（计算机应用技术专业论文）基于p2p搜索模式的vpn组网技术研究与应用.pdf

笪星三堡盔堂堡主堂堡堡苎摘要v p n 具有组网和安全两大功能“。v p n 组网是基于隧道技术为用户构建安全、独占的虚拟专用网络的过程。随着网络环境日益复杂，对v p n 组网提出了许多新要求，现有v p n组网技术已经无法满足这些新需求。如何在各种复杂网络应用环境中进行v p n 组网已成为人们必须研究的一个重要课题。本文针对现有v p n 组网所面临的问题，探讨了p 2 p 搜索机制与v p n 组网技术相结合的v p n 组网模式。本文的主要工作如下：1 通过对v p n 组网技术的深入分析和研究，对v p n 组网协议和y p n 组网模式进行了系统的分类和比较，指出了现有v p n 组网所面临的问题。2 在对p 2 p 搜索机制进行深入研究的基础上，将p 2 p 搜索机制与传统的v p n 组网技术相结合，提出了一种基于p 2 p 搜索机制的v p n 组网模式一p 2 p v p n 组网模式。该模式能够与i p s e c 与s s l 协议无缝结合，适合大规模v p n 应用模式下v p n 的组网，一定程度上解决了目前v p n 组网中所面临的问题。3 提出分散与集中相结合的v p n 实体管理方案，对v p n 实体实施两级认证和基于状态的p 2 p v p n 管理。对地址固定、计算能力强的v p n 实体进行相对集中的认证与管理，对数量较多、地址不固定、计算能力较弱的v p n 实体进行分散的认证与管理。4 采用u d p 封装技术，结合p 2 p搜索机制，提出基于隧道转发的双边穿透方_vpnn a t案，解决了i p s e cv p n 中双边n a t 穿透难题。5 结合现有v p n 系统的安全实体，设计并实现了p 2 p _ v p n 的搜索机制，构建了移动网络环境下的p 2 pv p n 。关键词：v p n 组网，p 2 p 搜索机制，v p n 组网模式，v p n 认证，v p n 状态管理，v p n 移动客户端，搜索代理，双边n a t 穿透第l 页笪：垦三堡查芏堡主兰堡笙苎a b s t r a c tb u i l d i n gn e t w o r ka n dg u a r a n t e e i n gs e c u r i t ya r et w om a i nf u n c t i o n so f v p n v p nn e t w o r kb u i l d i n gi st h et u n n e l i n gt e c h n o l o g yb a s e dp r o c e s s so fb u i l d i n gt h ee x c l u s i v ea n ds e c u r ev i r t u a lp r i v a t en e t w o r k b u tt h ec u r r e n tv p nn e t w o r kb u i l d i n gt e c h n o l o g yc a n n o tm e e tt h en e wr e q u i r e m e n t sp r o p o s e db yt h en e t w o r ke n v i r o n m e n tw h i c hb e c o m e sm o r ea n dm o r ec o m p l e x s oh o wt ob u i l dv p nn e t w o r ki nt h ec o m p l e xn e t w o r ke n v i r o n m e n tb e c o m e st h ei m p o r t a n ti s s u ew h i c hp e o p l eh a v et os t u d y a i m e da tt h ec u r r e n tp r o b l e m se x i s t e di nb u i l d i n gv p nn e t w o r k ，t h i sp a p e rd i s c u s s e dt h ev p nn e t w o r kb u i l d i n gm o d eb a s e do nt h ec o m b i n a t i o no fp 2 ps e a r c hm e c h a n i s ma n dt r a d i t i o n a lv p nn e t w o r kb u i l d i n gt e c h n o l o g y t h em a i n w o r ko f t h i sp a p e ri sa sf o l l o w s ：1 c l a s s i f i e da n dc o m p a r e da m o n gt h ev p nn e t w o r kb u i l d i n gp r o t o c o l sa n dv p nn e t w o r kb u i l d i n gm o d e sb a s e do nt h ed e e pr e s e a r c h e so nt h ev p nn e t w o r kb u i l d i n gt e c h n o l o g y f u r t h e r m o r es u m m a r i z e da n dp o i n t e do u tt h eu b i q u i t o u sp r o b l e m se x i s t e di nt h ev p nn e t w o r kb u i l d i n g 2 o nt h eb a s i so fs t u d yo ft h ep 2 ps e a r c hm e c h a n i s m ，p u tf o r w a r dan e wp 2 ps e a r c hm e c h a n i s mb a s e dv p nn e t w o r kb u i l d i n gm o d e p 2 p v p nn e t w o r kb u i l d i n gm o d e ，w h i c hi sb a s e do nt h ec o m b i n a t i o no ft h ep 2 pm e c h a n i s ma n dt r a d i t i o n a lv p nn e t w o r kb u i l d i n gt e c h n o l o g y i tc a nb eu s e dw i t ht h ei p s e ca n ds s lp r o t o c o ls e a m l e s s l n a n da d a p tt ot h el a r g e - s c a l ev p na p p l i c a t i o na n dh a sr e s o l v e dt h ep r o b l e m se x i s t e di nt h ev p nn e t w o r kb u i l d i n gi ns o m ee x t e n t 3 p u tf o r w a r dav p ne n t r ym a n a g e m e n ts c h e m ew h i c hc o m b i n e dt h et w ol a y e r e da u t h e n t i c a t i o nm e c h a n i s ma n dt h es t a t eb a s e dv p ne n t r ym a n a g e m e n t a i m e da tt w ok i n d so fv p ne n t i t i e st o o kc e n t r a l i z e da n dd i s t r i b u t e da u t h e n t i c a t i o nm e c h a n i c s m s t h ef o r m e ri su s e df o rt h ev p ne n t i t i e sw h i c ha r ea d d e r s sf i x e da n dh a sp o w e r f u lc o m p u t a t i o nc a p a c i t y a n dt h el a t t e ri su s e df o rt h el a r g en u m b e ro n e sw h i c ha r ea d d e r s su n f i x e da n dh a v et h el o w e rc o m p u t a t i o nc a p a b i l i t y 4 t o o kt h eu d pe n c a p s u l a t i o nt e c h n o l o g y ，c o m b i n e dw i t hp 2 p v p nm e c h a n i s m ，p u tf o r w a r dad o u b l e - n a t - t r a v e r s a lp r o j e c tb a s e do nt h et u n n e ls w i t c h i n g ，a n dr e s o l v e dt h ep r o b l e m sw h i c ht a k e sn a tp r o t o c o lo nb o t hs i d e so ft h ei p s e ct u n n e l 5 o nt h eb a s i so f t h ec u r r e n tv p ne n t r i e s ，d e s i g n e da n di m p l e m e n t e dt h ep 2 p v p ns e a r c hm e c h a n i s m ，m a dc o n s t r u c tt h ep 2 p v p ns y s t e mo v e rt h em o b i l en e t w o r k k e y w o r d s ：v p nn e t w o t kb u i l d i n g ，p 2 ps e a r c hm e c h a n i s m ，v p nn e t w o r kb u i l d i n gm o d e ，v p na u t h e n t i c f i e a t i o n ，s t a t eb a s e dv p nm a n a g e m e n t ，m o b i l ev p nc l i e n t ，s e a r c ha g e n t ，d o u b l e - n a t - t r a v e r s a l第2 页论文原创性声明和使用授权本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了本文中特别加以标注和致谢中所罗列的内容外，论文中不包含其它人已经发表或撰写过的研究成果；也不包含为获得信息工程大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。本人完全了解信息工程大学电子技术学院有关保留和使用学位论文的规定，即：学院有权保留论文的复印件，允许查阅和借阅论文；可以公布论文的全部或部分内容；可以采用影印、缩印或其它手段保存论文。涉密论文按保密规定执行。本论文取得的研究成果归学院所有，学院对该研究成果享有处置权。本人签名：李学，日期：哞硐嘲导师签名：榭瞩目期：驴6 务印同硝日信息工程大学硕士学位论文第一章绪言1 1 课题背景v p n “。1 通过在公共网络环境下构建虚拟专用网络来解决目前的网络安全问题，是目前应用广泛的网络安全解决方案。v p n 网络是在公用网络环境上“虚拟”、“仿真”出来，具有安全、独占和自治等特性的虚拟网络。它具有两大功能u “：组网功能和安全功能。它通过隧道技术将各内部网络连接起来，提供安全的网络互联服务。v p n 组网不仅是物理上的互联，更是在其之上构建与专用网络相似的“专用、安全”的逻辑网络。v p n 组网技术正是基于隧道技术，实现了将公共i p 网络“化公为私”的组网过程，完成了v p n 网络的构建，是v p n 研究领域的热点。国内外对v p n 技术的研究方兴未艾，但对v p n 组网技术的研究工作未能与v p n 技术同步。目前国内外对v p n 组网技术的研究，还只局限于对i p s e cv p n 的组网模式的研究，大多只是对现有i p s e cv p n 平面网状结构组网模式的改进。国内相关研究提出有星型拓扑的组网模式“、层次交换式v p n 。1 组网模式等，但这些研究只是对原有静态组网方式的相关改进，未能从v p n 组网的整体角度，提升v p n 组网的适应性和灵活性。国外对于v p n组网的研究方面也比较多，c i s c o 公司已有支持h u ba n d s p o k e 技术的相关v p n 产品出现，但他们大多也只是针对现有某些特定组网模式的研究。随着v p n 应用的普及和网络技术的发展，传统v p n 组网技术已经无法适应这些新应用和新技术的需求。大规模v p n 网络布署情况下，网络拓扑结构日益复杂，大量的v p n 策略配置、隧道配置等v p n 管理问题日显突出；通信与网络技术日益融合，网络应用呈现多样化发展趋势，新应用、新需求不断涌现，对传统v p n 组网技术提出了更高的要求。通信和网络技术的发展，促进了v p n 技术的应用与发展，但现有v p n 技术与组网方式又不能适应新型网络应用的需求，v p n 急需在组网技术、终端接入方式、网络适应性方面有所突破，以适应新型网络的发展和v p n 广泛应用的需求。p 2 p 网络是目前网络应用的又一个新热点，它在物理网络上应用逻辑网络技术，具有自组织、动态变化等组网特性。p 2 p 搜索机制用于p 2 p 网络中的节点定位和资源定位，实现了p 2 p 网络的自动组网功能。在v p n 组网中引入p 2 p 搜索机制，同样可以实现在多接入方式、多网络环境下v p n 信息的动态收集和搜索，能够屏蔽底层接入方式和网络配置的差异，为v p h 组网提供必要的信息，完成v p n 组网功能。本课题正是在该背景下提出基于p 2 p 搜索机制的v p n 组网技术的研究。在研究分析现有v p n 组网技术的基础上，本课题针对v p n 组网面临的问题，将p 2 p 搜索机制与v p n 组网技术相结合，提出新的基于p 2 p 搜索机制的v p n 组网模式( 简称为p 2 p v p n 组网模式) 。在p 2 t v p n 组网模式下，研究了v p n 实体的身份认证和p 2 p v p n 的状态管理，提出对两类v p n第1 页信息工程大学硕士学位论文实体实施两级认证和基于状态的v p n 实体管理。最后，在移动网络环境下，针对两种移动手持终端，对基于p 2 pv p n 搜索机制的v p n 进行了设计与实现。1 2 研究内容本课题的研究目标是通过分析现有v p n 组网技术，总结现有v p n 组网技术存在的问题，探讨p 2 p 搜索机制与v p n 组网技术的结合，研究能够适应多种网络应用环境、大规模v p n应用的v p n 组网技术。本文的主要研究内容包括：1 对现有的各种v p n 组网技术进行分析和比较，指出其优缺点，提出要解决的问题。在对现有v p n 组网技术中使用的组网协议和组网模式进行分类和比较的基础上，找出目前v p n 组网中所面i 临的普遍问题，初步研究解决对策。2 探讨p 2 p 搜索机制与v p n 组网技术的结合，提出基于p 2 p 搜索机制的v p n 组网模式一p 2 pv p n 组网模式。p 2 p 搜索机制能够适应复杂的p 2 p 网络应用环境，提供节点定位和资源定位服务，实现自动组网功能。本文在深入研究p 2 p 搜索机制的基础上，针对目前v p n 组网面临的问题，在传统v p n 组网模式中引入p 2 p 搜索机制，使得v p n 组网中v p n 节点定位、资源管理和策略服务更为灵活。并分析和规定p 2 p v p n 组网模式的架构，设计各部件的组网工作原理。3 研究p 2 p v p n 的认证与状态管理，提出对两类v p n 实体实施两级认证和基于状态的p 2 p _ v p n 管理。针对现有大规模网络和复杂网络v p n 应用的特点，研究p 2 p _ v p n 的认证与状态管理。结合p 2 pv p n 结构特点构建层次式管理框架，针对p 2 pv p n 中两类v p n 实体实施两级认证和基于状态的站点管理。对地址固定、计算能力强的v p n 实体进行实施集中的认证与管理，对数量较多、地址不固定、计算能力较弱的v p n 实体进行相对分散的认证与管理，通过对v p n 实体的会话状态、通信状态、在线状态的管理，有效控制大规模v p n 应用中各v p n 实体的协调运行。4 探讨p 2 p v p n 的应用，结合现有v p n 系统的安全实体，基于p 2 p _ v p n 搜索机制设计并实现移动网络环境下的p 2 pv p n 。讨论p 2 p v p n 搜索机制在移动网络环境下的实现，包括两种手持终端( 恒一手机和m o t o r o l a 手机) 和v p n 网关三种v p n 实体；考虑到目前v p n 系统基于i p s e c 、s s l 协议进行安全传输，必须将搜索机制与i p s e c 、s s l 协议无缝结合，因此提出i p s e c 、s s l 和p 2 p _ v p n搜索机制的一体化设计思想，并在v p n 系统中实现；研究i p s e c 的n a t 穿透技术，讨论p 2 p _ v p n 中i p s e c 与n a t 的协同问题，提出基于隧道转发将双边n a t 穿透转换为单边n a t穿透的思想，设计并实现基于p 2 p _ v p n 搜索机制的双边n a t 穿透方案。第2 页信息工程大学硕士学位论文1 3 本文的结构安排论文共分六章，各章的主要内容安排如下：第一章，绪论部分，简要介绍了课题背景、研究内容和结构安排。第二章，主要研究了现有的v p n 的组网协议和组网模式，对现有的协议和组网方式进行归纳比较，并指出现有v p n 组网面临的主要问题。第三章，介绍了p 2 p 搜索的概念、要求及其分类，并将p 2 p 搜索与v p n 组网相结合，提出了p 2 p v p n 组网模式，详细介绍了p 2 pv p n 的组网工作原理，探讨了p 2 p v p n 组网模式的应用。第四章，讨论了p 2 p _ v p n 的认证与状态管理，基于层次式p 2 p _ v p n 管理框架，讨论了两类站点的认证与状态管理。第五章，结合公安部的“金盾工程”一公安公网( g p r s c d m a ) 移动数据接入系统，设计实现了移动网络环境下p 2 p _ v p n ，主要讨论了p 2 pv p n 搜索机制的设计与实现，并针对p 2 p系统实现中遇到的双边问题，讨论了基于隧道转发的双边穿透方案。_vpnn a tn a t第六章，总结了本课题的工作和主要成果，指出了有待进一步研究的问题。第3 页笪：垦三堡查兰婴主堂焦丝苎第二章v p n 组网技术综述2 1 概述v p n 技术为网络安全提供综合的技术保障，它是一种综合网络安全技术，不仅可以保护网络的边界安全，同时也是一种网络互联的方式。在v p n 网络中，i p 隧道代替了传统w a n 互联的“专线”，是组建“虚拟网络”的基础。v p n 组网技术正是基于隧道技术实现了整个v p n 网络的逻辑互联。隧道技术是v p n 的关键技术。v p n 组网过程也是安全隧道的构建过程，它遵循着一定的协议，因此v p n 组网协议( 隧道协议) 是v p n 组网的基础。v p n 组网是v p n 组网协议在具体网络环境下的实施，v p n 组网模式是v p n 组网中的重要组成部分，包括v p n 网络中安全设备与隧道的组织模式，因此v p n 组网模式决定了v p n 的应用范围，同时也决定了v p n是否可扩展等特性。可见，v p n 组网协议和组网模式是v p n 组网技术的两个关键问题。现有v p n 组网技术还不成熟，传统的v p n 组网采用手工配置的静态组网方式，组网过程不够灵活，难以适应大规模v p n 应用的需求。目前关于v p n 组网技术的研究也仅仅局限于v p n 组网模式的改进，对v p n 组网模式的研究不够深入，未能与v p n 组网协议相结合，从而也决定了现有v p n 组网技术不够灵活，不能从根本上解决目前v p n 组网所面临的问题。本章主要对v p n 组网技术进行综述，系统地对v p n 组网协议和组网模式进行分类，并进行比较分析，总结存在的问题，探讨研究对策。2 2 现有v p n 组网协议及其比较现有的v p n 组网协议按隧道所工作的层次可分为三大类：二层隧道协议、三层隧道协议以及传输层以上隧道协议。其中，二层协议主要有p p t p 、l 2 t p 和m p l s 三种；三层协议有i p s e c 、g r e 和i pi ni p 等；传输层及其以上层隧道协议主要有s s l 协议和s o c k s 等。其中i p s e c 和s s l 协议是目前应用相对广泛的协议。下面分别对这几类协议从组网功能、安全功能两方面进行讨论。2 2 1p p t p 和l 2 t p 协议p p t p ”2 1 ( p o i n t t o p o i n tt u n n e l i n gp r o t o c 0 1 ) 协议的作用是将本地的p p p 会话延伸到远程访问服务器。与p p p 协议不同的是，p p t p 将原来n a s 的功能分解为p p t p 访问控制器p a c ( p p t pa c c e s sc o n c e n t r a t o r ) 和p p t p 网络服务器p n s ( p p t pn e t w o r ks e r v e r ) 。p p t pv p n 采用客户服务器访问模式，适合p ct ol a n 组网模式，如图2 1 所示。p p t p第4 页信息工程大学硕士学位论文客户首先采用拨号方式接入p a c ，建立p p p 连接，然后进行二次拨号建立p a c 与p n s 间的连接，该连接为p p t p 隧道连接。p p t p 只支持i p 作为传输协议，协议本身不提供安全机制，身份认证和虚拟地址的分配均由p p p 协议完成，通信时p p p 数据包首先由p p p 协议本身加密，再由g r e 协议封装，传输到p n s 处进行解封。l 2 t p ”协议与p p t p 相似，采用客户朋艮务器访问模式，适合p ct ol a n 组网模式，如图2 1 所示。l 2 t pv p n 由l 2 t p 访问集中器( l 2 t pa c c e s sc o n c e n t r a t o r ，l a c ) 和l 2 t p 阿络服务器( l 2 t pn e t w o r ks e r v e r ，l n s ) 组成。拨号客户端首先与本地拨号网络的l a c 建立p p p 连接，由l a c 将客户端的p p p 数据帧进行l 2 t p 封装传送到l n s 。与p p t p 相比，l 2 t p 能够支持多协议，可以在i p 、i p x 、a p p l e t a l k 等网络上传输，并支持任意的广域网技术如帧中继、a t m 以及以太网技术等。安全性方面与p p t p 相同，l 2 t p 协议本身不提供安全性机制，它的安全保护由p p p 协议提供。移动主机2k 一p p p 会话2 卜p n s l n s罔络服务器图2 1 传统p p t p l 2 t pv p n 组网从组网功能上，这两个协议具有以下优点：1 系统扩展的灵活性好。当有新客户端加入时只用建立与网络服务器的隧道，系统扩展时只需要修改新设备与网络服务器的设置，对其它客户端没有影响。2 适合于拨号网络。这两种协议都采用非对称的客户服务器访问模式，支持p ct ol a n 的组网模式，适合拨号网络环境的v p n 应用。3 具有良好的动态特性。该协议适用于拨号网络环境，支持以动态地址接入，支持设备动态登录和退出v p n 网络。但是，这两个协议在组网方面还存在如下不足：1 大规模应用时可扩展性不足。p p t p 和l 2 t p 提供的虚拟p p p 连接会贯穿整个隧道，并终止于p n s l n s 或内网r a s 服务器上，所以需要维护大量的p p p 会话连接，加重了系统的负荷，在一定程度上影响了系统在大规模应用时的可扩展性。2 有限的v p n 类型支持。这两个协议不支持l a nt ol a n 路由v p n 类型，对于目前的大量的l a nt ol a n 组网环境具有局限性。3 ，安全性不足。这两个协议本身不具有安全机制，仅依靠p p p 协议来提供机密性、完整性以及身份认证服务，而一般p p p 的实施没有采用加密措施，因此采用这两个协议构建第5 页信息工程大学硕士学位论文的v p n 可以说没有安全性保证。目前，l 2 t p 可以通过与i p s e c 相结合来解决安全性问题。总之，p p t p 和l 2 t p 只是解决了有限的v p n 组网问题，并末考虑v p n 的安全问题。2 2 2m p l s 协议m p l s 技术是将第二层交换和第三层路由相结合的集成数据传输技术。在体系结构上可以分为两个独立的部件：控制层面和转发层面。控制层面用于在标签交换路由器( l s r )间创建、分发和维护标签转发信息，建立标签转发路径( l s p ) ；转发层面根据维护的标签转发数据库和分组携带的标签，执行数据的转发。使用m p l s 构建v p n 可以实现多l a n 之间的互联，如图2 2 所示。b g p m p l sv p n 组件包括客户边缘路由器c p e 、服务提供商边缘路由器p e 和骨干路由器p 等。内屠隧道图2 - 2m p l sv p n 组网方式m p l sv p n 的数据传输使用两层标签：内层标签和外层标签。内层标签用于标识v p n ，外层的标签用于分组在骨干网络中快速转发。入口p e 负责向报文添加两层标签，外层标签用于在骨干网中进行交换，代表了从p e 到对端p e 的一条隧道，v p n 可以根据这层标签沿着l s p 到达对端p e 。内层标签代表了两个c e 之间的隧道，对端p e 根据内层标签将报文传至对应的c e 站点。这样v p n 可以共享外层的m p l s 隧道，进行分组的传输。m p l sv p n 具有以下优点：1 ，系统可扩展性好。当有新客户v p n 加入时只用修改相应p e 的设置，对其它客户v p n和p e 设备均没有影响，系统扩展比较方便，即使对于大规模的网络应用初始配置量也比较小。2 适合于路由v p n 类型。该v p n 基于服务提供商，适合于组建大规模的v p n 网络，支持l a nt ol a n 的路由v p n 类型。第6 页信息工程大学硕士学位论文但是，m p l s 协议在组网方面还存在如下不足：1 有限的v p n 类型支持。它依赖于服务商提供m p l s 服务，要求骨干网络支持m p l s协议，对于不支持m p l s 协议的网络不适用，不支持拨号v p n 类型。2 不具备动念特性。m p l sv p n 组网要求手工配置，不支持动态地址接入，不支持v p n设备的动态的加入和退出等动态特性。3 安全性不足。m p l s 协议主要依靠p e 上的虚拟路由转发表( v r f ) 进行v p n 用户信息的分离，不提供安全机制。目前围绕m p l sv p n 的安全性出了多种安全解决方案。它们大多与i p s e c 结合，借助i p s e c 协议解决m p l s 的机密性、完整性和身份认证等问题。”1 。总之，m p l sv p n 只注重组网功能，并不具有v p n 的安全功能。2 2 3i p s e c 协议应用于i p 层的v p n 组网协议主要有：g r e 、i pi ni p 和i p s e c 协议。g r e o ，即通用路由协议，它能够利用任意一种网络协议封装传输任何一种网络协议，它的应用范围比较广泛，包括移动i p 、p p t p 等；i pi ni p “”协议是i e t f 移动i p 工作组提出的用i p 分组封装i p 分组的协议，用以解决移动i p 环境下，移动主机与本地代理之间的通信；i p s e c 协议称为i p 安全协议，是目前被认为最为安全、最为全面的安全协议簇，因此本文主要针对i p s e c 协议进行讨论。i p s e c 协议簇主要有三个协议组成，a h “”( a u t h e n i c a t i o nh e a d e r 认证头协议) 、e s p 1 ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d 安全封装协议) 和i k e ”( i n t e r n e tk e ye x c h a n g e因特网密钥交换协议) 协议。其中，a h 协议提供数据源认证、数据完整性和防重放的安全保护，e s p 协议提供数据源认证、抗重放、数据完整性和机密性服务，i k e 协议提供了动态交换i p s e c 密钥材料和协商i p s e c 参数的协议框架。i p s e c 有两种应用模式：传输模式和隧道模式。i p s e cv p n 组网要求事先在通信的两端建立安全策略和安全关联。i p s e c 策略的建立，目前大多采用手工建立方式；安全关联可以手工建立或由i k e 动态协商建立。其中，i k e协议在安全策略允许的条件下，动态建立i p s e c 隧道，完成了i p s e cv p n 的组网。但i k e协商过于复杂。i k e 协商分两个阶段，共定义了5 种密钥交换模式，i k e 还需要维护复杂的状态机制，整个协议的实现比较困难。i p s e cv p n 一般采用i p s e c 的e s p 隧道模式”“，其典型的组网方式如图2 5 所示。第7 页堕星二墨查堂堡主兰竺笙苎v p n 客户端l 蘑弘= = 二= 【_ = = 习v p n 客户端2l rl h安全雕道数姑通路图2 - 5 传统i p s e cv p n 组网方式i p s e cv p n 组网具有以下优点：1 支持v p n 类型广泛。i p s e c 协议支持多种v p n 类型，可以应用于p ct op c 、p ct ol a n和l a nt ol a n 等v p n 的构建。2 安全性好。i p s e c 具有比较完善的安全机制，能够提供数据机密性、完整性、数据源认证和抗重放等安全服务，为上层应用提供透明的安全保护。i p s e c 协议在组网方面还存在如下不足：m1 系统扩展的灵活性不够。系统中增加新设备或新用户时，所有与它具有隧道联接的v p n 实体均要修改相应的安全策略，并协商安全关联，系统扩展不够方便；另外策略和安全关联数量随v p n 实体的数量呈指数增加，对于大型v p n 网络来说，v p n 的配置与管理将会非常困难。2 。网络适应性的不足。i p s e c 协议因工作在i p 层，隐藏了传输层的瑞口，不能适应有n a t 设备的网络环境( 如p a t ) 。目前已经出台了一些i p s e c 的n a t 穿透方案，但对于双边n a t 情况仍然存在问题，本文将在第5 6 节进行讨论。3 接入方式的动态性支持不足。i k e 协商和数据安全传输时，均基于i p 地址进行简单的数据源身份验证，地址经常变化将导致验证失败，因此，i p s e c 协议一般要求隧道两端是固定的全局i p 地址，i p s e cv p n 虽然支持远程接入，但对拨号接入、c d m a 、g p r s 接入等动态地址的远程移动接八方式支持不够。4 普适性( 指对各操作系统平台的适应程度) 支持不够。i p s e c 的实现要求操作系统开放底层接口，对于普通p c ( w i n d o w s 系列或u n i x 系列等) 是适用的，而对于一些底层接口没有开放的操作系统( 很多国外厂商的手持终端均不开放其操作系统底层接口) 不适用。2 2 4s s l 协议传输层及其以上层的v p n 组网协议中，除s s l 协议外，还存在一些应用层的隧道协议，如s o c k s 协议。基于应用层协议也可以实现相应的隧道封装“，一些基于t c p 或u d p 协议封装的实现方案“，也可以归结为应用层隧道协议。s s l 协议是目前应用比较广泛的v p n组网协议，该协议位于传输层与应用层之间，一般用以保护特定应用协议的安全。本节主第8 页信息工程大学硕士学位论文要讨论s s l 协议的v p n 组网。s s l ( s e c u r es o c k e tl a y e r ) 主要由三个协议组成，握手协议、记录协议和警告协议。握手协议类似于i p s e c 协议族中的i k e 协议，用于建立s s l 安全隧道；记录协议对保护的数据提供分割、压缩、验证和加密操作；警告协议用于发生传输错误或会话终止时，相互交换警告信息。s s l 用于保护特定应用层协议的安全，可以提供细粒度的访问控制，大多采用客户服务器访问模式。传统的s s l 组网方式如图2 6 所示。s s l 客户端s s l 服务器应用1 l 应用21 二二| i5 鬻一一图2 6 传统s s lv p n 组网方式传统s s lv p n 中，v p n 服务器与应用服务器是一体的，s s l 协议不需要在中间节点上实现。s s l 特点是位于传输层与应用层之间，只能保护特定应用程序的安全。如图2 5 所示，客户端存在两个应用程序，应用l 和应用2 ，但只有应用2 在s s l 的保护下与s s l 服务器交互，应用1 则不在s s l 的保护之下。目前的s s l 大多用于保护w e b 应用的安全传输，这种基于浏览器的访问方式，具有很好的易用性，但这也有其局限性，s s l 很难为所有的应用程序提供安全保护。为了解决这种问题，目前s s l 在组网方面上出现了改进的组网方案。图2 7 改进后的s s lv p n 组网方式改进后的组网方式，如图2 7 示。客户端通过协议转发( 端口转发) “6 “1 ”等技术，实现对多个应用程序的安全保护。该方式在s s lv p n 网关与s s l 客户端间建立s s l 隧道，s s l网关解析s s l 客户端发送过来的w e b 请求，并进行协议转换，转发给内网相应的服务器。总的说来，改进方式需要考虑的是如何解决客户端和服务器间的1 ：m 的问题。s s lv p n 组网具有以下优点：1 系统扩展的灵活性好。s s lv p n 中有新设备加入时只需要修改网关的配置，对其它的客户端没有影响，系统扩展灵活简便。2 支持拨号v p n 类型。s s l 采用客户服务器访问模式，支持p ct op c 的组网模式，适于远程访问v p n 。3 网络适应较好。s s l 协议工作在传输层之上，即使在n a t 和防火墙设备的网络环境第9 页信息工程大学硕十学位论文下也能正常工作。4 支持接入方式的动态特性。s s lv p n 支持以动态地址接入，支持设备的动态加入和退出v p n 网络，具有良好的动态特性。5 普遍适用于广泛的操作系统平台。s s l 在应用层实现，不需要开放底层操作系统的接口，几乎可以在所有操作系统上实现，包括一些手持终端的操作系统。6 提供一定程度的安全性保证。s s l 协议能够提供基于证书的强身份认证，提供数据机密性、完整性和简单的数据源认证，并可以提供细粒度的访问控制，但因工作在应用层，安全性弱于i p s e c 协议。利用s s l 协议进行v p n 组网还存在如下不足：1 大规模应用中系统扩展性方面的不足。s s lv p n 采用客户n 务器的访问模式，网关必须维护与所有客户端的安全隧道，对网关的负载能力要求较高，网关容易成为系统瓶颈，一定程度上影响了系统的扩展性。2 有限的v p n 类型支持。传统s s lv p n 不支持l a nt ol a n 的组网模式，对p ct ol a n的组网模式的支持也不够好，限制了s s lv p n 在一些网络环境下的应用。3 多应用协议支持不够好。s s lv p n 目前大多用以保护特定应用协议的安全，对多应用协议的保护需要针对特定应用协议进行定制开发，或进行相应的s s l 协议改进。2 2 5v p n 组网协议比较表2 1 给出了这些常用v p n 协议在组网功能和安全功能方面的比较。表2 1 常用v p n 组网协议比较组网功能安全机制可扩v p n 类型网络适应性接入方式多操作系机身份7 巴展性支持动态性支统平台密整认证持( 普适性)性性支持p p t p l 2 1 p较好仅支持拨支持动态较不较弱号v p n地址接入弱支持m p l s灵活仅支持路不不不支由v p n支支持持持i p s e c不好广泛支持不能适应n a t 、防火境不支持动有限支持支支支持多类型墙应用环境态地址持持v p ns s l灵活仅支持拨能适应各种网络应用支持动态广泛支持支支支持号v p n环境地址持持显然，安全性方面，i p s e c 和s s l 比其它协议更为完善。其它v p n 协议安全性不够，都要求与其它协议结合来提供安全保护，而安全性是v p n 的重要特性，因此本文对这些协议不作过多讨论，主要讨论i p s e c 和s s l 协议。i p s e c 和s s l 协议两者相比，i p s e c 安全第1 0 页信息工程大学硕士学位论文性更好，它工作在i p 层，能够支持i p 级所有流量的加密和认证，s s l 只支持特定应用的安全保护，而且只对应用数据加密，加密性能不及i p s e c 协议，不过s s l 能够提供更细粒度的访问控制。组网方面，i p s e c 不及s s l 协议组网灵活，特别是在可扩展性、网络适应性和接入方式动态性支持方面不及s s l 。但两者在组网功能存在互补性，i p s e c 协议支持多v p n 类型，适合l a nt ol a n 和p ct ol a n 等的组网，而s s l 适合p ct ol a n 的远程v p n 访问。因此，可以使用i p s e c 作为l a nt ol a n 组网的安全保护的方案，再辅助以s s l 作为远程访问的方案，可以使得组网方式灵活可控。从以上分析可以看出，现有的v p n 组网协议中，s s l 和i p s e c 协议应用相对广泛，提供了较为完善的安全功能，组网功能上通过两者的结合，可以实现相对灵活的v p n 组网。2 3 现有v p n 组网模式及其比较v p n 组网模式是v p n 组网协议在不同网络环境下的组网应用，不同的v p n 协议组网模式不尽相同，同一种协议也具有多种组网模式，这也是目前v p n 组网应用呈现多样性的主要原因。目前主要有以下几种v p n 组网模式：p ct op c 、p ct ol a n 、l a nt ol a n 以及混合组网模式。2 3 i 现有v p n 组网模式概述p ct op c 组网模式也称为端一端组网模式。这种v p n 组网模式中的安全设备都是安全客户端，所有具有安全通信关系的安全客户端间均建立了安全隧道。各隧道构成了复杂平面网状结构。该模式网络适应性不好，整个v p n 网络形成了分散式的网状结构不利于v p n 的管理。p ct ol a n 组网模式也称为端一网关组网模式。v p n 网络由v p n 客户端和一个v p n 网关( 又称作v p n 服务器) 组成。整个v p n 网络构成了以v p n 网关为中心的星型拓扑结构。这种集中式的星形结构，便于v p n 管理，可以基于v p n 网关进行v p n 的集中策略控制和设备管理。但该组网模式仅支持客户端对子网的访问，网络适应性不够好。l a nt ol a n 组网模式也称为网关一网关组网模式。这种组网模式中v p n 的安全设备均为v p n 网关。所有具有通信关系的v p n 网关间建立有安全隧道，各隧道形成类似端一端组网模式的复杂的平面网状结构。该组网模式支持予网一子网的访问模式，但对于远程接入访问支持不够。此外，该组网模式形成的网状拓扑结构不利于v p n 管理。混合组网模式包含了上述的三种组网模式，v p n 网络中存在三类隧道：网关一网关隧道、网关一端隧道以及端一端隧道。该组网模式可以适用于各种v p n 协议的组网。根据形成的v p n 拓扑的不同，可以继续进行划分。在实际的应用环境中，往往是v p n 客户端和v p n 网关交错组织的混合组网模式。因此，下面仅对混合v p n 组网模式进行详细讨论。第1 1 页信息工程大学硕士学位论文2 3 2 网状结构组网模式网状结构的v p n 组网模式中，所有具有安全通信关系的安全设备( 包括客户端和网关)之间均建立了安全隧道。各隧道构成了复杂的平面网状结构，如图2 - 8 所示。传统i p s e cv p n 大多采用这种网状结构组网模式。图2 8 网状结构v p n 组网模式这种平面网状结构具有稳定性好、实现简单和安全通信简便等优点，但它存在以下问题：1 隧道配置量比较大。假设v p n 中有n 个安全设备，形成全联通的网络，则共有n ( n 一1 ) 2 条隧道，隧道数量级为o ( n 2 ) ，当l q 增加时，隧道数量和策略数量配置和维护负担将呈o ( n 2 ) 的复杂度增加。另外，当v p n 成员发生变化时，可能会引起与之相应的隧道和策略信息的大量修改。2 系统可扩展性支持不够。当添加新设备或新用户时，所有与它有通信关系的设备均要添加相应的策略和隧道配置，显然扩展不够灵活。3 管理困难。这种分散式的网状拓扑结构，难以控制，不利于v p n 的管理。整个v p n的策略管理、