（计算机应用技术专业论文）网络隧道代理及其安全机制的研究.pdf

湖北工业大学硕士学位论文 摘要 i n t e r n e t 技术的广泛应用，使人们可以方便地进行信息交换和共享：但是也 给计算机系统带来了前所未有的安全隐患，信息在传输的过程中可能被窥视或篡 改，内部网可能遭受非法访问和攻击。网络信息安全成为人们日益关注的核心问 题，而隧道技术、代理技术、访问控制技术等信息安全技术的出现和应用为企业 在i n t e f n e t 上传输数据提供了一定的安全保障。 本文从i n t e r n e t 用户对网络安全的全方位、系统化要求出发，以隧道技术、 代理技术和网络攻防技术为基础，对网络隧道代理机制、网络隧道代理系统、代 理隧道协议的全过程以及网络隧道代理系统所面i 临的各种安全威胁进行了详细的 分析，提出了隧道代理系统的安全目标，设计了隧道代理系统安全模型，并分析 了隧道代理系统安全模型的实现机制。具体包括如下： 1 ) 对两种隧道代理模型，即传统型隧道的隧道代理模型和扩展型隧道的隧道 代理模型进行了分析，对隧道代理系统的基本结构和运行过程的实现进行了进一 步的细化和设计。 2 ) 详细分析了隧道代理系统中所使用的密码算法、随机数生成器、证书机构 以及r a d i u s 的一些安全隐患，同时也对隧道代理系统在隧道建立、使用和终止阶 段可能遭受的攻击进行了详细分析。 3 ) 提出了隧道代理系统的安全目标，设计了隧道代理系统的功能单元和功能 模型，并对所提出的安全模型的安全机制进行了分析。 关键词：信息安全技术，隧道技术，隧道代理机制，隧道代理安全机制 湖北y - 业大学硕士学位论文 a b s t r a c t t h ew i d e s p r e a da p p l i c a t i o no fi n t e m e tt e c h n o l o g yt oe n a b l ep e o p l ec a ne a s i l y e x c h a n g ea n ds h a r ei n f o r m a t i o n b n ta l s ot ot h ec o m p u t e rs y s t e mb r i n g su n p r e c e d e n t e d s e c u r i wr i s k s f o re x a m p l e t h ej n f o r m a t i o ni nt h ec o u r s eo ft r a n s m i s s i o nm a yb ep e e k e d o ra l t e r e d ；t h ei n t e m a ln e t w o r km a ys h f f e r i l l e g a l a c c e s s e sa n da t t a c k s n e t w o r k i n f o r m a t i o ns e c u r i t yh a sb e c o m eag r o w i n gc o n c e mt ot h ec o r ei s s u e s f o r t u n a t e l yt h e a d v e n ta n da p p l i c a t i o no ft u n n e l i n gt e c h n o l o g y , p r o x yt e c h n o l o g ya n da c c e s s c o n t r o l t e c h n o l o g yp r o v i d ead e f i n i t es e c u r i t yg u a r a n t e ef o rd a t at r a n s m i t t e do nt h ei n t e m e t a l li n t e m e tu s e r sf r o mt h en e t w o r ks e c u r i t ya n da l l r o u n da n ds y s t e m a t i c r e q u i r e m e n t sf o rt h et u n n e lt e c h n o l o g y , t h ea c t i n gt e c h n o l o g ya n dn e t w o r ka t t a c ka n d d e f e n s et e c h n o l o g ya st h eb a s i sf o rt h et u n n e lp r o x ym e c h a n i s m ，m n n e lp r o x ys y s t e m ，t h e m a n a g e m e n to ft h ew h o l e c o u r s eo fp r o x yt u r l n e lp r o t o c o l sa n dt h ep r o x yt u n n e ls y s t e m f a c i n gv a r i o u ss e c u r i t yt h r e a t sd e t a i l e da n a l y s i s ，a c t i n gm a d et u n n e ls y s t e ms e c u r i t y o b j e c t i v e s ，t h ed e s i g no ft h et u n n e ls y s t e ms e c u r i t ym o d e lp r o x y , a n dp r o x ys y s t e m s e c u r i t ya n a l y s i so f t h et u n n e lm o d e lo f t h em e c h a n i s m s p e c i f i c a l l yi n c l u d et h ef o l l o w i n g ： 1 a c t i n go nt w ot u n n e lp r o x ym o d e l st h a tt r a d i t i o n a lt u n n e lp r o x ym o d e la n dt h e e x p a n s i o no ft h et u n n e lp r o x ym o d e l ，t h eb a s i cs t r u c t u r ea n do p e r a t i o no ft h es y s t e m o r o c e s st oa c h i e v eaf u r t h e rd e t a i l e da n dd e s i g n 2 d e t a i l e da n a l y s i so ft h et u n n e lp r o x ys y s t e mu s e dc r y p t o g r a p ha l g o r i t h m s ，r a n d o m n u m b e rg e n e r a t i o n ，ac e r t i f i c a t eo f s o m ea g e n c i e sa n dr a d i u sr i s k s ，b u ta l s ot ot h et u n n e l p r o x ys y s t e mi nt h et u n n e ie s t a b l i s h m e n t ，u s ea n dt e r m i n a t i o np h a s em a ys t i f f e ra t t a c k s c a r r i e do u tad e t a l l e da n a l y s i s 3 a c t i n gm a d et u n n e ls y s t e ms e c u r i t yo b j e c t i v e s ，t h ed e s i g no ft h em n n e lp r o x y s y s t e mf u n c t i o n a lr o o d u l e s a n dm o d e l sm a d eb yt h es e c u r i t ym e c h a n i s m so f a n a l y s i s 。 k e y w o r d s ：i n f o r m a t i o ns e c u r i t yt e c h n o l o g y ，t u n n e l i n gt e c h n o l o g y ，t u n n e lp r o x ym e c h a n i s m s e c u r i t ym e c h a n i s mo f t u n n e lp r o x y i i 佩 l 亡工孽火港 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名：弓杉如f 年日期：、矽6 年6 月l 午日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名：享长辜1 年指导教师签名 日期：b p 萨6 月f 4 日 日期：沙砧年6 月f4 日 湖北工业大学硕士学位论文 第1 章引言 随着网络，尤其是网络经济的发展，企业同益扩张，客户分布日益广泛，合 作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现 传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式己难以适 应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现 在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，v p n 以其 独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运 行与维护，而更多地致力于企业的商业目标的实现。 v p n 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更 为突出。企业必需要确保其v p n 上传送的数据不被攻击者窥视和篡改，并且要防 止非法用户对网络资源或私有信息的访问。目前，v p n 的安全保证主要是通过防 火墙技术、路由器配以隧道技术、加密协议和安全密匙来实现的，以保证企业员 工和合作伙伴安全地访问公司网络。 v p n 技术的核心集中在数据包的加密和网络传送上。如今，1 e t f 已经制订了一些v p n 技术标准，如：二层l 2 t p 隧道技术( r f c2 6 6 1 ) 和三层i p s e c 加密技术( r f c2 4 0 1 ) 。v p n 提供了加密、身份认证和数据包认证，在一定程度上有效地保护了互联网络服务应用，满足 了很多应用服务的安全需求，因此成为近年米倍受关注和青睐的领域之一j 。 1 1 课题来源 课题来源于：湖北省教育厅2 0 0 4 年自然科学基金重点项目“网络隧道代理机 制的研究”( 2 0 0 4 a b a 0 6 1 ) ，2 0 0 4 年湖北省科技攻关项目“支持隧道代理的主动防 御型防火墙的研究”( 项目编号：2 0 0 4 a a l 0 1 c 6 7 ) 。 隧道技术( t u n n e l i n g ) 是一种通过使用互联网络的基础设施在网络之问传递 数据的方式，使用隧道传递的数据( 或负载) 可以是不同协议的数据帧或包。隧 道协议将其它协议的数据帧或包重新封装后通过隧道发送，新的帧头提供路由信 息，以便通过互联网传递被封装的负载数据。除隧道技术以外，v p n 技术还包括 四项技术，即身份认证技术、加密与解密技术、密钥管理技术、数据完整性鉴别 技术，这样v p n 在一定程度上有效地保护了在互联网传输数据的安全性。但我们 看到现有的v p n 隧道技术存在一些不足： 首先，没有建立起一个独立专用的系统和机制来对v p n 隧道中传输的数据进 湖北工业大学硕士学位论文 行有效地监控、审查和记录，不能及时发现一些未经授权的用户登录和对隧道的 恶意攻击，并且对于已经发生的攻击和入侵也缺少必要的报警和防护，l n s 一旦 被破坏，必将会影响v p n 的工作和整个网络的安全【3 j 。 其次，v p n 。无论是自愿型隧道还是强制型隧道，都只是通过身份认证，为合 法j e j 户提供在隧道中传输数据的安全保证，而没有数据访问控制的环节，不利于 对敏感数据的安全保护；隧道建立于主机与边缘网络设备或者主机与主机之间， 主机也没有受到保护，容易遭受攻击。 为了弥补现有隧道技术的不足，保障隧道通信数据的安全，我们把v p n 技术、 代理技术、访问控制技术有机地结合起来，提出了基于隧道技术和代理技术的支 持访问控制的隧道代理机制，以实现网络传输数据的用户级访问控制和保护。 同时，我们也可以看出，隧道代理系统仅仅是支持多种构成v p n 技术的一个 框架，它对多种隧道协议和安全技术的支持并不意味着自身就具有了足够的安全 性，这也需要我们对隧道代理系统的安全机制进行深入的研究。 1 2 课题研究的内容和目的 在深入了解v p n 技术，隧道技术、隧道代理技术和网络攻防技术的基础上， 研究适合宽带、高速环境下的隧道代理模型，并分析其自身的脆弱性和所面临的 安全威胁，提出隧道代理系统的安全目标，设计隧道代理安全体系。具体的研究 内容包括以下几个方面： 1 ) 对隧道代理机制进行试验研究 根据初步提出的隧道代理模型对隧道代理机制进行进一步的研究。隧道代理 技术必须要能够支持多种隧道协议，如l 2 t p ，i p s e c 等，也就是说要支持相应的 认证协议，传输协议，封装协议，加解密算法等。所以隧道代理的建立是在隧道 建立的基础上的。 在隧道建立成功后，内部网的用户必须先把信息通过隧道发给隧道代理服务 器，再由隧道代理服务器通过隧道发给目的端。同样的外部网络用户( 也可能是 网关) 申请建立隧道成功后也必须先通过隧道把信息发给隧道代理服务器，然后 由隧道代理服务器来通过建立的隧道转发给内部网络用户。如何安全、完整的实 现对隧道的代理是隧道代理安全机制研究的重要内容。 2 1 对隧道代理系统进行安全性分析 由于隧道代理系统仅仅是支持多种构成v p n 技术的一个框架，它对一些隧道 协议和安全技术的支持并不意味着其自身就具有了足够的安全性。针对v p n 的各 湖北工业大学硕士学位论文 种攻击，迫使我们考虑是否存在某种针对隧道代理系统的特殊攻击方法，或是隧 道代理系统所具有的某种脆弱性易于受到攻击f 4 。 隧道代理系统建立后，它将面临来自网络内部和外部的安全威胁，也就是针 对各种网络连接、通信和传输所使用的协议及其实现的风险，以及采用的安全相 关协议及其实现的风险。 3 ) 建立隧道代理安全体系模型 所建立的隧道代理系统的安全性应该包含以下特征f5 1 ： ( 1 ) 隧道与加密：隧道代理能实现多隧道协议支持，可以增加v p n 应用 的灵活性。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性， 使数据在网上传送而不被非法窥视与篡改。 ( 2 ) 数据验证：在不安全的网络上，特别是在构建隧道的公用网上，数据 包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验 证使接收方可识别这种篡改，保证了数据的完整性。 ( 3 ) 用户验证：隧道代理系统可使合法用户访问他们所需的企业资源，同 时还能禁止未授权用户的非法访问。通过a a a 技术，隧道代理系统可以提供用户 验证、访问级别以及必要的访问记录等功能。 ( 4 ) 隧道流量的监控：隧道代理服务器完成了对隧道的代理，就初步的完 成了对隧道的控制，从而管理员( 相当于可信任的第三方) 可以对隧道内的数据包 进行审查和监控，决定哪些数据包可以通过，哪些数掘包包含了不合规则的信息 而不允许通过，并进行相应的记录，这些记录包括数据包出发端，目的端的i p 地 址，符合哪些规则或不符合哪些规则，执行的相关策略和时间等，以期能够在需 要的时候再现这些行为，从而提高隧道的安全，保证网络边缘设备的安全。 这一部分是在对隧道代理系统所面临的安全威胁作了全面分析的情况下所作 的进一步研究。 1 - 3 国内外研究现状 随着v p n 技术的发展，v p n 技术应用的日益拓宽，人们对隧道的安全性和可 靠性，以及对信息的访问控制也越来越关注。 虽然目前我国v p n 市场尚处于起步阶段，但v p n 产品在我国i t 应用市场上 正逐渐被越来越多的行业和企业用户所熟悉和采用，有很多网络安全产品提供商 已经将目光聚焦到该领域，其中有一些还推出了自己单独的v p n 产品，例如兴唐 通讯、c h e c k p o i n t 等。此外，天融信推出了其单独的v p n 解决方案、巨龙也推出 湖北_ t - 业大学硕士学位论文 了神獒v p n 产品；另一些厂商在交换机、防火墙、安全网关等中加载了v p n 模 块，以实现v p n 的部分功能，例如3 c o m 、c i s c o 、东软、华为、联想、方正数码 等。这些产品的推出使企业、科研人员尽早地进入了该领域，并为今后进一步发 展、扩大理论研究奠定了良好基础。 有相关调查资料表明，当前已有很多v p n 厂商积极投身于v p n 单独产品的 研发工作，并通过推出单独产品扩大公司在浚领域的市场影响力、不断挖掘市场 潜力。在他们看来，单独的v p n 产品的许多功能，像产品加解密的安全性、产品 维护的方便性、可管理性等，要远远优于加载在防火墙产品中的v p n 模块。因此， 研究v p n 与其它关键安全技术的联合，对于满足各类用户的高端需求并抢占该市 场，具有至关重要的意义。 此外，众多v p n 厂商在技术、价格等方面的竞争也日益激烈。其中，技术是 网络安全软件厂商特别是v p n 厂商生存的基础，正是因为各厂商使用了不同的技 术，才使得产品实现了不同的功能，从而导致了产品的差异性。与其他网络安全 产品不同的是，v p n 产品的研发有专门的协议和认证标准可循，厂商开发产品时 应遵循国际公认的协议和标准。在遵循公认协议和标准的基础上，各厂商同时使 用自己独特的技术，研制和开发其v p n 产品，以满足用户多样化的需求。而在价 格竞争策略方面，v p n 厂商同样己经开始从单纯考虑产品、技术逐步延伸到考虑 服务、渠道等多方面因素，根据不同用户群来确定相关的价格定位。 由此可见，v p n 以其费用低廉和安全性高，受到了广泛的研究和应用，并且 具有隧道功能的边缘设备( 如：交换机、路由器、防火墙) 已经投入了实际的使 用，但这样的边缘设备在加解密的安全性、可管理性和维护的方便性等方面，与 理想的性能相比还有一定的距离。加强研究边缘设备中隧道功能的实现，并制定 ，相应的国际公认的协议和标准也是十分有必要的。而对这方面的研究还刚刚起步， 所以对隧道代理机制，特别是其安全机制的研究是十分有意义的。 1 4 主要解决途径与方法 本课题将在充分利用已有的研究成果的基础上，分析现有的隧道技术、代理 技术和信息安全技术，确定理论创新点和技术突破点。在研究工作中，将借鉴了 l 2 t p 、应用层代理、访问控制和网络管理等相关领域的理论知识和技术方法，综 合运用建模、集成、测量和分析等手段，完成隧道代理系统的安全性分析，建立 隧道代理安全体系模型，并通过实验系统来验证模型的正确性和有效性。具体如 下： 4 湖北工业大学硕士学位论文 1 ) 进步研究隧道代理系统中隧道生命周期即隧道的建立、使用和断开全过 程的管理机制，以及被代理的通信主机的管理机制，并对其面临的安全威胁进行 分析。 2 ) 在深入研究隧道技术、代理技术和信息安全技术的基础上，利用隧道的数 据加密、完整性保护等功能和代理服务器的保护内网安全性、访问控制管理等功 能，研究如何保护在因特网中传输的数据，为隧道代理机制的安全性提供必要的 理论依据。 3 1 深入研究网络安全攻防技术和网络隧道代理系统中所使用的一些安全技 术，对网络隧道代理系统自身的脆弱性和隧道代理系统运行过程中所面临的安全 威胁进行详细的分析，为隧道代理系统的安全体系设计提供理论依据。 4 ) 提出隧道代理系统安全目标，设计隧道代理安全模型，确定隧道代理系统 安全机制的功能单元，并对其进行安全性分析，验证模型和算法的正确性和有效 ，陆。 1 5 课题研究的意义与效益 隧道代理技术是一种提高和加强网络整体安全和信息安全的重要手段。随着 v p n 网络技术理论和应用技术的不断发展，将会对一些服务的访问控制方式和安 全性产生变革，这就为隧道代理技术的应用带来了广阔的前景。成本低廉、简单 适用和便捷的集中式管理的特点给隧道代理技术提供了广阔的发展空问。随着市 场环境的规范化，企业赚取超额利润的机会的减少，企业平均盈利水平下降已经 成为长期的趋势。整合企业资源、降低运营费用成为多数企业的上上之选，而大 幅度降低电话费用又往往是企业增收节支的首选。在降低费用的基础上，提高隧 道v p n 的安全性又成了首要考虑的关键点，随着企业网络化办公环境的普及和 v p n 技术的同益成熟，无论是远程访问虚拟专用网( a c c e s sv p n ) 、企业内部虚拟 专用网( i n t r a n e t v p n ) ，还是企业扩展虚拟专用网( e x t r a n e t v p n ) 都呈现几何基 数级的增长【6 。隧道代理机制将为这些急剧增长的v p n 应用提供更强的安全保障 和更便捷的管理方案。 隧道代理机制可应用于边缘网络设备并为计算机通信和利用网络进行数据交换的金融、 商业等行业提供更加安全的网络服务。 湖北7 - 业大学硕士学位论文 第2 章v p n 安全技术综述 目前建立v p n 主要采用4 项技术：隧道技术、加解密技术、密钥管理技术、使 用者与设备身份认证技术。隧道技术是v p n 的基本技术，类似于点对点连接技术， 在公用网上建立一条数据通道( 隧道) ，让数据包通过这条隧道传输。隧道由隧道 协议形成，例如p p t p , l 2 f , l 2 t p , i p s e c ，其中p p t rl 2 f 和l 2 t p 是第二层的隧道 协议，可以支持i p , i p x 等多种协议，而i p s e c 协议则是第三层的隧道协议，只支 持i p 。加解密技术是数据通信中一项比较成熟的技术，v p n 可直接利用现有技术。 密钥管理技术分为s k i p 与i s a k m p o a k l e y 两种，s k i p 主要是利用d i f f i e h e l l m a n 算法在网络上传输密钥：在i s a k h i p 中通信双方都有两把密钥，分别用于公用和私 用。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式【7 1 。 2 1 隧道技术 隧道技术是实现隧道代理机制的主要技术之一。这种技术可以用来提供安全 网关( 路由器或防火墙) 到安全网关、主机到安全网关、或者主机到主机的安全 连接。 简单地浣，隧道就是一种封装异种数据包的协议，它是虚拟的点到点连接， 这个连接为隧道的两个端点提供了认证、加密和访问控制。专有的“隧道”类似 于点到点的连接，这种方式能够使得来自许多源的网络流量从同一个基础设施中 通过不同的隧道【”。所以说，隧道技术是利用一种隧道协议完成i p 数据包的二次 封装的技术，以实现企业私有地址在公网上的传输，允许授权移动用户或已授权 的用户在任何时间任何地点访问企业网络。为了保证传输的安全，需要一定的安 全加密手段和数据完整性校验手段，以保证数据的私密性和完整性。隧道技术可 以存在于不同的协议层，为创建隧道，隧道的启动器和终结器双方必须使用相同 的隧道协议。 隧道技术具有以下特性。 首先，隐藏私有地址公司内部的i p 地址通常有别于i n t e m e t 上使用的地 址。通过公共网络传输数据包时，隧道技术隐藏了私有i p 地址。 第二，传输非i p 载荷利用隧道传输技术，就可以通过标准o s i 堆栈层和 i n t e m e t 来传输非i p 载荷( 比如i p x 或a p p l e t a l k 包) ，具体做法是连同一个i p 以 及一个隧道传输协议头来封装载荷。 湖北工业大学硕士学位论文 第二二，安全性隧道传输技术可提供额外的安全特性，比如加密、身份验 证等。 第四、转发一隧道传输技术允许将数据中继到目的地的一个特定位置，以 便有的放矢地处理载荷。 第血，管理隧道传输技术允许接受者滤掉或报告个人的隧道连接。 现在已经有许多i n t e m e t ( i e t f ) 的建议，都是关于隧道技术如何应用，以及 远程设备如何能以简单安全的方式访问公司网络和i n t e r n e t 的。现有的隧道协议中 最为典型的有s s l 、g r e 、i p s e c 、l 2 t p 、p p t p 、l 2 f 等。按照隧道的起始和终止 位置可分为第二层、第三层、第四层等隧道。其中l 2 t p 、p p t p 、l 2 f 属于第二层 隧道协议，g r e 、i p s e c 属于第三层隧道协议，s s l 属于第四层隧道协议。在众多 v p n 相关协议中，最引人注目的是l 2 t p ( 第二层隧道协议) 、i p s e c ( i p 安全协议) 和s s l ( 安全套接字层) h 。 2 1 1 第二层隧道 用户的数据在网络数据层的第二层数据链路层被封装则为第二层隧道。第二 层隧道协议有l 2 f 、p p t p 和l 2 t p 等，它们都是先把各种网络协议封装到p p p 中， 再把整个数据包装八隧道协议中。这种双层封装方法形成的数据包靠第二层协议 进行传输。使用第二层隧道时，隧道的创建可以在r a s 也可以在服务商提供的网 络上或在r a s 上，r _ a s 在这个服务提供商网络的企业内部网或路由驻留，它仅仅 通过隧道传送第三层有效负载到隧道终点远程访问服务器上，另一方面，第 二层隧道在服务提供商的骨干网上由l a g 把这个p p p 帧传到预先确定的起点 远程客户端。隧道的终止则在路由器的用户端或一般的服务器上【l 。 l a c 可以利用隧道传输任何封装在p p p 中的网络层协议数据单元，是入呼叫 的起始方和出呼叫的接收方。典型的l a c 可以是一个配置有l 2 t p 协议的网络接 入服务器。l a c 客户是连接到i n t e m e t 上的主机，包含有l a c 客户软件，它可以 完成隧道的建立、维护及释放的工作，并不需要l a c 。当l a c 客户初始化隧道和 呼叫时，l a c 客户就成为l a c l i “。 另外，利用标记交换技术m p l s 标记中的v p n 网络标识符以及m p l s 的l s p t u n n e l 也可以实现m p l s 范围内的v p n ，m p l s 实现v p n 的方式与第二层v p n 较为相似，都是面向连接的虚电路方式。同样，如果用户希望实现端到端的m p l s v p n 互联，需要把用户出口路由、交换设备或者运营商网络的接入路由、交换设 备直接作为m p l s 的边缘设备。利用虚拟路由器实现v p n 是指在单一的网络设备 上提供多个虚拟的路由器，这些虚拟路由器可以为不同的企业用户提供专有的逻 湖北工业大学硕士学位论文 辑网络连接。 2 1 2 第三层隧道 第三层隧道协议是把各种网络层协议数据单元直接装入隧道叻、议中，形成的 数据包依靠第三层协议进行传输。采用第三层隧道技术的方式目前以i p 隧道为主， 即在两个节点之间利用隧道协议封装重新定义数据包的路由地址，使得具有保留 i p 地址的数据包可以在公共数据网上进行路由，利用这种方式可以很好地解决i p 地址的问题。同时，利用某些隧道协议的加密功能，例如i p s e c ，还可以充分地保 障数据传输的安全性。第三层隧道协议有i p s e c 等【1 3 】。 i p s e c ( i ps e c u r i t y ) 是由一组r f c 文档组成，它定义了一个体系来提供安全 踟议选择、安全算法，确定服务所使用密钥等服务，从而在i p 层提供安全保障。 i p s e c 支持机器级的v p n 身份验证和加密通信，并基于l 2 t p 。i p s e c 提供了完整 性保护、身份验证以及可选的保密和重播保护服务。它是一种协议架构，而且要 与i k e 协议配合使用，具体由r f c2 4 0 1 - 2 4 0 9 来定义。i p s e c 数据包有以下两种类 型1 1 4 】。 “封装安全载荷”( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，e s p ) ，它定义了保密性、 身份验证以及完整性。 “身份验证头”( a u t h e n t i c a t i o nh e a d e r ，a 1 1 ) ，它定义了身份验证和完整性， 但没有定义保密性。 i p s e c 有两种工作模式：传输模式和隧道模式。传输模式保护现有的i p 包， 让它从来源地安全传输到目的地；隧道模式则将数据包放入一个新的i p 包，以 i p s e c 格式发送到一个隧道端点。两种模式都允许采用e s p 和a h 头封装。 ， 2 1 3 第四层隧道 第四层隧道指用户数据在应用层( 包括会话层、表示层等) 就被封装，该层 协议最著名的是s s l ，现己成为远程访问v p n 的新宠。除了具备与i p s e cv p n 相 当的安全性外，还增加了访问控制机制，客户端只需要拥有支持s s l 的浏览器即 可，可以说是零配置，非常适合远程用户访问企业内部网【”】。不过这类产品对非 w e b 应用的支持不够理想。s s lv p n 是一种低成本、高安全性、简便易用的远程 访问v p n 解决方案，具备相当大的发展潜力。随着越来越多的公司将自己的应用 转向w e b 平台，s s lv p n 将会得到更为广泛的应用。 s s l v p n 不需要在最终用户的p c 和便携式电脑上装入另外的客户软件。有些 公司之所以选择s s l 而不是i p s e c ，这项不需要客户软件的功能正是一个重要因素。 湖北工业大学硕士学位论文 除此之外，s s lv p n 还有其它经常被提到的特性，包括降低部署成本、减小对日 常性支持和管理的需求。此外，因为所有内外部流量通常都经过单一的硬件设备， 这样就i ，j 以控制对资源和u r l 的访问。 s s lv p n 一般的实现方式是在企业的防火墙后面放置一个s s l 代理服务器。 如果用户希望安伞地连接到公司网络上，那么当用户在测览器上输入一个u r l 后， 连接将被s s l 代理服务器取得，并验证该用户的身份，然后s s l 代理服务器将提 供一个远程用户与各种不同的应用服务器之间连接【1 6 1 。 厂商推出这类不需要客户软件的v p n 产品后，用户就能通过与因特网连接的 任务设备实现连接，并借助于s s l 隧道获得安全访问。这需要在企业防火墙后面 增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。 因为最终用户避免了携带便携式电脑，只需要有与因特网连接的任何设备就 能获得访问，s s l 更容易满足大多数员工对移动连接的需求。不过这种方案的问 题在于，s s lv p n 的加密级别通常不如i p s e cv p n 高。所以，尽管部署和支持成 本比较低，并且使公司可以为使用台式电脑、便携式电脑或其它方式的员工提供 使用电子邮件的功能，甚至迅速、便捷地为合作伙伴提供访问外联网的功能，但 s s l v p n 仍有其缺点。 大多数s s l v p n 都是h t t p 反向代理，这样它们非常适合于具有w e b 功能的 应用，只要通过任何w 曲浏览器即可访问【 】。h t t p 反向代理支持其它的查询应 答应用，譬如基本的电子邮件及许多企业的生产力工具，譬如e r p 和c r m 等客 户机服务器应用。为了访问这些类型的应用，s s l v p n 为远程连接提供了简单、 经济的一种方案。它傅于即插即用型的，不需要任何附加的客户端软件或硬件。 s s l 是一种在i n t e r n e t 上保证发送信息安全的通用协议。s s l 用公钥加密通过 s s l 连接传输的数据来工作。s s l 是一种高层安全协议，建立在应用层上。在应 用层上的连接意味着，和i p s e c 相比较，s s l 更容易提供细粒度远程访问和企业外 网v p n 需要的控制。 然而，同样这个优点偏偏成了s s l v p n 的最大局限因素：用户只能访问所需 要的应用和数据资源当中的一小部分。s s lv p n 无法为远程访问应用提供全面的 解决方案，因为它并不有助于访问内部开发的应用，也不有助于访问要求多个渠 道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说 却是一个关键需求。譬如说，s s lv p n 没有架构来支持即时消息传送、多播、数 据馈送、视频会议及v o i p 。 尽管s s l 能够保护由h t t p 创建的t c p 通道的安全，但它并不适用于u d p 通道。然而，如今企业对应用的支持要求支持各种类型的应用：t c p 和u d p 、客 湖北工业大学硕士学位论文 户机n 务器和w e b 、现成的内部开发的程序。 应用独立的安全解决方案应该具备支持各种标准的t c p 或u d p 。应用安全技 术支持使用物理网络的各种解决方案。除了支持如今各种程序外，应用安全还将 支持未来的各种方案，不管是哪种协议或是设计 l 。 业内人士认为，这些缺点通常涉及客户端安全和性能等问题。对e m a i l 和 i n t r a n e t 而言，s s lv p n 是很好：但对需要较高安全级别、较为复杂的应用而言， 就需要i p s e cv p n 。尽管如此，s s l 仍旧不会取代i p s e c 。因为站点到站点连接缺 少理想的s s l 解决方案，而说到远程访问，许多公司考虑之后，可能为了不同的 远程访问而同时部署s s l 和i p s e c ，但在近期，这种情况不太可能成为主导性潮流。 2 2 认证 认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要” 技术主要采用h a s h 函数将一段长的报文通过函数变换，映射为一段短的报文即 摘要。由于h a s h 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该 特性使得摘要技术在v p n 中有两个用途：验证数据的完整性和进行用户认证。 v p n 也需核实信息发送方的身份，并确保信息在i n t e m e t 上传送时没有被篡 改。核实发送者身份的过程被称作”认证”。认证通过用户的名字和口令来实现，或 通过被称作”电子证书”或”数字证书”的信息来完成。电子证书包括加密参数。它是 唯一被用作验证用户或主系统身份的工具。核实数据传输过程中有没有被外部人 员篡改的过程称作“数据完整性检”。完整性检查通过数学算法来完成，即h a s h 函 数。在数据被送出之前对数据进行处理，当接收到数据时，使用相同的h a s h 函数 处理，如果得到的结果相同，则说明数据没有被篡改【1 9 。 目前p p p 技术提供了几种认证机制，即p a p 、c h a p 、m s c h a p 。其中 m s c h a p 的两个版本的认证协议是目前讨论最多的。p a p 是一种简单的明文验证 方式，采用二次握手机制为对端提供一个简单的方法去确定它的身份。c h a p 是 种挑战n b 应验证方式，它采用三次握手机制进行单向身份认证。m s c h a p v l 与 c h a p 类似，区别在于响应产生的方法。m s - - c h a pv 2 也是一种挑战h i l l 应验证方 式，但它采用四次握手机制进行双向身份认证。由此可见，m s - - c h a p v 2 是目前 为止最为安全的认证方法。 2 _ 3 加密技术 目前在网络通信领域内常用的信息加密体制主要是经典加密体制与分组交换 湖北工业大学硕士学位论文 传输机制相适应的分组密码，包括对称加密体制和非对称加密体制两类，其主要 特征参数为算法和密钥，有时还需要用到算法的初始向量。加密算法分为对称加 密算法和不对称加密算法两类。不对称加密算法的运算量较大，计算效率低，密 钥长度超过对称加密算法，具备高安全性能的同时又能提供信息的完整性验证和 服务的不可否认等功能【”j 。 目前常用的对称加密算法有：d e s ( d a t ae n c r y p t i o ns t a n d a r d ) ，3 d e sr t r i p l e d a t ae n c r y p t i o ns t a n d a r d ) ，i d e a ( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ) 。常用的 不列称加密算法有：r a s ( r v i e s ts h a m i ra d l e m a n ) ，d s a ( d i g i t a ls i g n a t u r e a l g o r i t h m ) ，d i f f e - h e l l m a n 。 对通过公共互联网络传递的数据必须进行加密，这样才能确保网络中其他未 授权用户无法识别该信息。加解密技术是数据通信中一项较成熟的技术，v p n 可 直接利用现有技术。 2 4 数据完整性 信息安全研究所涉及的领域相当广泛。从消息的层次来看，包括消息的完整 性( 即保证消息的来源、去向、内容真实无误) 、保密性( 即保证消息不会被非法 泄露扩散) 、不可否认性( 即保证消息的发送和接收者无法否认自己所做过的操作 行为) 等2 2 1 。 数据完整性概念的提出是确保数据免受意外或者故意( 恶意) 的修改。完整 性通常是由消息身份验证代码或哈希值提供的。哈希值是从数据序列导出的固定 长度的数值。哈希值用于验证通过非安全通道传送的数据的完整性。可以将收到 的数据的哈希值与传送时数据的哈希值进行比较，以确定数据是否被篡改。 完整性保护是用于防止非法篡改，利用密码理论的完整性保护能够很好地对 付非法篡改。完整性的另一用途是提供不可抵赖服务，当信息源的完整性可以被 验证却无法模仿时，收到信息的一方可以认定信息的发送者，数字签名就可以提 供这种手段。 完整性验证是在数据传输过程中，验证收到的数据和原来数据之间保持完全 一致的证明手段。在数据处理过程中，它验证接收方接收到的数据就是发送方发 送的数据，没有被篡改。严密的设计应当考虑i p 数据报完整性验证，当然，也可以 对传送的密钥做完整性验证，或者两者都做。 校验和是最早采用的数据完整性验证的方法，它虽不能保证数据的完整性， 只起到基本的验证作用，但由于它的实现非常简单( 一般都由硬件实现) ，现在仍 湖北工业大学硕士学位论文 广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数据摘要算法和 数字签名算法，它们虽可以保证数据的完整性，但由于实现起来比较复杂，系统 丌销比较大，一般只用于完整性要求较高的领域，特别是商业、金融业等领域。 目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重 传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取 有效的措施来进行完整性控制。数据完整性鉴别技术常见的有报文鉴别技术、校 验和、加密校验和、消息完整性编码、防抵赖技术。 2 5q o s 技术 通过隧道技术和加密技术，已经能够建立起一个具有较高安全性、较强互操 作性的v p n 。但是若该v p n 性能上不稳定，管理上不能满足企业的要求，那就要 加入q o s 技术。服务质量( q o s ) 是用来解决网络延迟和阻塞等问题的一种技术。 实行q o s 应该在主机网络中，即v p n 所建立的隧道这一段，这样才能建立一条性 能符合用户要求的隧道 2 3 】。 不同的应用对网络通信有不同的要求，这些要求可用如下参数给予体现： - 带宽：网络提供给用户的传输率： 反应时间：用户所能容忍的数据报传递延时； 抖动：延时的变化； 丢失率：数据包丢失的比率。 网络资源是有限的，在用户要求的网络资源得不到满足时，可以通过q o s 机制 调控用户的网络资源分配来满足应用的需求。q o s 机制具有通信处理机制以及供 应( p r o v i s i o n i n g ) 和配置( c o n f i g u r m i o n ) 机制。通信处理机制包括8 0 2 1 p 、区分 服务( d i f f e r e m i a t e ds e r v i c ep e h o p b e h a v i o r s ，d i t p s e r v ) 、综合服务( i n t e g r a t e d s e r v i c e s ，i n t s e r v ) 等等。现在大多数局域网是基于i e e e 8 0 2 技术的，如以太网、 令牌环、f d d i 等，8 0 2 1 p 为这些局域网提供了一种支持q o s 的机制。8 0 2 1 p 对链 路层的8 0 2 报文定义了一个可表达8 种优先级的字段。8 0 2 1 p 优先级只在局域网 中有效，一旦出了局域网，通过第三层设备时就被移走。d i f f s e r v 则是第三层的 q o s 机制，它在i p 报文中定义了一个称为d s c p ( d i f f s e r vc o d e p o i n t ) 的字段。 d s c p 有六位，用作服务类型和优先级，路由器通过它对报文进行排队和调度。与 8 0 2 1 p 、d i f f s e r