（计算机应用技术专业论文）基于ipsec协议的vpn安全网关研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 随着网络技术的高速发展，利用广泛开放的网络环境已成为时代发展的 趋势，但网络在提供开放和共享资源的同时也不可避免地存在安全隐患。 在国内外网络不安全的严峻形势下，研究和实现有我国自主知识产权的 一套v p n 安全网关设备具有极其重要意义，本文就是针对信息社会中专用网 和公用网对网络安全的迫切需求而展开研究。 本论文在介绍网络安全问题、网络安全解决方案、v p n 关键技术、功能 与特点之后，重点设计了安全、实用、易用和先进的v p n 网络密码机系统体 系结构。分析了密钥管理中心、网络加密机、w e b 管理机和安全远程接入四 大部分的功能，给出了v p n 网络密码机系统的机密性保证、认证和访问控制 方法，详细论述了i p s e c 基本协议、重要概念和特点。 v p n 网络密码机系统中采用了先进的软硬件技术。论文论述了网络密码 机和密钥管理中心的工作流程，接着介绍了l i n u x 下t c p i p 内核协议栈，提 出了加密卡方案，采用了三重密钥管理体系实现了i n t e r n e t 密钥自动交换， 进行了中心数据库设计与实现，最后对其它模块进行了实现。 系统测试中包括密钥管理中心的配置和管理功能测试、网络密码机的配 置测试、v p n 功能测试和性能测试。v p n 网络密码机产品在进行测试后已经广 泛应用在政府、企业、金融、银行和证券等单位，结果表明本系统能够很好 的满足用户需要。 关键词：网络安全；虚拟专用网；网关；i p s e c 西南交通大学硕士研究生学位论文第页 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y ，o p e nn e t w o r ki s w i d e l yu s e d s e c u r i t yp r o b l e m s ，h o w e v e r 。e x i s ti n e v i t 曲l yw h i l e n e t w o r ko f f e r st h eo p e na n ds h a r e dr e s o u r c e s i ti ss i g n i f i c a n tt os t u d ya n dr e a l i z eas e to fs e c u r ev i r t u a l p r i v a t e n e t w o r k ( y e n ) g a t e w a y d e v i c e sw i t ho u ro w n ii n t e l l e c t u a l p r o p e r t y i nt h e s e r i o u s l yu n s a f e s i t u a t i o n t h i st h e s i sa i m sa t s t u d y i n gt h ep r i v a t en e t w o r ka n dp u b l i cn e t w o r kd e m a n df o rn e t w o r k s e e u r l t yi ni n f o r m t i o ns o c i e t y ， t h i st h e s i si n t r o d u c e sp r o b l e m sa n d s o l u t i o n so fn e t w o r k s e c u r i t y ， v p n t e c h n o l o g y ，v p nf u n c t i o n sa n dm e r i t s as a f e ，p r a c t i c a l ，c o n v e n i e n t a n da d v a n c e dv p na r c h i t e c t u r ei sd e s i g n e d f u n c t i o n sa r ea n a l y z e df r o m t h ef o u rc o m p o n e n t so fn e t w o r kc i p h e r c o m p u t e r ，k e yd i s t r i b u t i o n m a n n g e i i l e n c e n t e r ( k d m c ) ，w e bm a n a g e m e n tc o m p u t e ra n ds e c u r er e m o t e a c c e s ss y s t e m ( s r a s ) s u g g e s t i o n sa r ep r o p o s e df o r c o n f i d e n t i a l i t y a u t h e n t i c a t i o na n dv i s i tc o n t r 0 1 i p s e c p r o t o c o l a r c h i t e c t u r e i 。m p o r t a n t ，c o n c e p t sa n dc h a r a c t e r i s t i c sa r es t u d i e di nd e t a i l m a n ya d v a n c e ds o f t w a r ea n dh a r d a r et e c h n o l o g i e sa r ea d o p t e di n 【 n e t w o r kc i p h e fc o m p u t e r s y s t e f i l t h eo p e r a t i n gp r o c e s so fn e t w o r k c i p h e rc o m p u t e ra n di 踟a r ed i s c o u r s e df i r s t l y ，t h e nt h et c p i ps t a c k o fl i n u xi si n t r o d u c e d ，a n da ni p s e cr e a l i z a t i o nm e t h o dw i t hu s i n g ac i p h e rc a r di sp u tf o r w a r d t r i p l e xk e y s y s t e mi sa d o p t e df o ri n t e r n e t k e ye x c h a n g e ( i k e ) t h ed a t a b a s ea n do t h e rm o d u l e sa r ea l s o d e s i g n e d a n di m p l e m e n t e d c o n f i g u r ea n dm a n a g e m e n tf u n c t i o n so fi 锄崛c o n f i g u r ef u n c t i o n s o fn e t w o r kc i p h e rc o m p u t e r 。】nf u n c t i o n sa n dp e r f o r m a n c ea r et e s t e d i nt h es y s t e mt e s t i n g t h en e t w o r k c i p h e rc o m p u t e rh a sb e e nw i d e l yu s e d i ng o v e r n m e n ta g e n c i e s ，c o r p o r a t i o n s ，f i n a n c i a lo r g a n i z a t i o n s ，b a n k s a n ds e c u r i t i e sc o m p a n i e se t c t h er e s u l t ss h o wt h en e t w o r kc i p h e r c o m p u t e rs y s t e ms a t i s f i e su s e r s k e yw o r d s ：n e t w o r ks e c u r i t y ：v p n ；g a t e w a y i p s e c 西南交通大学硕士研究生学位论文第1 页 第1 章绪论 1 1 课题研究背景及意义 信息产业的飞速发展世人瞩目，金融、保险、财政、税务、贸易和政府 部门等对计算机网络的需求日益增长，电子商务、电子政务进入各国信息市 场，并正在形成热点。信息网络的国际化、社会化、开放化和个人化的大环 境，给a f l 提供了信息共享，带来了工作的高效率和生活的高质量，同时， 也投下了不安全的阴影。网络技术是一把“双刃剑”，网络的精妙在于互联， 网络的问题也在于互联。网络安全已经作为个重要课题，受到各国政府、 科技界和企业界的重视。 1 1 1 网络安全与v p n 国内外现状 国f 啄情况 伴随着信息时代的到来，信息的安全保密问题日益突出，并已引起全球 的普遍关注。曾经发生的大规模黑客攻击事件，使美国、欧洲以及日本的各 大f 回站瘫痪并造成巨额经济损失，使网络安全再度在全球敲响警钟。信息的 安全保密问题，说到底，是关系一个国家主权、安全和发展的战略问题。世 界上任何一个国家、任何个政府，在积极促进信息技术发展的同时，都不 遗余力地坚决焊卫本国的信息主权，尤其是千方百计地保护本国信息系统和 信息资源的安全，以使自己在激烈的国际竞争中有实力掌握主动权。西方发 达国家信息技术优势明显，信息安全已成为一个战略性问题。随着政府、部 门和行业对网络环境和网络资源依赖程度的加强，涉及国家安全和社会公共 安全的所有重大问题者随网络上表现出来。从发展趋势看，网络化决定在国 家安全领域的对抗不仅是军事的，而且更经常的是政治、经济、外交、科技 和意识形态等方面的。为保护信息化时代的国家利益，各国政府无不高度重 视信息安全，并将其提到战略高度。 虚拟专用网v p n ( v i r t u a lp r i v a t en e t w o r k ) 是种网络安全技术，也 是前网络新技术。全球v p n 的市场，以美国最大，欧秽什和亚洲洋8 样具有v p n 的潜在巨大市场，尤其是在电子商务、电子政务的应用方面。全球智能网也 西南交通大学硕士研究生学位论文 第2 页 大量采用v p n ，尤其是由于i p - v p n 的价格性能优势将更大地吸引众多小型 及中型企业团体的采用嘲。在国外，v p n 服务发展比较好，原因不仅是国外 i n t e r n e t 应用比较广泛，同时也是其删技术特别是其中的安全技术有保证。 国内情况 我国尚处于网络的发展阶段，当前我国计算机信息系统仍面临如下五方 面问题：一是西方发达国家信息技术优势明显使我国信息安全已成为一个战 略性问题。随着政府、部门和行业对网络环境和网络资源依赖程度的加强， 涉及国家安全和社会公共安全的所有重大问题都在网络上表现出来。从发展 趋势看，网络化决定在国家安全领域的对抗不仅是军事的，而且更经常的是 政治、经济、外交、科技和意识形态等方面的；二是我国信息安全存在三大 “软肋”即基础设备依赖进口、自我防护能力弱、专项投入严重不足；三是 我国信息网络违法犯罪活动日趋严重，威胁社会政治稳定，信息安全法律体 系亟待完善；四是我国入世后的互联网市场将进一步开放，信息安全市场国 际化的发展趋势对信息安全工作提出了严竣挑战，信息安全技术标准将成为 保护我国信息安全产业发展的重要壁垒；五是当前我国信息安全法律体系亟 待完善。 但近年来，党和政府各级部门都建立了计算机网络，由于工作性质，其 中许多网络都涉及国家秘密信息，而我国计算机网络保密技术研究和技术防 范手段相对滞后，信息化与保护国家秘密的矛盾十分突出，技术安全保密方 面的压力越来越大。在过去发生的泄密事件中，有近三分之一的案件与网络 有关，其特点是发生快、扩散面广。在国内政府部门对内部网络安全性的要 求非常高，不允许有任何不安全的因素存在。以前党政网要求不能建在公用 的i p 网络上，有的甚至规定，与公网不能有物理连接。又如金融企业，对网 上传输的数据、内容的安全保密要求非常高，因为一来是资金风险大，二来 是它服务的客户对数据的安全保密的要求高。 解决好网络信息安全保密问题，归根到底一要靠管理，二要靠技术。要 实现网络业务的广泛使用，大力发展我国信息产业，最核心的问题是解决好 网络传喻和信息系统中的安全问题，在用户认为v p n 还不能完全解决安全问 题情况下，他们就不敢轻易选择v p n 服务，但随着国内v p n 技术研究的发展 和产品的增多，国内v p n 市场也相应扩大，金融、保险、财政、税务、贸易 和政府部门都开始逐渐使用v p n 产品。 亘壹变遇盔堂塑主塑塞生堂堡逵塞 篁三雯 1 1 2 课题研究意义 由于信息安全领域的特艨性，爨我国进出1 ：3 和计算机及倍息安全法律限 割，孛国遥锈嚣娶跨援舞袋我晷蠢隽豹瓣终菠弱发疑与缤惫安全建浚e 蘧羞 圈家安全部、国家公安部以及信息产业部等信息指导部门相关规定和指导办 法的出台，售息安全被提赢至l 一个燮为紧迫秘重要的位置。 v p n 技术可以通过认诞和加密来在公网上实现信息的安龛传输。函此安 全性好的v p n 设备的开发尤为迫切需要，只有开发了自己的，琶进的v p n 安全 设备，我黼各企事妲豳俸簌缱建音融的专瘸辩络上，才可疆校据各自媾凝 选用自主主权的v p n 产品以便更经济、有效，快捷的满足企事业单位的需求。 本瀑戆v p n 安全鄹关赠络密弱秘i 系绞熬磷究与秀发就是夜蛰蠹# i - 潮终不 安全的严峻形势下我国自主创新研发的一套v i p n 网络安全设备。密码机系统 中采用了先进豹技术，在速度、可靠性、可管理性等方嚣要达到国际竣国内 领先水平，且安全、实用、易用。程网络加密机中集含了常规防火墙的包过 滤功能以及对通倍数据的加密功能，可以将不同的局域网络曩联成为一个更 大范围的黼络，实现广域网范霞痰安全的信怠交换和信患共享，使霜方便， 功能多，用途广，可以大大简化用户网络的构建，节省投资，已广泛_ 陵用在 政癍、金娩、银行、金融、诞券等各今擎篷，对于蕤遴我国镶患毒乏建彗 帮毫 予商务、电子政务的发展自敬够起到积极的推动作用，其社会价值、经济价值 棚当巨大，自进入市场以来毫经获褥了众多髑户的认可秘使爝，未来寝用兹 景必将更加广泛。 1 2 课题主要研究内饔 本课憨是将理论臻究饔矮嚣组实黼磅究群发结合，主簧礤究内容承捂鞋 下几个方酾： 嬲终安众理论与技零； 虚拟专用网实现原理及美键技术； v p n 安全网关的分析设计； - i p s e c 协议体系； v p n 网络密码机系统的实现； 系统蓑l 谈。 西南交通大学硕士研究生学位论文第4 页 第2 章网络安全与虚拟专用网综述 2 1 网络安全概述 2 1 1 网络安全含义 我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段，正 在进入网络信息安全的研究阶段。安全体系的构建和评估，通过学习、吸收、 消化的方式进行了安全操作系统、多级安全数据库的研制，但由于系统安全 内核受控于人，以及国外产品的不断更新升级，基于具体产品的增强安全功 能的成果，难以保证没有漏洞，难以得到推广应用。在学习借鉴国外技术的 基础上，国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、 黑客入侵检测、系统脆弱性扫描软件等。但是，这些产品安全技术的完善性、 规范化实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性、 多接口的满足性方面存在很大距离，理论基础和自主的技术手段也需要发展 和强化，网络安全的研究与发展势在必行。 网络安全是指借助于网络管理，使网络环境中信息的机密性、完整性及 可使用性等受到保护，其主要目标是确保经网络传输的信息到达目的计算机 时没有任何改变、丢失或泄漏。因此必须确保所有组网部件能根据需求提供 必要的功冉皂且只有授权者可以访问网络。典型的网络威胁主要有拒绝接受服 务、抵赖、冒充、修改、重放、窃听等。 网络安全的需求一般在机密性、完熬性、可用性、可控制、可审计性、 不可否认性等n 个方面；机密性定义哪些信息不能被窥探、哪些网络资源不 能被未授权者访问；完整性决定系统资源应该怎样运转而且信息不能被未授 权的来源替换或破坏；可用性意味着一个网络资源，每当用户需要时就可以 使用，保证信息及信息系统确实为授权使用者f 折用，防止由于计算机病毒或 其它人为因素造成的系统拒绝服务，或为敌手可用；信息的可控性是对信息 及信息系统实施安全监控管理；信息的可审计性是指可查记录或日志的证据 记载：信息的不可否认性是保证信息行为人不能否认自己的行为。 西南交通大学硕士研究生学位论文第5 页 2 1 2 网络安全解决方案 2 1 21 防御体系 要使信息系统免受黑客、病毒的攻击，关键要建立起安全防御体系，从 信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息 的不可否认性等。 安全防御体系是一个系统工程，它包括技术、管理和立法等诸多方面。 为了方便，我们把它简化为用三维框架表示的结构如图2 一l 所示。其构成要 素是安全特性、系统单元及开放互连参考模型结构层次。 安全特性维描述了计算机信息系统的安全服务和安全机制，包括身份鉴 别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠 性。采取不同的安全政策或处于不同安全保护等级的计算机信息系统可有不 同的安全特性要求。系统单元维包括计算机信息系统各组成部分，还包括使 用和管理信息系统的物理和行政环境。开放系统互连参考模型结构层次维描 述了等级计算机信息系统的层次结构。此框架是一个立体空间，突破了以往 单一功能考虑问题的旧模式，是站在顶层从整体上进行规划的。它把与安全 相关的物理、规章及人员等安全要素都容纳其中，涉及系统保安和人员的行 政管理等方面的各种法令、法规、条例和制度等均在其考虑之列。 用户层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 身访数数防审可可 份目据据止计用靠 鉴控保完蕾管性性 别制密蓉认理 信息处理单元 安全特性 通信网络 系统单元r 气全管理 ， 物理环境 图2 一l 安全防御体系结构框架 西南交通大学硕士研究生学位论文第6 页 2 1 2 2 解决方案 计算机网络安全、恶意程序与病毒问题是计算机信息系统安全的重点之 一，就是因为存在着大量的恶意程序与病毒问题才导致了众多网络安全问题 的暴露，二者永远是矛盾对抗的统一体，此起彼伏。 针对多种多样的安全问题，相应出现了各类安全产品。基于国家政策的 大力支持和信息安全行业的市场推动，我国的信息安全产品也逐步发展成为 一个比较完善的产品体系。整个市场分为密码、防火墙、防病毒、防入侵、 身份识别、网络隔离、可信服务、安全服务、防信息泄露、备份恢复等领域， 但国外产品占有的市场仍是为数不少。 防火墙 防火墙从诞生以来，从简单的包过滤到电路层防火墙、应用层防火墙， 再从状态检测到自适应代理技术已经经历了很大程度的发展。逻辑上，防火 墙是一个隔离器、过滤器和监视器，它要求所有进出网络的数据流考陋该通过 它，并且所有穿过它的数据流都必须有安全策略和计划的确认和授权。其工 作原理是：按照事先规定好的配置和规则，监测并过滤所有通向外部网或从 外部网传来的信息，只允许授权的数据通过。 设立防火墙的主要作用有：保护脆弱的服务，明显提高内部网的安全性。 利用防火墙便于实现集中的安全管理、强化安全策略，可以很方便地监视网 络安全性并报警，也是记录、审计和流量管理、带宽分配、费用统计的最佳 地点。还可以利用n a t 技术可以将有限的i p 地址动态或静态地与内部的i p 地址对应起来，可以实现v p n 功能以及其它众多附加功能。防火墙发展趋势 将为处理能力更强、过滤功能不断扩展和加强、与t d s 或病毒检测联动结合、 技术上将更加综合、提供的功能更多等。 i d s ( 入侵检测系统) 入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组 成部分。入侵检测技术是为保证计算机系统的安全丽设计与配置的种能够 及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网 络中违反安全策略行为的技术。入侵检测系统的应用，能使在入侵攻击对系 统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在 入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入 侵攻击的相关售息，作为防范系统的知识，添加入知识库内，以增强系统的 西南交通大学硕士研究生学位论文第7 页 防范能力。 入侵检测产品基本上分为基于网络的产品和基于主机的产品，混合的入 侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的 完整性检套工具也可看作是一类入侵检测产品。i d s 所采用的技术可分为特 征检测与异常检测两种，常用的检测方法有特征检测、统计检测与专家系统。 病毒预防和检测 从广义上讲，凡能够破坏计算机正常运行的程序都可以称为计算机病毒。 病毒作为种特殊的计算机程序，主要有传染性、隐蔽性、潜伏性和破坏性 等特征。按照传染方式病毒可分为：引导型病毒、文件型病毒和混合型病毒； 按照入侵方式病毒可分为：源码型病毒、入侵型病毒、操作系统型病毒和外 壳型病毒。对病毒的预防和检测是一个持续的研究内容。 从加密安全角度，安全产品所依赖的的安全技术主要包括密码技术、身 份认证、虚拟专用网、公共密钥基础设施( p k i ，p u b l i ck e yi n f r a s t r u c t u r e ) 等”。信息安全产品分为四个层次： 基础安全设备 基础安全设备包括：密码芯片、加密卡、身份识别卡等。 终端安全设备 终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、 异步数据密码机等。 网络安全设备 网络安全设备从数据网和网络层考虑，可以分为i p 协议密码机、安全路 由器、线路密码机、防火墙等。 系统安全设备 系统安全设备大致分为安全服务器、安全加密套件、金融加密机卡、 安全中间件、公开密钥基础设施系统、证书权威( c a ，c e r t i f i c a t i o n a u t h o r i t y ) 系统等。 这些信息安全产品可以组成不同的行业安全解决方案。信息安全产品体 系见图2 - 2 所示。 西南交通大学硕士研究生学位论文第8 页 图2 - 2 安全产品体系结构 密码技术也要与信息安全的其它技术如访问控制技术、网络监控技术、 安全操作系统、防病毒软件、网络系统扫描系统、入侵检测系统、网络安全 预警与审计系统等互相融合，互相渗透，互相结合，综台运用这些技术，形 成综合的信息网络安全保障。将这些产品应用在不同行业的信息安全领域， 使用安全工程风险管理的思想与方法来处理，将网络安全作为个整体工程 来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方 位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案，就形 成电子商务安全解决方案、电子金融安全解决方案、电子政务安全解决方案、 电子企业安全解决方案和电子公民安全解决方案等。 本课题的v p n 安全网关技术既是种虚拟网络新技术的开发，也是如此 的一个综合安全解决方案的研究与应用。 嚣囊交逶大学 暖圭聚变生学稼论文繁9 炎 2 2v p n 综述 2 2 1v p n 金义与功能 对于稷何跨区域的单位，都希罄得到本单位内部的网络服务，同时合作 的单位与客户也希望得到这种方便快捷、更经济、高效、安全的网络服务， 专用网服务就是解决这一问题的途径。 一股来说，v p n 是指利用公麸瓣络，如公共分组交换网、帧中继网、i s d n 或i n t e r n e t 簿豹罄矧e 发送专嬲售惠，形成逻辑上豹专超廷终。也可以 这样稔v p n 楚专网和公霹静辑中方寨，遥过这弹技术霹浚将原来猿立懿l 麟 通过w a n 安众地联接在一起。 传统的跨广域网的专用网络怒通过远程拨号和租用专线来实现的，而 v p n 则是利用服务商所提供的公按网络来实现远程的广域连接，虚拟专用网 中的“虚拟v i r t u a l ”一词在计算机与透信技术中经常自隧到，如虚拟存储器、 纛电路、蕊终壤等，它嚣j 在意义上密共嚣之楚。藏寝掇专蠲瓣瑟言，纛数表 髓萁奁穗成上警实在匏网络不弼，健对使用的鼹户来说，在功蓦上舞l 与实在 的专用网络j 常相似。v p n 可以认为是建立在实际网络( 或物理网络) 基础 上的一种功熊性网络。它是专用网的一种组网方式，怒种逻辑上的专用网 络，它向用户提供一般专用网络所具有的功能，但本身却不是一个独立的物 理网络。 越寒越多貔攀整在毒毒建或缓耀爨基戆内帮瓣终时郝镬建了这襻豹￥粼纛 掇专用弼设器鲡接入服务器、广壤瓣上豹路宙器或v 烈奄褥设备等在公瘸的 w a n 上实现专用网的服务，这样不冉需要租用长途专线去建立私有通信网络， 就向用户$ 鼹供了一般专用网络的月疆务，这使v p n 技术迅速发展，应用也更加 广泛。 由予v p n 一般通过在公用网络上建立逻辑隧道、加密以及采用日令保护、 隽蛰验涯、狡隰浚置、茨灾壤等捺魏，儇溯靛完整羧，避免被 隧窈取， 因此一般其蠢认证、访闯控毒l 、僚密、数据完整性、不w 否认等功能，双丽 实现构建康拟专用网。 西南交邋大攀硕士研炎生学位论文第1 0 搿 2 。2 2v p n 关键技术 一般来说，v p n 系绕魅助髓i 麓技零和加整认诞技术对信息封装，如同奁 公网上歼黪祭羼蔽的通路来传输数据信慰，关键技术妻要有四项： ( 1 ) 隧邋( t u n n e l ) 技术楚v 烈技术基础。所 髯隧道技术就煞络分组 辩装鹣技零，它是v p n 安凝激内部溺溅垃逶涪每多渗议逶绩鹣蓬要凌黢，翔 影i p 、p p t p 、l 2 t p ( l a y e r2t u n n e l i n gp r o t o c 0 1 ) 鞠g r e ( g e n e r i cr o u t i n g e n c a p u l a t i o n ) 、i p s e c ( i ps e c u r i t y ) 、( m u l t i p r o t o c o ll a b e l 轴i t c h i n g ) 等，其中i p s e c 和m p l s 技术是两种矮重要应髑最多的v p n 架捣。 ( 2 ) 傻蹋者垮设备身份谈诞技术。x5 0 9 、r 揸l u s 、l d a p 等都是援供 认涯溅努懿。认诞对于￥烈瓣安全是l # 露羹簧熬，￥粼憨搀洪双蠢素藏多毽 索魏强麓户认谖。谯运憨谤瓣识中，缓露了惩声名及西令，它嚣j 羧蘧浓判 断用户廷西有救访问。r a d i u s 数据摩不仅撼供认诞闵的用户名和口令，还能 指定控制滤接的强制切断时间、i p 地址或回q 等详细的属性。v p n 暇引入的 特性之裁是i 隧镞l 羲震户认溅，程爱，蠲户i d 襄翻令谤润键翔躯是鞘试涎技 术。爨瑗户认涯方豢恕璎户i d 翻令缝舍冀匏搜本以实瑷双溺素或多因爨憩 理过稔。 ( 3 ) 热解麓i 技术。翻密技术绦诫了数缮豹梳密憔，鲤i p s e c 中南日密蹩 融k s p 狮议实糯，间时使用h s a h 傈 正了数据的不w 鬣改髋。 ，它可戳创建、分配帮譬瑾公钥滋书。暇黎要鼹诞书遘行 数字签名以保证证书的有效往。如果苞含程证书中的c a 的豁名与拥有者的皴 名是有效的，圊辩拥有者的证书秘c a 的诞书都没菇拔吊销的话，爨l 躜户可以 信任该疆书是鸯效静。数字证书除了雳予信任穸b 还可以用于认证稻授权。 消息认证 杂凌露数( h a s h ) 楚薜鸯镁意长静耱天产垒露定长瓣输出豹箨法，这 个输出称为杂潦码、消息摘骤或指缎。消息认证碣m a c ( m e s s a s e a u t h e n t i c a t i o nc o d e ) 雾法除了产生浸惑摘要对嚣器秘密鬻雾移与杂凑羹 数狠柑馘。例如：( 1 ) m d 5 ( m e s s a g ed i g e s t ，v e r s i o n5 ) 消息摘要辣法以任 意长度的消息作为输入，生成1 2 8 位的消息摘要。( 2 ) s 激一l 安全袈凑算法 s l 毳毒n i s t 发帮，生裁1 6 0 短戆瀛惠藕要输出。玩瓣5 谩，但有较离的安全 性。( 3 ) m i a c 怒一个通过杂凑嫡数来实现消息认 正的算法。 强s 本设计使用的佃5 是姻算法的最新版本，是种安全的哈希算法。岫8 舞法是霹赣入信蕊块接5 1 2 位遴纾垒b 理熬，酋先它对簸 翁惑落瞳磺宠，使 信息的长度等于5 1 2 的倍数。1 2 8 位的缓冲区先卡刀贻化为个固定盼值。每 次从输入信息中墩5 1 2 位，每次进抒4 轮，每轮1 6 步总共6 4 步的继惠变换 羟瑾，产生1 2 8 彼豹输爨筵蠹疆渖区孛，娥后褥蓟一卟1 2 8 使韵报文摘要。 西南交通大学硕士研究生学位论文第2 4 页 3 4 3 访问控制设计 k i ) m c 设计中的访问控制模块具有基于t c p i p 协议的i p 数据包过滤和服 务端口过c c f , ：王 b 能，保护安全管理中心免受网络内部、外部攻击；策略管理模 块可以在线配置加密机安全规则、路由规则，实现普通子网和安全子网的分 割，提供明密结合的数据传输方式，支持自动刷新规则，建立相应的日志记 录等。 加密机中的安全过滤模块提供基于包过滤的防火墙功能，支持网络访问 控制，防止外部用户攻击。 3 5j p s e o 协议体系 i p s e c 是由i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，因特网工程任务 小组) 正式定制的开放性安全协议，其中包括不同的i p s e c 组件、各组件之 间的交互是如何进行的、i p s e c 套件中的各个协议以及各协议运行的模式。 它实际上是一个安全框架，包括以下组件： 安全协议：a h 和e s p 协议； i k e 密钥交换协议； 验证和加密算法； s a d ( s e c u r ea l l i a n c ed a t a b a s e ，安全联盟数据库) 、s p d ( s e c u r e p o l i c yd a t a b a s e ，安全策略数据库) 。 i p s e c 可以为i p 层和上层协议通信提供各种安全服务，这些安全服务包 括数据源提供身份验证、数据完整性以及机密性保证机制，抗重播保护、有 限的数据流机密性。i p s e c 对于i p v 4 是可选的，对于i p v 6 是强制实施的。 3 5 1 i p s e c 基本协议 i p s e c 基本协议包括a h 协议( a u t h e n t i c a t i o nh e a d e r ，验证头) 和e s p 协议( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，封装安全载荷) 。a h 和e s p 都可 为i p 提供数据完整性、数据原始身份验证和抗重播服务，e s p 还提供机密性。 e s p 中强制实施的加密算法是d e s - c b c ，验证器是i b a c - s h a - 9 6 和 西南交通大学硕士研究生学位论文篁箜堕 i m h a c - m i ) 5 9 6 。a h 的两个强制实施的身份验证器也是i $ 1 a c - s h a - 9 6 和 舢l c o l m 5 - 9 6 。 3 5 11 两种工作模式 i p s e c 可为i p 层及上层协议提供安全保证，这分别是通过i p s e c 的两种 不同的模式来实现的，如图3 3 所示。a h 和e s p 均可用于传送模式和通道模 式。两种模式的区别非常直观，它们保护的东西不同，一个是i p 包，一个是 i p 载荷。 原始i p 包 传送模式 通道模式 图3 2 两种模式下受i p s e c 保护的i p 包 从图3 2 可以看出，在传送模式中，i p 头与上层协议头之间需插入一个 i p s e c 头，保护i p 载荷；在通道模式中，在要保护的i p 包前插入一个i p s e c 头，再将它们封装到外部i p 头中，保护i p 包。传送模式用来保护上层协议， 对i p 头只提供完整性保护，不提供机密性保护；而通道模式用来保护整个 i p 数据报，同时提供机密性和完整性保护。相对传送模式，通道模式安全性 更好，但需要较多的开销。 通常，传送模式适用于主机与主机之间的通信，而通道模式则多用于安 全网关之间的通信。 35 1 2 基本协议头格式 e s p 保护的i p 包分别如图3 - 3 和图3 _ 4 所示，两种模式下，e s p 头都紧 紧跟在一个i p 头之后。 圈困 西南交通大学硕士研究生学位论文第2 6 页 i p 头 安全参数索引( s p i ) ji 序列号 初始化向量 t c p 头 i 验词 数据 l 填充项 填充礓长度下一个头 函 验证数据 、l 图3 3 传送模式下受e s p 保护的一个i p 包 i p 头 安全参数索引( s p i ) ji 序列号 初始化向量 i p 头 二验t t c p 头 数据 l 填充项l 填充堙氍度l 下一个头蕞 验证数据 尾 图3 - 4 通道模式下受e s p 保护的一个i p 包 e s p 头与尾各字段含义如下： 安全参数索引( 3 2 比特) ：标识一个安全联盟。 序列号( 3 2 比特) ：单增的计数器值。 初始化向量( 3 2 比特) ：加密算法需要用到的数据。 载荷数据( 可变) ：传输层数据段( 传送模式) 或i p 包( 通道馍式) ， 通过加密受到保护。 填充( 0 2 5 5 字节) ：额外的字节。有些加密算法要求明文长度是8 位组的某个整倍数，也可用来隐藏载荷数据的真实长度。 填充长度( 8 比特) ：表示填充的字节数。 下一头( 8 比特) ：通过标识载荷中的第一个头( 如i p v 6 中的扩展头， 或诸如t c p 之类的上层协议头) ，决定载荷数据字段中数据的类型。 验证数据( 可变) ：长度可变的字段( 应为3 2 位字的整数倍) ，用于 褥毒交遴大学磺士酝究黧学位论文繁2 7 页 壤入i c v ( 兜整性梭查值) 。i c y 的计舞范匿垮e s p 包中除掉验涯数据锻的 部分。 矗 l 僳护静i p 毯努剐如豳3 _ 5 秘黼3 _ 6 新示，矗h 爻沈e s p 头简单褥多， 因为它没有提供机密性，不需骚填充和填充长度指示器，因此也不存在尾。 另终，也不鼹要一个秘始纯巍薰。 图3 - 5 传送模式a h 进行保护的一个i p 包 图3 - 6 通道模式a h 进行保护的个i p 包 a h 头各筝段含义如下： 下一头蕊 黔；标识紧鼹验谖头豹下令头女类鼙。转遴凑式下楚 处于保护中的上层协议的值，比如u d p 绒t c p 协议的值。在通道模式下，将 是4 ，表示i p _ i n i p ( i p v 4 ) 封装或i p v 6 鼓装戆4 t 这令蓬。 载荷长度( 8 比特) ：以3 2 位字为单位的验证头的长度，再减去2 。 例如，缺省的骏证数摆字段的长度是9 6 比特( 3 个3 2 佼字) ，加上3 个字长 静黉定头，头鸯共6 个字长，闲既该字段豹谴为4 。 保留( 1 6 比特) ：为将来使用。 w _ _ _ _ _ _ _ _ _ _ _ 一一 西南交通大学硕士研究生学位论文第j ! 璺亟 安全参数索引( 3 2 比特) ：用于标识个安全联盟。 序列号( 3 2 比特) ：单增的计数器值。 验证数据( 可变) ：该字段的长度可变( 但应为3 2 位字的整数倍) ， 包含的数据有数据包的i c v 完整性校验值或m a c 。 e s p 和a h 是ip ：s e c 的两个基本协议，从上面的基本协议头格式可以看出， 在保密方面e s p 除了具有a h 所提供的安全服务外，还可以选择保障数据的机 密性，以及为数据流提供有限的机密性保障：在认证方面e s p 和a h 的认证范 围不同，a h 认证其前面的i p 头，而e s p 的认证范围不包括其前面的i p 头。 在特别需要的情况下，如果同时使用a f 和e s p ，我们就可以建立组合了两者 优点的通道。 3 5 2s a d 和s p d 在i p s e c 协议体系中，安全联盟数据库( s a d ) 和安全策略数据库( s p d ) 是两个重要的组件。s a d 中存放s a 记录，s p d 中存放的是i p s e c 安全策略。在 包处理过程中，s p d 和s a d b 这两个数据库需要联合使用。 3 5 2 1 安全联盟 s a ( s e c u r i t ya s s o c i a t i o n ；安全联盟) 是两个通信实体经协商建立起 来的种协定。它们决定了用来保护数据安全的i p s e c 协议、密钥以及密钥 的有效存在时间等等。主要用于解决如何保护通信数据、保护什么样的通信 数据、以及由谁来实行保护的问题。 s a 是单向的。如果两个主机( 比如a 和b ) 正在通过e s p 进行安全通信， 那么主机a 就需要有一个s a ，即s a ( o u t ) ，用来处理外发的数据包：另外还 需要有一个不同的s a ，即s a ( i n ) ，用来处理进入的数据包。主机a 的s a ( o u t ) 和主机b 的s a ( i n ) 将共享相同的加密参数( 比如密钥) 。类似地，主机a 的 s a ( i n ) 和主机b 的s a ( o u t ) 也会共享同样的加密参数。由于s a 是单向的，所 以针对外发和进入处理使用的s a ，分别需要维护一张单独的( 数据) 表。 另外，s a 还是“与协议相关”的。每种协议都有一个s a 。如果主机a 和b 同时通过a h 和e s p 进行安全通信，那么每个主机都甜对每种协议来 构建一个独立的s a 。 s a 维持着两个实体之间进行安全通信的“场景”或“背景”，它所包含 西南交通大学硕士研究生学位论文第2 9 页 的内容有： 安全协议：a h 或e s p 。 序列号：用于产生a h 或e s p 头的序号。 序列号溢出：指示序列号溢出的情况。 抗重播窗口：由一个3 2 位计数器与一个位图组成，用来检查熏放报 文。 存活时间：规定每个s a 最长能够存在的时间。 a h 认证密码算法和所需要的密钥。 e s p 认证密码算法和所需要的密钥。 i p s e c 协议模式：通道模式或传送模式。 p m t u 。 在s a 中，s p i 是种非常重要的元素。它实际上是一个长度为3 2 位的 数据实体，可用于独一无二标识出接收端上的一个s a 。s a d 中的每个s a 由 字元组来唯一的标定s a 。 3 5 2 2 安全策略 安全策略是i p s e c 协议体系中一个重要组件，决定了为一个包提供的安 全服务。安全策略保存在一个安全策略数据库s p d 中，根据“选择符”对s p d 数据库进行检索，它定义了两个实体之间的安全通信特性，定义了在什么模 式下使用什么协议；还定义了如何对待i p 包。 对策略进行描述和定义是非常困难的，因为人的想法和机器定义不同。 由于策略是人机之间的安全接口，所以它显锝极为重要。从人到机器的转换， 中间涉及到策略定义、策略表示、策略管理以及策略最终与i p s e c 系统各组 件间的交互。策略并非一种标准。i p s e c 协议标准对策略的各种功能下了定 义。然而，并未硬性规定任何一种特定的策略表示方法，也未强迫执行任何 特定的实现方式。 3 5 2 3 选择符 选择符决定了提供给一个包的安全服务。选择符是从网络层和传送层头 内提取出来的。根据选择符从安全策略数据库中进行检索，选择适当的策略， 从而给数据包( 外出) 提供安全服务，或是对数据包( 进入) 进行安全服务 的验证。参数有： 源地址：可以是一个通配符、一个地址范围、一个网络前缀或者是指 覆寿交通犬举硕士研究生学位论文第3 0 炎 定主祝。辩源自一个主枫的所春数耀报，假如它们采驳糨同的策略，霞可潋 使用通配符。网络前缀和地址范阑用于安全网关，以便为隐藏在它后面的主 机提供安愈保护，以及用来构建v p n 。 目标地址：可以是一个通配符、一个地址范围、一个网络前缀或一个 指定主辊。对于经过通道处理豹l p 包，廷俸选择籀豹鞭标地址是蠹都i p 头 串豹嚣懿麓蜓，& 粪正豹嚣标穗缓。不圈懿是，接浚黼子查援s a 舞蘑懿嚣 的地址是外部i p 头的目的地址。 名字：用于标识与一名商效用户或者系统名称篾联在一起的策略。 协议：指定传输层协议。像如果使用了e s p ，传输协议便无法访间， 这时需使用通配符。 上裰端嗣：包括源帮霹静端懿。魏采蠛口无法沈闫，使蓑夔恶莲配耱。 3 5 3 i n t e r n e t 密钥交换 i k e 密钥交换协议主要用于创建s a 和维护s a 。它实际上一种常规用途的 安全交换协议，可用于策略的协礴秘验证材料的建立。s a 可戳手工龟q 建或动 态餐建。i k e 代表i p s e c 对s 矗遴簿诲囊，蒡对s a d b 数獾霹进行填充。i k e 的功鼹包撅翱密算法和密锯漭商、密钥生成、交换及篱遴。 珥e 属于种混合型协议，建立在由i n t e r n e t 安众联盟和密钥管理协议 ( i s a k m p ) 定义的一个框架上。像沿用了i s a i 的蒸础、o a k l e y 的模式以 及s k e m e 的熬享和密钥更新技术，从而定义出自己独先二的验证加密材料 生成技术，以及协商共享策略。i s a e v i p 携议