（计算机应用技术专业论文）基于ipsec协议的vpn安全网关的研究与实现.pdf

武汉理工大学硕士学位论文 摘要 随着计算机网络的迅猛发展，网络在为人们提供便利和带来效益的同时， 也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的 热点问题之一，v p n 技术是近年来用于解决网络安全问题的新技术之一。它将 专用网建立在公用网基础上，通过相关的安全技术实现移动用户与企业网，各 分支机构与总部及企业与合作伙伴之间的安全通信。 i p s e c 是i e t f 于1 9 9 5 年8 月公布的一系列针对i n t e m e t 安全性问题 提供低层安全支持的标准。它是一组开放协议的总称，其中包括：封装安全载 荷e s p 、验证头a h 、i n t e r n e t 密钥交换i k e 和安全联盟s a 。利用i p s e c 构 筑的v p n 可以在企业网络的各站点间提供安全口隧道，使企业的敏感数据 不被偷窥和篡改。在安全性方面i p s e c 明显优于l 2 t p 等二层隧道协议。本论 文主要是研究、设计和实现基于i p s e c 的v p n 系统模型。 本文的研究内容主要包括三个方面： 1 在研究v p n 发展背景、v p n 基本技术、v p n 类型的基础上，着重对 v p n 的隧道技术在安全性方面进行分析和比较。 2 系统地研究分析了i p s e c 安全协议和密钥管理协议( i k e ) ，i p s e c 协 议各个组成部分的工作原理和过程。 3 在对坤s c c 协议体系结构进行分析的基础上，基于网关到网关的v p n 应用环境，针对l p s e c 的复杂性提出了一套改进方案，并对该方案的实现方法 进行了研究，给出了可行的i p s e c 的实现机制，选择在安全网关上采用 w + i p s e c 的o s 集成方案。最后对设计实现的v p n 网关进行了应用测试。 本论文的研究提供了用i p s e c 实现v p n 的一种方法，为在实际应用环境 中更好地利用i p s e c 以保证v p n 的通信安全提供了一种新思路。 关键词：v p n ，i p s e c ，i k e ，安全联盟，e s p ，a h 武汉理工大学硕士学位论文 a b s t r a c t w i t ht h ef a s td e v e l o p m e n to fc o m p u t e rn e t w o r k ，n e t w o r kp r o v i d e sc o n v e n i e n c e a n db e n e f i t sf o rp e o p l e ，b u ti ta l s om a k e sp e o p l ef a c et ot h ec h a l l e n g eo fi n f o r m a t i o n s e c u r i t y c u r r e n t l y , n e t w o r ks e c u r i t yp r o b l e mh a sb e e no n eo fh o tt h e m e s o f c o m p u t e rn e t w o r k , a n dv p nt e c h n o l o g yi s o n eo fn e wt e c h n o l o g i e st or e s o l v e n e t w o r ks e c u r i t yp r o b l e m s v p nb u i l d sp r i v a t en e t w o r ko np u b l i cn e t w o r k ，a n di t a p p l i e sc o r r e l a t i v es e c u r i t yt e c h n o l o g i e s t or e a l i z et h e s e c u r i t yc o m m u n i c a t i o n b e t w e e nm o b i l eu s e sa n di n t r a n e t , e a c hb r a n c ho f f i c ea n de n t e r p r i s eh e a d q u a r t e r , e n t e r p r i s ea n dc o o p e r a t i v ef e l l o w s i p s e c , r e l e a s e di na u g u s t1 9 9 5b yi e t f , i sa s e r i e so fc r i t e r i o n st op r o v i d el o w e r s e e u r i t ys u p p o r tf o rt h es e o l l i t yp r o b l e m so fi n t e r a c t i ti sag e n e r i ct e r m o fag r o u p o f o p e np r o t o c o l s ，w h i c h i n c l u d e e n c a p s u l a t i n gs e c u r i t yp a y l o a da e s p ) ， a u t h e n t i c a t i o nh e a d e r ( a h g , i n t e m e tk e ye x c h a n g e ( i k e ) a n ds e c u r i t ya s s o c i a t i o n ( s a ) v p n ，c o n s t r u c t e db ya p p l y i n gi p s e c , c a np r o v i d es e c u r i t yi pt u n n e l sb e t w e e n i n t r a n e ts i t e s ，a n ds e n s i t i v ed a t ao fe n t e r p r i s ec a n n o tb ep e e k e da n dd i s t o r t e d f r o m t h ea s p e c to fs e c u r i t y , i p s e cp r e c e d el a y e r2t u n n e lp r o t o c o l s ( s u c ha sl 2 t p ) o b v i o u s l y t h i st h e s i sm a i n l y r e s e a r c h e s ，d e s i g n sa n dr e a l i z e sv p ns y s t e mm o d e l b a s e do ni p s e e t h er e s e a r c hc o n t e n t si n c l u d e3a s p e c t si nt h i st h e s i s ： 1 b a s e do nt h er e s e a r c ho fv p nb a c k g r o u n d ，v p nb a s i ct e c h n o l o g ya n d v p n t y p e s ，v p nt u n n e l i n gt e c h n i q u ea r ea n a l y z e da n dc o m p a r e di ns e c u r i t y 2 i p s e cs e c u r i t yp r o t o c o l ，i n t e r a c tk e ye x c h a n g e ( i k e ) ，t h ew o r kp r i n c i p l ea n d p r o c e s s o fe a c hc o n s t i t u e n to fl p s e c p r o t o c o l a r ea n a l y z e da n dr e s e a r c h e d s y s t e m a t i c a l l y 3 b a s e do nt h ea n a l y s i so fi p s e cp r o t o c o la r c h i t e c t u r e ，a l li m p r o v e dp r o g r a mi s p r e s e n tf o ri p s e cc o m p l e x i t yb a s e do nt h ev p na p p l i c a t i o nc i r c u m s t a n c ef r o mo n e g a t e w a yt oa n o t h e rg a t e w a y t h e n ，t h ei m p l e m e n t a t i o nm e t h o do ft h i si m p r o v e d p r o g r a mi sr e s e a r c h e d ，a n dt h i sp r o g r a mi sr e a l i z e db yap r o t o t y p es y s t e m a tl a s t ， n 武汉理工大学硕士学位论文 t h ef u n c t i o na n dp e r f o r m a n c eo ft h i ss y s t e ma r et e s t e d ，a n dt h et e s tr e s u l t sa r e a n a l y z e da n d e v a l u a t e d t h er e s e a r c h e so ft h i st h e s i sp r o v i d eam e t h o do fr e a l i z i n gv p n b yi p s e c ，a n d p r o v i d ea h e wi d e af o rm a k i n gg o o du s eo fi p s e ci nr e a la p p l i c a t i o nc i r c u m s t a n c et o e n s u r et h ec o m m u n i c a t i o ns e c u r i t yo fv p n k e y w o r d s ：v p n ，i p s e c ， i k e ，s e c u r i t ya s s o c i a t i o n ，e s p a h 武汉理工大学硕士学位论文 第1 章绪论 本章首先介绍了i p s e c 技术、v p n 技术的研究背景，分析了课题的选题意 义，然后介绍了国内外i p s e cv i n 技术研究现状，概述本课题内容以及作者完 成的相关工作，在本章最后，介绍了本文的组织结构。 1 1 研究背景与选题意义 由于通信技术、微电子技术和计算机软件技术的迅猛发展，在开放系统互 联模型和t c f 口协议族的基础上，异型计算机之间、异构网络之间互联的技 术屏障已被完全打破，由此推进了信息技术的高速发展。伴随着信息时代的到 来，计算机网络已经成为国家的经济基础和命脉，在各个领域迅速普及，整个 社会对网络的依赖程度越来越大。然而，网络技术是把双刃剑，在广泛和深刻 地改变传统生产、经营、管理和生活方式，成为新的经济增长点和先进文化的 重要传播工具的同时，也对信息的所有权、使用权和拒绝权提出了挑战。安全 问题已经成为保障和推动信息网络健康发展的关键。目前，计算机系统面l 临的 最主要的安全风险包括两个方面：一是信息在传输时被窥探或非法修改；二是 来自公网对内部网的非法访问和攻击。i n t e m e t 使一些别有意图的人获得了一个 更隐蔽的犯罪场合或炫耀技能的舞台，而且有相当一部分人的行为严重威胁了 公众的利益，也影响了i n t e r n e t 在某些领域的深入使用，因此迫切需要一种能够 很好地解决i n t e r n e t 安全性的技术或方法。 虚拟专用网m m u a lp r i v a t en e t w o r k , ， 4 1 正是提供这样一种集专网的安 全性和公网的经济、方便于一体的有效解决方案。无论是从市场的角度还是从 研究的角度，研究v p n 的系统构建都是非常有意义的。v p n 技术保障了公网 数据传输的安全性，它采用身份认证、存取控制、数据机密性、数据完整性等 措施，来保证信息在传输中不被偷看、篡改和复制。 v i n 是通过跨越基于m 协议的公网建立起一条专用通道来实现公网私用。 v i n 技术的核心是隧道技术。隧道允许v p n 的数据流被路由通过i p 网络，而 不管生成该数据流的是何种类型的网络或设备。隧道技术包括第三层的隧道技 武汉理工大学硕士学位论文 术i p s e c 以及第一层的隧道技术l 2 t p ( l a y e r2t u n n e l l i n gp r o t o c 0 1 ) ，p p r p ( p o i n t t o p o i n tt u n n e l i n gp r o t o c 0 1 ) 等。而i p s e c 协议是目前最完善的一套安全协 议，它采用严格的加密和验证机制，并结合i k e ( 自动密钥交换协议) ，可形成 一整套安全完整的v p n 解决方案。而且i p s e c 在设计之初就考虑了向h v 6 的 过渡，因此设计时完全考虑了在i p v 6 的使用，从而为长远的应用和发展奠定了 基础。 简单地说隧道就是指一个网络通过另一个网络的连接传输分组，将一种协 议的数据单元封装在另一种协议的数据单元中。隧道是一种虚拟的点到点的连 接，这个连接可以为隧道的两个端点提供认证、加密和访问控制等安全措施， 保障通信的安全。隧道技术可以在不同的协议层上实现，在不同协议层上实现 具有不同的实现难度，也提供了不同强度的安全保护 v p n 因其灵活、价廉、可以很好地与口网络直接结合等优点而成为当前 的一个研究热点。选择v p n 组建专用网也成为了国内外企业组网的一个趋势。 v i n 技术能够明显降低企业远程通讯的成本和提高工作效率。研究发现，在国 内分支机构问使用v p n 能够为企业节约2 0 4 0 的通讯费用，把办公室通 过v p n 连接起来可以节省6 0 8 0 的长途通讯费用和交通费；跨国公司使 用v p n 节省的国际通讯费用的比例还会更高。但由于v p n 的相关技术纷繁 复杂，这些技术具有各自的侧重点和优缺点，因此如何根据现有相关的技术设 计最适合自己网络情况的v p n 也是现在的一个研究重点【卅。 越来越多的企业开始注意到那些安装了v p n 系统的公司所节省下来的数量 惊人的费用。根据l n f o m e t r e a r c h 公司的统计发现：虚拟专用网产品、系统集 成和服务的市场以每年超过1 0 0 的增长发展。在国外，v p n 已经迅速发展起 来，2 0 0 1 年全球v p n 市场达到1 2 0 亿美元。但在国内的应用也仅在一些有 限的范围内，应该说国外的网络设备、操作系统厂商在v p n 方面是走在最前 端的。c i s c o 、a s c e n d 、m i c r o s o f t 等大公司都从不同的方面做着完善v p n 的 工作，同时也提出了许多r f c 和业界标准。从当今各大公司对v p n 的关注 可以看出v p n 有极大的发展前途。以下列举了一些公司v p n 的产品和他们 采用的相关技术及特点： 1 基于二层隧道协议的v i n 例如c i s c o 公司提出了l 2 t p ( l a y e r2 t u n n e l l i n gp r o t o c o l1 ，同时在它的操作系统中提供了加密和隧道技术。a s c e n d 公司与微软等公司提出了f p t p ( p o i n t t o - p o i n tt u n n e l i n gp r o t o c 0 1 ) ，同时在它自 2 武汉理工大学硕士学位论文 己的路由器中加入了a t m p ( a s c e n d t u n n e l m a n a g e m e n t p r o t o c 0 1 ) ，以实现v p n 的功能。但是基于二层隧道协议的v p n 主要有以下的缺点： ( 1 ) 仅仅定义了对隧道的终端实体进行身份认证，而不是认证隧道中流 过的每一个数据报文。无法抵抗插入攻击和地址欺骗攻击。 ( 2 )由于没有针对每个数据报文的完整性校验，无法抵抗假冒控制信息 进行的拒绝服务攻击( d o s ，d e n i a lo fs e r v i c e ) 。 ( 3 ) l 2 t p 本身不提供任何加密手段。 ( 4 ) 虽然p p p ( p o i n t t o - p o i n tp r o t o c 0 1 ) 报文可以加密，但它不支持密钥的 自动产生和刷新，没有密钥管理和交换机制。 2 基于m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) 的v p n 它引入了基于标记的 机制，把选路和转发分开，由标签来规定一个分组通过网络的路径。 m p l s 的优点： ( 1 ) l s 使用的是传统的口路由协议，信令传输也是t c t w 协议，实 现m p l s v p n 对m 网络无特殊要求。 ( 2 ) m p i s 本身就提供一定安全机制，m p l sv p n 可将不同用户的数据 流分开，利用标记来判断分组所属的v p n 。当要求数据加密和用户认证时， 可 将m p l s 与i p s c c 结合使用。 ( 3 ) m p l s 可实现具有流量控制和o o s 能力的v p n 网络。 m p l s 的缺点： ( 1 ) m i l s 只能在m p l s 网络范围内应用，不像口可以伸展到任何可 以到达的地方。因此基于m p l s 隧道建立的v p n 从定义上就不能伸展到 m p l s 网络以外。 ( 2 ) m p l s 还有其他的安全问题，如它没有直接的认证、机密性和完整性 这样的安全特性。 ( 3 ) m p l s 的信任模型意味着需要通过中问路由器( 可能属于不同的管理 域) 来完成，因而中间路由器必须得到信任，而不仅仅是边缘路由器本身。 3 基于i p s e c ( ws e c u r i t yp r o t o c o l1 的v i n i p s e c 是i e t f 于1 9 9 5 年8 月公布的一系列针对i n t e r n e t 的安全性提 供低层支持的标准。它是一组开放协议的总称，其中包括：封装安全载荷 e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 、验证头a h ( a u t h e n t i c a t i o nh e a d e r ) 、 i n t e m e t 密钥交换i k e ( i n t e m e tk e ye x c h a n g e ) 。运用以上技术i p s e c 提供了以 3 武汉理【大学硕士学位论文 下的安全性：数据起源地验证、无连接数据的完整性验证、数据内容的机密性 以及抗重播保护。i p s e c 可以在网络中主机内实现，也可在位于内部网和外部 网的边界上实现访问控制功能的网关中实现。利用i p s e c 构筑的v p n 可以在 企业网络的各站点间提供安全m 隧道( 由隧道模式e s p 加密并重新构造的新 报文的源到目的地址之间的网段称为安全m 隧道1 ，使企业的敏感数据不被 偷窥和篡改。由于在安全性方面i p s e c 明显优于l 2 t p 等二层隧道协议，因此 现在基于1 p s e c 构建v p n 已成为网络信息安全方面的一个研究重点和热点。 本论文的研究目的即是在对i p s e c 和v p n 进行全面、系统研究的基础 上，重点探讨i p s e c 实现中的一些关键问题，在此基础上设计并实现一个基于 口s c c 的安全、高效的v p n 系统。 1 2 论文内容与相关工作 本文围绕嵌入式i p s e cv p n 网关的研究、设计这个主题，从理论、技术及 设计实践方面进行了研究，主要做了以下一些工作： 对当前纷杂的v p n 技术进行分析，包括v p n 的产生背景、分类、应用 领域、相关技术、隧道协议l 2 t p 、p p t p 等，并对其进行深入的比较。 介绍了i p s e c 安全协议和密钥管理协议( i k e ) ，并对其进行系统的分 析研究，以及i p s e c 协议各个组成部分的工作原理和过程。 提出了可行的i p s e c 的实现机制，选择在安全网关上采用i p + i p s e c 的 o s 集成方案。在网关到网关实现v p n 的应用环境下，针对l p s e c 的复 杂性提出了一套改进方案，并在改进方案上设计实现了一个试验模型。 对该模型进行了编程实现。最后对设计实现的v p n 网关进行了应用测 试。 1 3 论文结构 本文共分6 部分，第1 章：绪论；第2 章：虚拟专用网v p n 实现原理及关 键技术；第3 章：i p 层安全协议i p s e c ：第4 章：i p s e c 和n a t 兼容性问题研 究；第5 章：i p s e c 安全网关的设计与实现；接下来，结论与展望。各章的联系 与全文的结构如图所示： 4 武汉理工大学硕士学位论文 图1 1 本论文章节结构图 5 武汉理工大学硕七学位论文 第2 章虚拟专用网v p n 实现原理及关键技术 2 1 网络安全含义 网络安全【3 0 l 是一门涉及计算机科学、网络技术、密码技术、信息安全技术、 应用数学、数论、信息论等多种学科的综合性科学。网络安全是指网络系统的 硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破 坏、更改和泄露，确保系统能连续可靠正常地运行，网络服务不中断。网络安 全从其本质上来讲就是网络上的信息安全。从广义上来说，计算机网络的安全 性可定义为；保障网络信息的保密性、完整性和网络服务的可用性及可审查性。 前者要求网络保证其信息系统资源的完整性、准确性及有限的传播范围；后者 则要求网络能向所有的合法用户有选择地随时提供各自应得到的网络服务，即 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可审查性的相关 技术和理论都是网络安全的研究领域。 网络安全的主要目标是要确保经网络传送的信息，在到达目的站时没有任 何增加、改变、丢失或被非法读取。要做到这一点，必须保证网络系统软件、 应用软件系统、数据库系统具有一定的安全保护功能，并保证所有网络部件， 如终端、调制解调器、数据链路等的功能不变，而且只有那些被授权的人们才 可以访问，网络的安全性问题实际上包括两方面的内容；一是网络的系统安全； 二是网络的信息安全。而保护网络的信息安全是最终目的。 2 2 网络安全的解决方案 1 认证技术 认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对 象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性 来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、 数字签名或者象指纹、声音、视网膜这样的生理特征。认证常常被用于通信双 方相互确认身份，以保证通信的安全。 6 武汉理工大学硕士学位论文 常有的认证技术包括传统的口令认证，具有令牌访问设备的双因素认证， 采用提问一相应方法的提问一握手认证协议c i i a p c c h a u e n g eh a n d s h a k e a n t h e n t i c a t i o np r o t o c 0 1 ) ，基于可信赖的第三方认证系统k e r b e m s ，以及采用非 对称密码体制( 公钥制) ，基于x 5 0 9 证书的认证技术。而基于x 5 0 9 证书的认 证技术适用于开放式网络环境下的身份认证，该技术己被广泛接受，许多网络 安全程序都可以采用。 逻辑上，互信的各方产生一个封闭的虚拟社团会增强安全性，但是，各方 也需要有兼容的安全机制来相互认证，低级用户可访问的资源往往会受到对方 高级别安全机制的限制。在实际应用中，认证方案的选择应当从系统需求和认 证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。认 证理论和技术还在不断发展之中，尤其是移动计算环境下的用户身份认证技术 和对等实体的相互认证机制发展还不完善，如何减少身份认证机制和信息认证 机制中的计算量和通信量，而同时又能提供较高的安全性能，都是信息安全领 域需要进一步研究的问题， 2 防火墙技术 网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以一非 法手段通过外部网络进入内网，访问内网资源，保护内部网络操作环境的特殊 网络互联设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的 安全策略进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。 防火墙能有效的控制内部网络与外网之间的访问及数据传递，从而达到保护内 部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。安全、管 理、速度是防火墙的三大要素。 建立防火墙主要技术有：数据包过滤、应用层网关、代理服务器、状态检查 等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有 效使用的重要保证。 在内外网之间设置防火墙可以实现内部网络的访问控制及其它安全策略， 从而降低内部网络的安全风险，保护内部网络的安全。尽管它以突出的性能和 成熟的技术获得了极为广泛的应用，但是它仍然带有某些不足和缺陷。在追求 高安全性的同时，防火墙也会限制了有用的安全服务；对外网的防御使它无法 防护来自内网的攻击；作为一种被动的安全防护技术，只能作用于已知的网络 威胁，无法应对不断更新的安全问题并且存在大量的后门，这都是防火墙有待 7 武汉理工大学硕十学位论文 解决的问题。 3 安全隔离技术 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，一种新 的网络安全技术安全隔离技术”应运而生。隔离技术把两个或两个以上可路 由的网络( 如：t c p f l p ) 通过不同路由的协议( 如：i p x s p x ，n c t b e u i 等) 进行数 据交换而达到隔离目的，在确保把有害的攻击隔离在可信网络之外和保证可信 网络内部信息不外泄的前提下，完成网间数据的安全交换。 隔离概念产生后，隔离产品的大量出现，隔离技术经历了完全隔离、硬件 卡隔离、数据转播隔离、空气开关隔离和安全通道隔离5 代的发展演变。而第 5 代的隔离技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部 网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内 外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种 网络应用，成为当前隔离技术的发展方向。 目前国内市场上的隔离产品大多是基于主机的，这些隔离产品符合国家对 内、外网物理隔离的要求，其不同网络之间的信息交换将完全依赖手工操作的 方式，以磁盘等为中间介质进行。但是，这种信息交换方式实时性差、效率很 低，往往会造成信息传递的阻塞。同时，这种方式对所传递的数据的合法性、 安全性没有可靠的技术措施保障，人为因素造成失误的可能性极大，仍然存在 网络安全隐患。而一些隔离网闸产品，多采用协议转换的方式，只是实现了物 理隔离和网络断开，没有从理论上解释其安全性，在实际的应用中出现了不少 安全问题。因此，真正的网隔产品还需继续研究、研制。 4 虚拟专用网技术 虚拟专用n ( v i a u a lp r i v a t en e t w o r k ，v p n ) 是近年来随着i n t e r a c t 的发展而迅 速发展起来的一种技术。现代企业越来越多地利用i n t c r n c t 资源来进行商务活 动。许多企业趋向于利用i n t c m e t 来延伸它们私有数据网络。这种利用公用网络 来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网技术的引入 从根本上满足了企业用户的低通信费和高灵活性的双重需求，重要的是它提供 了与专用线路相媲美的通信安全保障。 按照用户对v p n 网络数据通信安全性的要求，目前所有的v p n 产品都应 用了相关的技术，这些技术包括隧道技术、资料加密、认证及存取控制等。隧 道技术是v p n 的核心技术，利用隧道技术，v p n 跨越基于伊协议的公网和专 8 武汉理工大学硕士学位论文 用网建立一条专业通道来实现公网私用，传送过程中的v p n 数据的保密性和完 整性则可以通过加密技术得以实现。v p n 采用了现存的用户认证技术( p a p 技 术、c h a p 技术等) 实现了用户身份认证、数据的完整性和合法性认证。在确 认用户身份之后，通过存取控制来实现针对不同用户授予不同的存取权限。 v p n 代表了当今网络发展的最新趋势，它综合了传统数据网络的性能优点 一安全、服务质量和共享数据网络结构的优点一简单、低成本，必将成为未来 传输完全汇聚业务主要工具。 2 3v p n 的概念与技术 2 3 1v p n 发展背景 随着社会的进步和技术的发展，信息的分布处理的趋势越来越明显。从2 0 世纪7 0 年代末期开始，在基础科学和工程领域开始使用个人计算机处理信息。 后来随着个人计算机的普及和发展，局域网技术应运而生，它将公司内的多台 个人计算机连接起来，能够实现信息在本地的共享和分布式的处理。随着局域 网应用的不断扩大，局域网的范围也不断扩大，从本地开始延伸到跨地区、跨 城市甚至是跨国家，于是就诞生了能够将地理上分布的l a n 连接起来的广域 网技术。 专用网是一种能够把l a n 连接起来的w a n 技术。早期的数据业务并不 是十分发达，专用网互联的介质一般采用租用电缆，用户数据信息根据事先约 定的协议，在固定的时隙以预先设定的通道带宽和速度顺序传输。业务一旦开 通，相关网络资源便为该用户独占，不管它是否真正在使用。专用网可以同时 支持多种协议，比如帧中继、a t m 和m 协议等。高性能、高速度、高安全性、 支持多种承载技术是专用网的明显优势，但由于专用网的专用性和严格性，专 用网的费用也非常昂贵；而且一旦建成专用网，要在其上增加新的站点、合作 伙伴或获得广泛的国际连接都将需要巨大的工程量和投入；另外，也不容易升 级专用网。 随着分组技术的不断发展以及用户终端的日益智能化，出现了替代传统的 租用物理线路的帧中继技术。帧中继传输链路使用逻辑连接而不是物理连接， 可以在一个物理连接上支持多个逻辑连接，实现了对信道的动态复用，因此带 9 武汉理1 = 大学硕士学位论文 宽利用率高了很多；另外，帧中继技术通过支持虚呼叫建立虚电路连接传送服 务，逻辑连接可以按需建立。因此人们开始使用帧中继技术组建专用网络。从 帧中继网络的特性来说。可以认为它是最早的v p n 业务( 即基于帧中继的 v p n ) ，因为基于帧中继的网络已经不再是为物理资源的独占，而是开始变成“虚 拟”的专用网络了。 后来出现的a t m 技术，虽然摈弃了电路交换中采用的同步时分复用，改 用了异步时分复用，具有了高带宽，综合传送话音，数据和图像等业务的能力 的优势，但其逻辑连接的特性与帧中继没有什么不同，因此仍然是一种二层逻 辑链路层技术。随着a t m 技术的不断发展和成熟，组建专用网络时越来越多 的使用a t m 技术。基于a t m 帧中继的v p n 都能够降低租用线路的费用，同 时达到专用网络的要求，因此在全球目前得到了广泛使用。但基于a t m 帧中 继的v p n 仍然存在费用较高，维护和升级困难的问题。随着网络经济、电子 商务的迅猛发展，企业规模越来越大，所跨地域越来越广，合作伙伴越来越多， 传统企业网基于固定地点的专线或虚拟专线的连接方式，已难以适用现代企业 发展的需求。企业用户已经不仅仅满足于基本的网络互联能力，而是在网络的 灵活性、安全性、经济性和可扩展性等方面都提出了更高的要求。面对数据流 量的不断增大，用户需求的不断提高，运营商也不能停留在以往的d d n 专线 和删帧中继业务上，必须能够更为有效地利用自己网络资源，更为迅速地 响应客户需求。 现在因特网已经发展成为公司和个人的重要通信手段，企业所面临的挑战 是既要充分利用这种发展，又要确保通信受到保护，同时还要使用企业所需要 的高级管理服务。越来越多的分支机构、越来越多的移动办公人员，也使企业 对网络的需求越来越高，促使企业重新考虑其广域网战略。为了满足用户的需 求，随着m 技术的不断发展和成熟，于是就诞生了i pv p n 业务。i fv p n 以 其独具特色的优势，赢得了越来越多的企业运营商的青睐，令企业可以较少地 关注网络的运行与维护，但却能够高效的使用网络，更致力于企业核心商业目 标的实现；同时令运营商可以更好地利用网络资源，获得增值收益。利用多种 网络技术，如后面将要介绍的i p s e c 、l 2 t p 等，可以使v p n 跨越口网、a t m 网和帧中继网等多种网络存在，以口无以伦比的灵活性大大增强v t n 业务的 扩展能力。在保证基本网络连接的同时，端到端的o o s 保证能力使语音、数 据、视频等业务都完全可以承载于v p n 网络，可以更为有效地利用网络资源， 武汉理工大学硕士学位论文 提供视频会议、远程教学等各种多媒体应用。 2 3 2 v p n 概念 简单地讲：v p n 就是利用开放的公共网络建立专用数据传输通道，将远程 的分支办公室、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端 的数据通信的一种广域网技术。v p n 本质上是一种网络互联型业务，通过共享 的网络基础架构满足企业互联需求，在共享使用网络资源的同时具有与专网一 样保证用户网络的安全性、可靠性、可管理性。v p n 业务并不限制网络的使用， 它既可以构建于因特网或互联网运营商( i s p ) 的球网络之上，也可以构建在 帧中继( f r ) 或异步传输模式( a t m ) 等网络基础架构之上。( 本课题只是针 对口v p n ) 。v p n 有两种含义：第一，它是虚拟的网，既没有固定的物理连接j 网络只有用户需要时才建立；第二，它是利用公用网络设施构成的专用网。作味 为一种服务，v p n 使得用户感觉好像直接和他们的个人网络相联，实际上这种 连接是通过服务商来实现的。 v p n 网络可以满足不同的应用及业务需求，如图所示： 图2 1v p n 网络应用示意图 企业使用v p n 服务器保护敏感的服务器系统，任何经过企业授权的用户， 包括远程办公网络用户、移动用户、客户、合作伙伴，均可利用v p n 技术提 供的方便性和安全性通过i n t e m e t 访问企业内部服务器，形成一个构筑在 1 1 武汉理工大学硕士学位论文 i n t e m e t 上的企业虚拟网络。采用v p n 网络结构，可有效降低企业投资在网络 建设、网络管理以及网络运行方面的成本，同时为企业构建新型的电子商务模 式提供必要的安全网络平台。 2 3 3 v p n 优势 1 节约企业成本 许多调查指出，对于正在使用专线或远程拨号方式组建企业i n t r a n e t 的 企业，如果使用v p n 产品代替传统的组网方式，可以节约大量的运营成 本，甚至达到6 0 - - 8 0 。这些节约成本包括： 租用专线所涉及的设备和通讯成本 远程拨号所涉及的设备和通讯成本 对上述设备的管理和维护成本表 2 实现企业可伸展性 现代企业的组织结构和商务活动通常是非常灵活的，需要不断适应新的 市场环境和商业机会。使用v p n 可以保持企业工作人员在任何情况下都 能够快速地和安全地完成信息的内部交换，并适应企业网络规模的迅速发 展 v p n 是建立在i n t e r a c t 基础上的，企业的商务人员在任何地方都可 以使用v p n 与企业保持信息的实时交换 通过对用户使用v p n 的权限授权，企业可以随时建立一些虚拟的 工作团队，并在任务完成后将其解散 企业只需要在必要时扩大其i n t e r n e t 的使用带宽，即可以满足不断 发展的网络规模 v p n 用户的增加和删除只是逻辑上的操作，无须专门的物理设备 和连接 3 保证企业电子商务平台安全可靠 企业电子商务平台能够将企业的生产、管理、营销以及客户服务等活动 有效地结合起来，在建立电子商务平台的同时必须保证机密信息的安全性 和使用人员的可控性，采用v p n 可以保证企业电子商务平台的安全可靠。 保证了企业内部机密数据的安全性 武汉理工大学硕士学位论文 保证了对不同用户使用电子商务平台的权限的可控性 保证用户通过电子商务平台进行信息交换的安全和可靠 4 有效防止内部泄密 使用v p n 之后，企业内部重要的数据可以在不被侵扰的情况下经过加 密后进行线路传输并被安全存储。同时企业可以有效地对内部资源的使用 者进行权限管理，并记录所有的重要的通讯过程。 2 3 4 v p n 类型 从i pv p n 的服务方式看，大致有三种不同的应用类型，分别是：远程访 问虚拟专网a c c e s sv p n ：即利用公共网络的拨号及接入网( 比如p s t n 和 i s d n ) ，实现虚拟专用网，为企业、小型i s p 、移动办公人员提供接入服务。( 可 以是拨号接入也可以是专线接入) ；企业内部虚拟专网i n t r a n e t v p n ：即将企业一 总部企业网与分支机构的企业网连接起来；外联虚拟专网e x t r a n e t v p n ：b p 将企 业网与企业的合作伙伴，如供应商和客户连接起来。根据v p n 网络技术实现 的方式和拓扑结构，后两种可归为网络v p n 结构和远程访问v p n 结构。一邶 1 网络v p n 结构 图2 2 网络v p n 结构示意图 如上图2 2 所示，网络a 与网络b 使用内部网络地址，v p n 服务器需要 有固定的i n t e m e t 公共m 地址，两个网络问通过v p n 服务器在i n t e r n e t 上建立 v p n 连接。各局域网中的终端无需安装任何软件，网络a 中的终端在访问网 络b 中的应用服务器时，就象在访问其所在局域网内部的服务器一样，反之 亦然。 2 远程访问v p n 武汉理工大学硕七学位论文 图2 3 远程访问v p n 示意图 如上图2 3 所示，局域网使用内部网络地址，v p n 服务器需要有固定的 i n t e r n e t 公共口地址，远程终端和移动用户可以使用固定的公共地址或动态分 配地址与i n t e m e t 建立连接。移动用户和远程终端可以使用v p n 客户端软件 与v p n 服务器建立加密的连通隧道，并访问局域网内受到v p n 服务器保护 的应用服务器。 i e t f 建议的v p n 包括三类：拨号v p n 、虚拟专线v l l 、路由v p n 。 ( 1 ) 拨号v i n ( v i r t u a lp r i v a t ed i a ln e t w o r k s ，v p d n ) 指利用公共网络的 拨号及接入网( 比如p s t n 、i s d n ) ，实现虚拟专用网，为企业、小型i s p 、移 动办公人员提供接入服务，适用于地点分散、人员分散、对线路的保密和可用 性有一定要求的用户。v p d n 拨号接入的v p n 业务，主要是实现客户服务器 方式的应用l 2 t p 。 ( 2 ) 虚拟专线v l l ( v m u a ll e a s el i n e ，v 1 上) 是一种最简单的i pv p n 技 术，它为用户提供数据链路层的点到点链路。比较常见的是利用a t m 、f r 和 m p l s 链路封装来提供v l l 。在链路层上同时存在两个链路，比如：a t m 和 球隧道，数据在这两种链路上按照接力的方式进行传输。对于现有的a t m 和 f r 专线业务的模拟，只能够实现点到点的v p n 隧道，不具有v p n 成员动 态加入功能以及v p n 成员之间的路由网络i p s e c 、g r e 等。 ( 3 ) 路由v p n ( v i r t u a lp r i v a t er o u t e dn e t w o r k s ，v p r n ) 是对多点专用广 域路由网络的模拟，v p r n 将利用公共口网络，在多个v p n 成员间建立起一 个虚拟的隧道网络。这种方式与v p d n 和工都有所不同，通过使用v p r n , 可以在多个v p n 成员之间建立一个完善的虚拟网络。v p r n 专线接入的v p n 业务可以实现网络的v p n 网络和v p n 成员的动态加入i p s e c 、g r e 、m p l s 1 4 武汉理工大学硕士学位论文 等。 2 3 5 v p n 技术 v p n 的技术核心主要在于隧道技术和安全技术。 1 安全技术 基于i n t e m e t 的v i n 首先要考虑的就是安全问题。能否保证v p n 的安全 性，是v p n 网络能否实现的关键。一般系统可以采用下列技术保证v p n 的安 全：口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采 用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。 2 隧道技术 典型通道建立技术主要是专线连接技术和拨号连接技术。为了减少这种技 术带来的成本开销和管理开销，目前的v p n 的建立过程中通常采用的方式就 是“安全隧道”方式。安全隧道是指通过公共网络将企业内部各分支机构、移动 雇员以及其他企业连接起来所建立的加密隧道，即隧道技术。 隧道技术就是通过将待传输的原始数据经过加密和协议封装处理后再嵌套一 装入另一种协议的数据包中，像普通数据包一样发送到网络中进行传输，实现 跨越公共网络传送私有数据包的目