对所有数据进行加密传输。s s l 是个分层协议：包 括s s l 记录层和s s l 握手协议。s s l 记录层位于低层，它用于封装不同的高层协 议，其中也包括s s l 握手协议。s s l 握手协议完成握手阶段的协商与认证过程。 p c t 将认证与加密分丌，这使得p c t 可允许应用程序使用比4 0 位密钥强得多的 密钥进行加密认证。值得一提的是，目前p c t 已被新的传输层安全协议t l s ” ( t r a n s p o r tl a y e rs e c u r i t y ) 所替代。 s s h 由组协议构成，包括传输层协议( s s h t l p ) 、认证协议( s s h a p ) 、和连 接协议( s s h c p ) 。s s h 的目的是在不安全的网络上提供安全远程注册和其它安全 服务，它能自动加密、认证以及压缩( 可选) 传输数掘。s s h t l p 通常运行在t c p i p 协议之上，也可运行在其它可靠的数据流之上，它可作为一系列网络安全服务的 基础。s s h t l p 提供强加密、服务器认证、完整性保护以及可选的压缩功能。s s h t l p 是一个低层的安全协议，只提供基于主机的认证。s s h a p 运行在s s h t l p 之上， 它为s s h 连接协议提供单一的、经过认证的通道。它能实现用户级认证以及可选 的主机认证。s s h c p 提供交互注册会话，远程命令执行以及转发的t c p i p 和x ll 连接，这些都通过复用成多个逻辑通道的一个加密通道来完成。s s h 协议追求简 单与灵活，其协商时的握手次数要较s s l 和p c t 少。通常情况下，完整的密钥交 换、服务器认证、服务请求以及告知对方接受服务请求，只需两轮握手协商，最 坏情形也只需三次。传输层安全协议一般采用r s a 等不对称密钥体制加密会话密 钥，而对通信的大量数据则用d e s 或t r i p l ed e s 等对称密钥体制加密，从而达 到较好的安全和性能价格比。 ( 3 ) 网络层 在这一层实现安全服务具有很多方面的优点。首先，密钥协商的丌销被大大 地削减了。这是由于多种传输层协议和应用层协议可共享由网络层提供的密钥管 理架构。其次，假如安全服务在较低层实现，那么需要改动的应用程序便要少得 多。通过它，我们不必集中在较高的层次实现大量安全协议。假如安全协议在较 高的层次实现，那么每个应用都必须设计自己的安全机制。这样做除极易产生安 全漏洞以外，出现错误的机率也会大大增加。另外，对于任何传输层协议，网络 第1 3 页 ! 塑銮堕叁兰塑! 兰垡堡皇 层安全协议都可为其“无缝”地提供安全保障。 在网络层提供安全服务的缺点是很难解决“不可抵赖”之类的问题。这样的 问题最好还是在较高的层次上解决。若在网络层提供安全服务，很难在一部多用 户的主机上实现逐用户的控制。然而，我们可在终端主机上提供相应的机制，实 现以用户为基础的安全保障。在路由器上，由于不存在用户场景，所以这个问题 不会出觇。 1 _ f 因为在网络层实现安全机制有着很大的优势，i e t f 已经制定了一整套网络 层安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，所以以下 各章的讨论将围绕这些协议进行。 ( 4 ) 数据链路层 假如两个主机或路由器之间存在一条专用通信链路，而且为避免有人“窥 视”，所有通信都需加密，在这种情况下，便可直接用硬件设备来实现数据链路 层加密。 这样做最大的好处在于速度。然而，该方案不易扩展，而且仅在专用链路上 才能很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。 2 、虚拟专用网 i n t e r n e t 安全机制的最直接的应用就是虚拟专用网( v p n ) ，v p n 指的是依靠 i n t e r n e t 服务提供商( i s p ) 在公用网络中建立专用的数据通信网络的技术。在 虚拟网中，任意两个节点之阳j 的连接并没有传统专网所需的端到端的物理链路， 而是利用某种公共网的资源动态组成的。基于i p 的v p n 可解释为：“使用i p 机制仿真出一个私有的广域网”，即通过私有的隧道技术在公共数据网络上构建 起一条点到点的虚拟专线技术。 v p n 可以使客户利用公共网的资源将分散在各地的机构动态的连接起来，使 电信运营公司，电信客户和最终用户三者都获利。通过向企业提供v p n 服务，i s p 可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业 务量。对于v p n 用户而言，利用i n t e r n e t 组建私有网，将大笔的专线费用缩减 为少量的市话费用和i n t e r n e t 费用，无疑是非常有吸引力的，如果愿意，企业 甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的i s p 来完成。 ( 1 ) 隧道技术 v p n 具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。隧 道协议可分为第二层隧道协议( 如：p p t p “3 、l 2 f ”3 、l 2 t p ”1 等) 和第三层隧道协 议( 如i p s e c 等) 。 无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组 成的。下面就以l 2 t p 为例( 如图2 一l 所示) ，分析下隧道协议的组成。 传输协议封装协议乘客协议 第1 4 页 洵交通人学坝 j 学位论文 图2 - 1 隧道协议的组成 传输协议被用来传送封装协议。i p 是一种常见的传输协议，这是因为i p 具 有强大的路由选择能力，可以运行于不同介质上，并且其应用最为广泛。此外， 帧中继、a t mp v c 和$ v c 也是非常合适的传输协议。比如用户想通过i n t e r n e t 将其分公司网络连接起来，但它的网络环境是i p x ，这时用户就可以使用i p 作 为传输协议，通过封装协议封装i p x 的数据包，然后就可以在i n t e r n e t 网上传 递i p x 数据。 封装协议( 在某些情况下就是隧道协议本身) 被用来建立、保持和拆卸隧道。 如l 2 f 、l 2 t p 、g r e 等。而乘客协议是被封装的协议，它们可以是p p p 、s l i p 等。 使用隧道协议有很多好处，例如在拨号网络中，用户大都接受i s p 分配的动 态l p 地址，而企业网一般均采用防火墙、n a t 等安全措施来保护自己的网络， 企业员工通过i s p 拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道 协议后，企业拨号用户就可以得到企业内部网i p 地址，通过对p p p 帧进行封装， 用户数据包可以穿过防火墙到达企业内部网。 ( 2 ) p p t p 协议 这是一个由m i c r o s o f t 提出的i n t e r n e t 隧道协议，它提供p p t p 客户机与 p p t p 服务器之间的加密通信，允许公司使用专用的隧道，通过公共i n t e r n e t 来 扩展公司的网络。通过i n t e r n e t 的数据通信，需要对数据流进行封装和加密， p p t p 就可以实现这两个功能，从而可以通过i n t e r n e t 实现多功能通信。这就是 说，通过p p t p 的封装或隧道服务，使非i p 网络可以获得进行i n t e r n e t 通信的 优点。p p t p 是m i c r o s o f t 和其它厂家支持的标准，它是p p t p 协议的扩展，它可 以通过i n t e r r l e t 建立多协议v p n 。p p t p 使用4 0 或1 2 8 位的r c 4 加密算法。p p t p 的一个主要优势在于微软的支持。在w i n d o w s 9 5 、9 8 以及n t 中都进行了良好的 集成( 在w i n 9 8 中已经集成了l 2 t p ) 。p p t p 也很好地集成进了w i n d o w sn t 域。 对于i s p 来讲无须任何特殊的支持。另外一个优点在于支持流量控制，可以防止 客户与服务器因业务而导致崩溃，并通过减少丢弃报文及由此而引起的重发提高 了性能。p p t p 的隧道模式如图2 - 2 所示： p p p ! !j g r e 图2 - 2 ：p p t p 的隧道模式 第1 5 页 蛋 ! 塑銮婆叁兰! ! ! ! ! ! ：堂垡堡苎一一一 p p t p 的工作方式是交换被称为包的数据块。包是由协议特定的控制信息以 及要发送的载荷组成的。作为网络用户，我们只关心载荷。只要数据能无差错地 尽快交换，我们不介意协议出于自己的目的选择添加什么控制信息。但是，如果 两台计算机要通信的话，无论它们使用何种连接媒介，控制信息都是至关重要的 并且必须完整保留。p p t p 的工作方式是在t c p i p 包中封装乘客协议包例如 i p x 包。p p t p 控制信息和整个i p x 包都将成为t c p i p 包的组成部分，然后它通 过i n t e r n e t 传输。另一端的软件打开包并将其发送给原来的协议进行常规处理。 这样，p p t p 就在客户端和服务器端建立了隧道。具体来说，p p t p 使用增强的g r e ”1 来承载p p p 数据包，而用p p p 数掘包来承载乘客协议包。与标准的g r e 相比，增 强的g r e 主要是增加了确认号字段，用于确认一个特定的g r e 包是否已经到达隧 道的远端。这种确认能力不用于用户数据包的重传，而是用于确定特定会话连接 上用户数掘的传输速率。g r e 头部出现的关键字段表征了一个特定的p p p 数据包 所属的会活连接，并可实现单个隧道连接上p p p 数据包的复用和解复用。除了节 省长途拨入费用，隧道还提供了数据安全机制。由于隧道将兼容协议连接到 w i n d o w sn t 网络中，浚操作系统能执行在l a n 本身执行的广泛的安全性检查。 这样，连接能通过p a p 1 ( p a s s w o r da u t h e n t i c a e i o np r o t o c 0 1 ) 或c h a p 1 ( c h a i l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 使用w i n d o w sn t 的用户 身份认证。另外，p p t p 能传送由r s ar c 一4 或d e s 加密的数据。如果拨入安全 性对于v p n 来说非常重要，那么服务器管理员能指定服务器仅接收来自远程连接 的p p t p 包，但这会妨碍将服务器用作公共w e b 或f t p 访问。然而，如果有多台 服务器可用，并且需要最高的安全性，那么这就是可采纳的方案。然而即使采取 所有这些安全措施，客户端唯一需要的特殊软件也只是p p t p 协议本身，以及能 连接v p n 的拨号程序。对于不支持p p t p 的i s p ，w i n d o w sn t 通过双重拨号系统 提供安全保障。 p p t p 执行过程是这样的。既然远程访问的整个想法是允许客户机拨号进入 服务器，那么p p t p 连接就始于客户端，它使用w in d o w sn t 的远程访问服务( r a g ) 末建立到i s p 的p p p 连接。当激活p p p 连接，而且服务器连接到i n t e r n e t 并作 为r a g 服务器后，客户使用r a s 进行第二次拨号。这次，在电话号码域指定i p 地址( 名字或数字) ，并且客户使用v p n 端口代替c o m 端口进行连接( v p n 端口 是在安装p p t p 的过程中同时添加到客户端和服务器端的) 。用i p 地址拨号会给 服务器发送丌始会话的请求。客户端等待服务器对用户名和口令进行认证并返回 连接完成的信息。此时p p t p 隧道启动，客户可以着手给服务器传送包。由于它 们可能是i p x 或n e t b e u i 包，因此服务器能对其执行常规的安全操作。p p t p 数 据交换的核心是p p t p 控制连接，它是建立和维护隧道的一系列控制消息。整个 p p t f 连接仅包含唯一的t c p i p 连接，它需要响应命令集合以便在发生事务处理 时保持打丌状态。 p p t p 在拨接v p n 的用户管理方面，y p n 沿用w i n d o w sn t 的用户数据库，可 把其中的某些用户组别设定为可接受v p n 接入。v p n 的安全性对用户信息来说是 十分重要的，其中用于加密的密钥根本不经线上传送，因而普通人是无法将 4 0 b it sr c 一4 加密的密钥推算出来的。如能采用1 2 8 6 1 t 加密算法的话，则通过 v p n 传输信息是绝对有保障的。在对付网络“黑客”攻击方面，由于p p t p 服务 器不允许非p p t p 用户名单上的人员建立隧道连接，“黑客”便无法进行攻击了。 第1 6 页 ! 查窒望尘兰堡! ：兰竺堡= ! ! ； l 2 f 是c i s c o 公司制定的在i n t e r n e t 上建立第二层隧道的协议。目前，在 几大网络厂家的网关设备中均支持此协议。与p p t p 不同的是，l 2 f 必须要有i s p 支持，并且要求传输两端设备都支持l 2 f ，但它对客户端无特殊要求，可提供透 明的服务。目前，l 2 p 没有对数据的加密机制，但它可以采用p a p 或c h a p 协议 进行协商，认证，并建立隧道，提供一定的身份认证功能。l 2 f 的隧道建立过程 与p p t p 类似，这罩就不详细讨论了。 ( 4 ) l 2 t p 协议 l 2 t p 结合了l 2 f 和p p t p 的优点，可以让用户从客户端或访问服务器端发起 v p n 连接。l 2 t p 是把链路层p p p 帧封装在公共网络设施如i p 、a t m 、帧中继中进 行隧道传输的封装协议( r f c 2 6 6 1 ) 。 l 2 t p 主要由l a c ( l 2 t pa c c e s sc o n c e n t r a t o r ) 和l n s ( l 2 t pn e t w o r ks e r v e r ) 构成，l a c ( l 2 t p 访问集中器) 支持客户端的l 2 t p ，它用于发起呼叫，接收呼叫和 建立隧道；l n s 是所有隧道的终点。在传统的p p p 连接中，用户拨号连接的终点 是l a c ，l 2 t p 使得p p p 协议的终点延伸到l n s 。 l 2 t p 的建立过程是： l 、用户通过公共电话网或i s d n 拨号至本地的接入服务器l a c ，l a c 接收呼 叫并进行基本的辨别，这一过程可以采用几种标准，如域名、呼叫线路 识别( c l i d ) 或拨号i d 业务( d n i s ) 等； 2 、当用户被确认为合法企业用户时，就建立一个通向l n s 的拨号v p n 隧道； 3 、企业内部的安全服务器鉴定拨号用户； 4 、l n s 与远程用户交换p p p 信息，分配i p 地址，l n s 可采用企业专用地址 ( 未注册的i p 地址) 或1 s p 提供的地址空间分配i p 地址( 因为内部源i p 地址与目的i p 地址实际上都通过i s p 的i p 网络在p p p 信息包内传送， 企业专用地址对提供者的网络是透明的) ； 5 、 端到端的数据从拨号用户传到l n s 。 在实际应用中，l a c 将拨号用户的p p p 帧封装后，传送到l n s ，l n s 去掉封装 包头，得到p p p 帧，再去掉p p p 帧头，得到网络层数据包。 l 2 t p 这种方式给i s p 和用户带来了许多好处。用户不需要在p c 上安装专门 的客户端软件，企业可以使用未注册的i p 地址，并在本地管理认证数据库，从 而降低了使用成本和培训维护费用。 与p p t p 和l 2 f 相比，l 2 t p 的优点在于提供了差错和流量控制。l 2 t p 使用 u d p 封装和传送p p p 帧。面向非连接的u d p 无法保证网络数据的可靠传输，l 2 t p 使用n r ( 下一个希望接受的消息序列号) 和n s ( 当前发送的数据包序列号) 字 段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区，一旦数据丢 失根据序列号可以进行重发。 作为p p p 的扩展，l 2 t p 支持标准的安全特性c h a p 和p a p ，可以进行用户身 份认证。l 2 t p 定义了控制包的加密传输，每个被建立的隧道生成一个独一无二 的随机密钥，以便抵抗欺骗性的攻击，但是它对传输中的数据并不加密。 ( 5 ) i p s e c 协议 p p t p 、l 2 f 、l 2 t p 各自有自己的优点，但是都没有很好地解决隧道加密和数 据加密的问题。而i p s e c 协议把多种安全技术集合到一起，可以建立一个安全、 第1 7 页 洵交通人学帧 。学位论文 可靠的隧道。这些技术包括d if i i qt i e ll