（控制科学与工程专业论文）嵌入式安全网关实现研究.pdf

西北工业大学硕士学位论文摘要 摘要 i p s e c ( i n t e m e tp r o t o c o ls e c u r i t y ) 协议是一种较为成功并且广泛应用的m 安 全技术，可以有效地解决i n t e m e t 通信中诸如i p 地址伪造、口数据报篡改、旧 内容重放和数据窥测等等安全问题。由于i p s e c 需要对数据包进行加解密和认 证运算，因此，随着网络传输速率的不断提高，用软件方式实现i p s e c 虚拟专 用网络( v i r t u a lp r i v a t e n e t w o r k ，v p n ) 会使系统的负荷增大，难以满足网络数据 处理速度上的要求。 针对该问题，本文对i p s e c 的安全体系进行了研究：深入地分析了i p s e c 的两个安全通信协议( 封装安全载荷协议和认证头协议) ，以及i p s e c 对于进入、 外出数据包的处理流程。 在对国内外安全网关产品实现思想进行分析的基础上，给出了基于网络处 理器( n e t w o r kp r o c e s s o r ，n p ) 的嵌入式i p s e c 安全网关的实现方案，其设计思想 是将i p s e c 协议中诸如数据包封装、安全协商、密钥交换等控制层面的任务和 诸如数据加解密、消息认证计算等数据层面的任务分离处理，以实现安全网关。 基于该设计思想，给出了系统的实现方案。本文从工程实现角度详细地描 述了：( 1 ) 基于$ 3 c 2 5 1 0 网络处理器的嵌入式网关主板硬件系统和基于f p g a 的协处理器模块的基本结构、工作原理、设计和实现、调试方法和调试过程等； ( 2 ) 基于v x w o r k s 操作系统的b s p 、网络设备驱动、p c i 设备驱动和文件系统 等网关软件系统功能部件的开发和实现过程；( 3 ) 基于w i n dn e t i p s e c & i k e 的网关i p s e cv p n 功能实现原理和实现过程。 在v p n 功能实现和网关数据处理流程分析的基础之上，给出了基于 s m a r t b i t s6 0 0 0 c 数据网络测试平台的安全网关系统性能测试方案，以对实现的 v p n 网关平台进行性能评估。 关键词： 安全网关嵌入式虚拟专用网i p s e c 网络处理器v x w o r k s 西北工业大学硕士学位论文 a b s t r a c t a b s t r a c t i n t e m e tp r o t o c o ls e c u r i t y ( i p s e c ) i sah n do fn e t w o r ks e c u r i t yt e c h n o l o g i e s w h i c hi sw i d e l yu s e dt op r o t e c tt h en e t w o r k sc o m r a u n i c a t i o ns e c u r i t yf r o ma t t a c k s a n di n t r u s i o n s t r a d i t i o n a l l y , s o f t w a r e b a s e di m p l e m e n t a t i o no ft h ei p s e cp r o t o c o li s v e r ye x p e n s i v ea st h en e t w o r kb a n d w i d t hi n c r e a s e sr a p i d l y i tw i l lt a k eag r e a tl o to f t i m et op e r f o r ms o m ec o m p l i c a t e dc r y p t o l o g i c a la l g o r i t h m s ，a n di tr e s u l t si nt h e p e r f o r m a n c ep r o b l e m f i r s t l y , t h ei p s e cp r o t o c o li sa n a l y z e d i p s e cm e c h a n i s m ，s e c u r i t ya s s o c i a t i o n ， t h ee n c a s u l a t i o ns e c u r i t yp a l y l o a d t h ea u t h e n t i c a t i o nh e a d e ra n dt h ei p s c cd a t a s t r e a ma r ed i s c u s s e d f u r t h e r m o r e ，am e t h o do fd e s i g n i n ga n di m p l e m e n t i n ge m b e d d e ds e c u r i t y g a t e w a yo fi p s e cp r o t o c o lb a s e do nn e t w o r kp r o c e s s o ri sp r o p o s e d ，a c c o r d i n gt o a n a l y z et h ed e s i g na p p r o a c ho fs e c u r i t yg a t e w a yp r o d u c t s t h ec o n t r o lp a n e lt a s k s ， i n c l u d i n gd a t a g r a me n c a p s u l a t i o n , s e c u r i t yn e g o t i a t i o n ，k e ye x c h a n g ea n dd a t ap a n e l t a s k s ，w h i c hc o n t a i nd a t a g r a me n c r y p t i o na n dm e s s a g ea u t h e n t i c a t i o na r es e p a r a t e di n i p s e ep r o t o c 0 1 a c c o r d i n gt ot h ea p p r o a c ha b o v e ，as c h e m eo fi m p l e m e n t i n gi p s e cs e c u r i t y g a t e w a yi s a l s op r o p o s e d t h ei m p l e m e n t a t i o no fg a t e w a ym a i n b o a r dh a r d w a r e s y s t e mb a s e do n $ 3 c 2 5 1 0n e t w o r kp r o c e s s o ra n dc o - p r o c e s s o rm o d u l eb a s e do n f p g aa r ed e s c r i b e d t h er e s e a r c ha n dd e v e l o p m e n to fg a t e w a ys o f t w a r es y s t e m b a s e do nv x w o r k so p e r a t i n gs y s t e ma n dt h ep r i n c i p l ea n di m p l e m e n t a t i o no fi p s e c v p nf u n c t i o nb a s e do nw i n dn e ti p s c c & i k ea r ea l s od e s c r i b e d a f t e rv p nf u n c t i o ni si m p l e m e n t e d ，a n dt h eg a t e w a yd a t as t r e a mi sa n a l y s e d ，a s c h e m eo ft e s t i n gs e c u r i t yg a t e w a yf u n c t i o n sw h i c hi sb a s e do ns m a r t b i t s6 0 0 0 c n e t w o r kd a t at e s tp l a t f o r mi s p r o p o s e df o re v a l u a t i n g t h es e c u r i 哆g a t e w a y d e f f 0 加柚c e _ k e yw o r d s ： s e c u r i t yg a t e w a y e m b e d d e ds y s t e mv i r t u a l p r i v a t en e t w o r k i n t e r n e tp r o t o c o ls e c u r i t yn e t w o r kp r o c e s s o rv x w o r k s 西北工业大学硕士学位论文第一章绪论 1 1 网络安全现状 第一章绪论 自进入2 1 世纪，计算机网络进入了飞速膨胀时期。目前，互联网已经遍及 了世界1 8 0 多个国家，为5 亿以上的用户提供了多样化的网络与信息服务。所 涉及到的服务项目也已涵盖了电子商务、电子政务、电子税务、电子银行、电 子海关、电子证券、网络书店、网上拍卖、网络购物、网络防伪等诸多方面。 网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来 越大的作用，社会对网络信息系统的依赖日益增强，网络与人们的日常生活也 变得密不可分。 网络的这种大规模应用给人们生活带来很大的方便的同时，也产生了新的 问题。从信息安全的角度看，由于i n t e r n e t 的无组织、无中心结构，这些自由 的网络用户和网络应用给i n t e r n e t 带来严重的安全隐患：数据信息在处理、存 储、传输和使用时，容易被窃取和篡改。因此，i n t e r n e t 上数据传输的安全问 题已经成为人们关注的焦点。 在全球范围内，随着网络用户数量的膨胀，黑客网站也急剧增长，网络安 全问题也随着信息化的飞速发展而日益严峻。从目前来看，即便每台计算机的 使用率不到1 0 ，每天有关安全的攻击次数也大得惊人。有关统计结果表明在 遭受黑客攻击最为频繁的国家中，中国已经位居第三位。特别是近年来，以电 子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈，影响最 大的“熊猫烧香”病毒持续2 个月高居感染率第一。此外，在网络上传播的有 害信息也挑战着网络信息安全。除利用普遍存在的利用论坛、留言扳、电子邮 件、手机短信、在线聊天工具、电子出版物传播有害信息外，利用音频及图象 文件进行的非法活动也威胁人们的正常生活。由此种种，网络安全已经成为中 国互联网健康发展必须面对的严重问题。 1 2 网络安全技术应用前景 网络安全实质是网络上所传输的数据信息的安全，在当今的信息社会中， 每天都有大量的信息在传输、交换、存储和处理，而这些处理过程几乎都要依 赖强大的计算机系统来完成，所以计算机系统发生安全问题，就可造成信息的 t 西北工业大学硕士学位论文 第一章绪论 丢失、篡改、假冒、失密，以及系统遭受捣乱、破坏、骚扰等严重后果，轻者 造成计算机系统运行准备就绪的降低，重者将直接导致计算机系统瘫痪。 针对这个严重的问题，我们需要对网络资源进行安全保障。在大多数情况 下，对网络资源的安全保障主要可以从以下几个方面进行实施： 访问控制：限制用户对网络资源的应用，防止非授权用户非法使用网 络资源。 身份认证：提供对通信设备和用户进行的身份认证，验证身份的真实 性与合法性。 数据完整性：采用可靠的技术手段，防止数据信息被非法篡改；对于 已经发生篡改的数据，能够进行辨别。 数据机密性：对机要、敏感的数据信息进行加密，以防止在网络传输 中由于恶意监听、截取而发生机密的泄露。 上述的四个实施方面，具体的网络安全技术的实现主要包括数据加密技术、 防火墙技术、防病毒技术等。其中，数据加密技术是为提高信息系统及数据的 安全性、保密性所采用的主要手段。 目前在网络安全方面讨论较多的是如何防止非法用户入侵内部局域网，一 般主要使用防火墙等形式来阻止非法用户对内部局域网的入侵。防火墙是一种 用来控制网络之间互相访问的网络互连设备，通常是软件和硬件的组合体，它 在i n t e r n e t 与内部网之间建立起一个安全网关，综合利用了包过滤技术、代理 服务技术、病毒检测防护技术和密码技术等，把未授权用户排除到受保护的网 络之外，禁止脆弱的服务进入或离开网络，防止各种i p 盗用和路由攻击，从而 保护内部网络免受非法用户的侵入。 网络中的各个计算机和服务器都是通过网络接口控制器来进行数据的收发 的。由于计算机网络发展的初期，并没有考虑信息安全问题，所以，传统的网 络接口卡和其它网络设备为主机和服务器之间提供了一种开放的网络数据传输 方法，允许数据被在防火墙内部的任何人进行在线全程监听，这就造成了极大 的安全威胁。为此，i n t e r n e ti 程任务组( i e t f ) 在其i n t e r n e t 标准( 草案r f c ) 中定义了网络i p 层上的安全体系结构，即i p s e c ( i n t e r n e tp r o t o c o l s e c u r i t y ) 。i p s e c 协议可以在不改变用户应用程序的情况下，提供对网络数据 的保密和认证服务，实现网络信息的安全传输，特别是对于来自内部局域网的 监听和攻击具有较强的抗攻击能力。 随着经济的发展，企业规模的扩大，企业网不但要能够满足移动用户以及 远程用户访问企业网络的需求，同时还需要某种机制来保证企业信息的安全。 2 两北工业大学硕士学位论文第章绪论 对企业的子网间通信安全问题传统的解决办法通过租用并独占专用线路或自建 线路来连接分布在不同地域的企业子网，由于几乎是独占信道，不管用户是否 传输了数据都要全时付费，因此费用比较昂贵；另外一种解决方法就是采用虚 拟专用网( v i r t u a lp d v a t en e t w o r k ，v p n ) 技术，通过在公用网( 主要指碑网络) 上建立隧道等方式虚拟出专线来连接分布在各地的企业子网甚至移动用户。由 于在i p 网络上信道主要是统计复用的，用户没有传输数据就不必计费，因此费 用相对低廉，这也是推动v p n 发展的一个动力。 总的来说，v p n 产生和发展的原因有以下几个因素： 1 、日益增加的分散的公司( 组织) 部门和移动的成员； 2 、客户和提供商的在线互连； 3 、商务应用会更多的依靠因特网； 4 、新的应用的涌现； 5 、运行和维护专用网的费用高。 虚拟专用网是构建在公网i n t e m e t 之上的逻辑网络，通过在两台网关设备 之间建立一条虚拟专用隧道进行数据传输。为保证数据传输的安全性，通常采 用i p s e c 、l 2 t p 等协议和d e s 、a e s 等算法对数据进行认证、加解密，保障 网络数据传输的完整性、机密性和可用性。对于用户来说，v p n 网络能够提供 类似于专网的服务质量，而运营维护成本更加低廉。对于国防科研、移动办公、 电子商务和电子政务等领域用户来说，v p n 网络的低网络租用和低管理运营成 本促使政府机构网络、企业网络无限延展，使异地分支机构同步办公、移动用 户安全接入企业网络已经变成现实。同时，v p n 高性价比的特点正使得v p n 技术应用方兴未艾。 1 3 安全网关研究现状 安全网关能够提供高强度的网络安全性能，具备适应高速网络发展的需求 等特点，它已经成为网络信息安全领域中的一项关键技术。 集成了v p n 技术的安全网关产品具备了一定的防攻击功能，并以a s i c ( 专 用芯片) 为技术实现基础，从而大大提高了安全网关的吞吐能力，适应了用户局 域网环境从十兆( 1 0m b p s ) 甸百兆( 1 0 0m b p s ) j 丑速升级，千兆( 1g b p s ) 需求开始形 成规模的市场发展态势。随着技术的不断发展和成熟，各类安全产品与技术的 逐渐融合，v p n 安全网关产品最终将向功能模块化，多功能一体化、集成化的 方向发展，并不断提高产品自身的性能。 西北工业大学硕士学位论文 第一章绪论 在v p n 网络技术实现上，v p n 安全网关已成为其中的核心技术，是各个 科研机构、网络技术应用公司的研发重点。然而，在v p n 技术广泛应用的今天， 国内的部分安全网关产品还依旧停留在采用通用p c 的基础上，较国外的采用 网络处理器的安全网关产品在系统性能方面还有较大的差距。基于高性能网络 处理器的安全网关系统，较基于通用p c 的安全网关系统，不仅在系统的网络 数据吞吐能力方面有很大的优势，而且在系统效率、可靠性等方面也有很大提 升。 据调查数据显示，目前市场上，v p n 网关的总体发展趋势如下： l 、集成多个安全功能的v p n 网关：v p n 网关作为一个接入设备，将会集 成多种安全功能，其作用不再仅仅是用v p n 技术将远程分支移动用户接入总 部，同时还要能够对远程分支移动用户进行安全状态评估、对远程分支移动 用户的v p n 流量进行深度报文解析、可以对混杂在正常业务流量的各种恶意流 量进行鉴别、抑制、阻止和抵御。 2 、瘦v p n 网关：随着b s 架构的流行，各种瘦客户端的v p n 解决方案将 会大行其道，瘦客户端v p n 解决方案将会更容易使用、效率更高、对网络的适 应性也将更强。 3 、高性能v p n 网关：v p n 技术的普及将对中心v p n 网关设备提出更高 的要求，要求其支持更强的加密算法、更快的加解密速度、更小的延时和更快 的吞吐量。 目前，国内现有的v p n 网关多面向金融、证券等大型客户，对于占国内企 业主体市场而购买力较弱的中小企业用户的信息安全问题尚未得到充分重视。 推出性价比高、实用性好、市场竞争力强、技术先进的v p n 网关，能够满足中 小企业日益增长的网络安全产品市场需求，为建设我国信息安全框架提供基础 产品，更好地为保障我国网络信息安全做出贡献。 本项目给出的安全网关方案就是要实现一基于嵌入式平台的v p n 网关，并 且具备性能优越、稳定性高、有很好的可扩展性、适应下一代i p v 6 网络发展需 求等一系列特点。 1 4 论文的章节安排 安全网关系统作为一个嵌入式软硬件的集合体，它的设计应从软、硬件两 方面入手建立自己的安全体系：硬件方面主要是合理地利用传统的3 2 一b i t 嵌入 式硬件基础，融合一定的硬件加速技术，加快硬件数据处理速度，整体上提高 西北工业大学硕士学位论文第一章绪论 系统性能；软件方面包括启动代码、操作系统移植、底层驱动程序的开发、i p s e c 安全协议的实现以及在现有网络协议栈的基础上，利用已有的v p n 协议实现一 个合理的安全网关体系结构。 因此，本文主要研究并实现了以下几个方面的内容： 第一章分析了当前网络安全的现状和网络安全技术的应用前景，以及安全 网关的研究现状： 第二章在描述网络信息安全的基础上，介绍了v p n 技术，并论述了i p 层安 全网关的实现缘由，重点分析了i p s e cv p n 体系结构； 第三章给出了对基于网络处理器的网关系统的实现理论及设计思想，并从 整体上给出了本系统的软硬件实现思想； 第四章主要介绍基于a r m 的嵌入式网关硬件系统的基本结构、工作原理， 同时详细描述了该硬件系统的设计过程、实现细节以及硬件系统的调试方法和 调试过程等； 第五章介绍了v x w o r k s 操作系统和t o r n a d o 集成开发环境，详细描述了启 动代码b s p 和v x w o r k s 相关驱动程序的设计思想和部分功能实现； 第六章主要介绍了v p n 功能在a r m 嵌入式平台系统上的实现，并给出了v p n 网关系统的测试方法。 第七章是对全文工作的总结和后期工作的展望。 西北工业大学硕士学位论文 第二章网络信息安全及虚拟专用网 第二章网络信息安全及虚拟专用网 2 1 网络信息安全 随着网络技术的飞速发展，i n t e m e t 正深刻地改变着人类的工作和生活方式。 同时，网络上的各种不确定因素信息或其他资源的破坏、被窃、删除或丢 失，信息的误用或篡改、信息的泄漏、服务中断等对网络的安全运行、信 息的安全传递构成了巨大的威胁。 按照信息的范围和处理方式的不同，通常将信息安全划分为三个级别。第 一级为计算机安全，第二级为网络安全，第三级为信息系统安全。哳1 计算机安全是信息安全的基础。计算机安全包括设备安全、操作系统安全、 数据库安全、场地安全、介质安全等方面。 网络安全是信息安全的核心。网络作为信息的主要收集、存储、分配、传 输、应用的载体，其安全对整个信息的安全起着至关重要甚至是决定性的作用。 网络安全的基础是需要具有安全的网络体系结构和网络通信协议的。但遗憾的 是，今天的i n t e m e t 无论是在体系结构还是通信协议，都具有各种各样的安全 漏洞，因此而带来的安全事故层出不穷。 信息系统安全是信息安全的目标。对用户而言，安全机制最好是透明的， 不需要知道其细节，甚至不需要知道共存在。用户希望的是安全、方便的信息 系统。因此，好的安全机制不仅可以为用户提供方便，更重要的是为网络信息 提供安全防护，免受各种安全威胁。 网络系统面临的各种各样的安全问题和威胁是与网络应用模式密切相关 的。目前而言，网络应用模式有以下三种： l 、开放网络：主要是指i n t e m e t 中向公众开发的各种信息系统后网址。因 为这种网络是开放的，它所面临的安全风险是拒绝服务、篡改网络传输内容及 被非法利用等。 2 、专用网络：主要是指基于i n t e m e t 互连的专用网，专用网通过防火墙与 i n t e m e t 连接，授权用户通过i n t e r a c t 访问专用网络上的信息资源。它所面临的 安全风险是假冒合法用户获取信息以及在信息传输过程中非法截获或者篡改信 息等。 3 、私用网络：主要是指与i n t e m e t 完全隔离的内部网，网络资源只向授权 6 西北工业大学硕士学位论文第二章网络信息安全及虚拟专用网 的内部网用户开放，他们只能通过内部网访问网络中的信息资源。它所面临的 安全风险是内部用户的非法授权访问，窃取和泄漏机密信息等。 对于不同的网络应用环境，应采用适当的安全措施来增强网络系统的安全 性。在现实中，依靠数字证书来实现的数字签名机制是目前最普遍的公钥密码 的应用，加密和签名技术的结合保证了网上通信的全部安全性要求，包括认证 ( a u t h e n t i c a t i o n ) 、机密( c o n f i d e n t i a l i t y ) 、完整( h a t e 鲥t y ) 和不可否认 ( n o n - r e p u d i a t i o n ) 。单纯从技术上而言，公开密钥基础设施似乎是网络安全的完 整解决方案，然而p k i 所提供的安全服务消除了匿名性和开放性，这恰恰与 i n t e m e t 的设计哲学是相悖的，而且由于p 的技术门槛比较高，在实现上又 有许多兼容性和互操作性的问题，似乎现阶段还不可能在全球性网络的范围内 统一部署p ，因此一个完全安全可信的全球性网络在短期内还不太可能。 与此同时，许多团体和企业希望能架构一个安全的专用网络，在这个专用 网络里尽量克服所有可能的安全威胁，而这个专用网络又能和i n t e m e t 进行安 全的交互通信。正是这样一种具有广泛意义的需求导致了近年来专用网络技术 的飞速发展，而且人们发展了在公用网络( 如i n t e m c t ) 上利用加密技术架构专用 网络的技术，这就是所谓的虚拟专用网络( v i r t u a lp r i v a t e n e t w o r k s ，v p n ) 。9 1 6 1 2 2 虚拟专用网 2 2 1v p n 定义 虚拟专用网利用开放的公用网络传输信息，通过隧道封装、信息加密、用 户认证和访问控制等技术实现对信息传输过程的安全保护2 4 。v p n 可使公司 和组织的分支机构，商业伙伴和远程用户等通过集团的内部网建立可信的安全 连接，并确保数据的安全传输。如图2 2 1 ： 随着网络经济的发展，多数机构、企业都有与分布于各地的分支机构或外 出人员之间建立安全连接的需求，使得传统企业网基于固定物理地点的连接方 式己难以适应。在公共网络链路上建立管道式的专用连接来联系的专用网络一 一虚拟专业网技术应运而生，它在公共网络上组建像现有企业专用网络一样的 可以提供安全性、可靠性和可管理性的连接。v p n 是利用服务提供商所提供的 公共网络来实现远程的广域连接，可以构建v p n 的公共网络包括d d n 、帧中 继、i s d n 、a t m 网络、w d m 或者以太网等各类广域网和城域网。通过v p n ， 企业可以以更低的成本连接他们的外地办事机构、合作伙伴等。 7 西北工业大学硕士学位论文 第二章网络信息安全及虚拟专用网 2 2 2v p n 分类 图2 2 1 ：v p n 应用图 根据不同的用户要求，v p n 应用范围可分为以下三类：远程访问虚拟网 ( a c c e s sv p n ) 、企业内网虚拟网( i n t r a n e tv p n ) 和企业外网虚拟网( e x t r a n e t v p n ) 。这3 种类型的v p n 分别与传统的远程访问网络、企业内部的i n t r a n e t 以及企业和相关合作伙伴的企业网所构成的企业外网( e x n a n e t ) 相对应。“射 a c c e s sv p n a c c e s sv p n ，通过一个拥有与专业网络相同策略的共享基础设施，提供对 企业内部网或外部网的远程访问。a c c e s s v p n 能使用随时随地以其所需的方式 访问企业资源。a c c e s sv p n 包括模拟、拨号、i s d n 、数字用户线路( x d s l ) 、 移动i p 和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。 i n t r a n e t ) n 利用v p n 特性可以在i n t e m e t 上组建世界范围内的i n t r a n e t v p n 。因为利用 i n t e m e t 的线路保证网络的互连性，而利用隧道、加密等v p n 特性可以保证信 息在整个i n t r a n e tv p n 上安全传输。i n t r a n e tv p n 通过一个使用专用连接的共享 基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相 同政策，包括安全、服务质量( q o s ) 、可管理型和可靠性。 e x t r a n e tv p n e x t r a n e tv p n 通过一个专用的共享基础设施，将客户、供应商、合作伙伴 和兴趣群体连接到企业内部网。企业拥有与专用网络的相同策略，包括安全、 8 西北工业大学硕士学位论文第二章网络信息安全及虚拟专用网 服务质量( q o s ) 、可管理性和可靠性。e x t m n e tv p n 结构的主要优点是能容易地 对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问 v p n 相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许 可只有一次机会连接到其合作人的网络。 2 2 3 v p n 特点和关键技术 v p n 在公共网上构建虚拟专用网，进行数据通信，需要满足通信安全的基 本要求。我们建立虚拟专用网时，必须使网络满足下述三个安全需要，这样才 是真正安全的虚拟专用网。 这些要求主要有3 个方面：身份认证、数据保密性和数据完整性。身份认 证确保数据发送方和接收方身份的正确性；数据保密性确保数据传输时外人无 法看到或获得正确数据；数据完整性确保数据在传输过程中没有被非法改动。 因此，v p n 采取了相应的保证安全的措施。目前建立v p n 时主要采用以 下4 种安全技术： l 、安全隧道技术( s e c u r et u n e l i n g ) 是v p n 的一项基本技术，主要做的工作 是将待传输的原始信息经加密、协议封装处理后再嵌套入另一种协议的数据包 中，然后送入网络中像普通数据包一样进行传输。经过处理，只有源端和宿端 用户对隧道中的嵌套信息进行解释和处理，而对于其它用户而言只是无意义的 信息，这里采用的是加密和信息结构变换相结合的方式，而非单纯的加密技术。 2 、密钥管理技术( k e ym a n a g e m e n t ) 主要用于在公用数据网上安全地传输密 钥。现行密钥管理技术又分为s k i p 与i s a k m p o a k l e y 两种。s k i p 主要 是利用d i f i l e h e l l m a n 算法在网络上传输密钥。在i s a k m p 中，双方都有两 把密钥，即有各自的公钥和私钥。 3 、访问控制技术( a c c e s sc o n t r 0 1 ) 是由v p n 服务的提供者与最终网络信息 资源的提供者根据基于用户的访问策略共同协商确认特定用户对特定资源的访 问权限，实现对信息资源的最大限度保护。 4 、用户身份认证技术( u s e ra u t h e n t i c a t i o n ) 是在正式的隧道连接开始前进行 用户身份确认，以便系统进一步实施相应的资源访问控制和用户授权。其中用 户身份认证技术是相对比较成熟的一类技术。 9 西北工业大学硕士学位论文 第二章网络信息安全及虚拟专用网 2 2 4v p n 主要安全协议 随着i n t e m e t 的日渐普及，人们开始尝试在i n t e r n e t 上架构自己的专用网络。 但是i n t e r a c t 本身是开放式的，连接到网络上的用户都可以接收网络上的数据， 安全性比较脆弱，因此首先要解决的问题就是网络安全问题。而保障网络安全 的最核心技术是网络数据的载体网络协议( 安全机制) 。以下分析了网络上 应用的主要安全协议。 点对点隧道协议( p 肿) p p t p ( p o i n t - t o - p o i n tt u n n e l i n gp r o t o c 0 1 ) 即点到点隧道协议，是由m i c r o s o f t 公司开发并绑定在操作系统中，因此在微软的服务器操作系统占有很大的市场 份额。p p t p 协议是点对点协议( p o i n t - t o p o i n tp r o t o c o l ，p p p ) 的扩展，定义了一 种p p p 分组的运载方法。它通过使用扩展的g r e 封装，将p p p 分组在i p 网 上进行传输。p p t p 逻辑上延伸了p p p 会话，从而形成了虚拟的远程拨号连接。 因为它工作在o s i 网络体系结构的第二层，所以由它实现的v p n 有许多缺点， 如：没有鉴别机制、没有完整性保护、没有机密性保护，采用固化的消息格式 不易扩展，缺乏移植性等。因此p p t p 正逐渐地被更灵活的、更完善的隧道协 议所代替。 第二层转发协议( l 2 f ) l 2 f ( l a y e r2f o r w a r d i n g ) 是由c i s c o 公司提出的可以在多种媒介( 如 a t m 、帧中继、i p 网) 上建立多协议的安全v p n 通信方式。作为一种传输协 议，l 2 f 支持拨号接入服务器，将拨号数据流封装在p p p 帧内通过广域网链路 传送到l 2 f 服务器( 路由器) 。l 2 f 服务器把数据包解包之后重新注入网络。即 远端用户能够采用拨号方式接入公共m 网络。在这种情况下隧道的配置、建 立对用户是安全透明的。 第二层隧道协议( l 2 t p ) l 2 t p ( l a y e r2 t u n n e lp r o t o c 0 1 ) 是一种第二层的隧道协议，它的前身是 m i c r o s o f t 公司的点到点隧道协议( p p t p ) 和c i s c o 公司的第二层转发协议( l 2 f ) 。 l 2 t p 结合了它们优点，同时消除了在这两种相互竞争的隧道协议之间存在的 不相容的冲突，并已成为事实上的工业标准。但是l 2 t p 也有一些安全性问题： 仅对隧道终端实体进行身份验证，无法抵抗地址欺骗；本身不提供加密手段， 当数据要保密时依赖其它技术的支持；不对每个数据报进行完整性校验，可能 遭受拒绝服务攻击等。 1 0 西北工业大学硕士学位论文第二章网络信息安全及虚拟专用网 通用路由封装( g r e ) o r e 主要用于源路由和终路由之间所形成的隧道。g r e 隧道由其源m 地 址和目的i p 地址来定义。它允许用户使用i p 去封装i p 、i p x 、a p p l e t a l k 并 支持全部的路由协议，如r i p 、o s p f 、i g r p 等。g r e 隧道技术是用在路由器 中的，可以满足e x t r a n e t v p n 以及i n t r a n e t v p n 的需求，但是在远程访问v p n 中，多数用户采用拨号上网。这时可以通过l 2 t p 和p p t p 来解决。由于g r e 只 提供了数据包的封装，它没有加密功能来防止网络侦听和攻击，所以在实际环 境中它常和i p s e e 在一起使用。 i p 层安全协议( i p s e e ) i p s e c 不是单个的安全协议，它提供的是安全算法以及常用结构的集合。 其中结构允许一对通讯实体使用任何一种安全算法用以提供通讯安全保证。它 给出了应用于i p 层上的网络数据安全的一整套体系结构，包括封装安全载荷 e s p ( e n c a p u l a t i n gs e c u r i t yp a y l o a d ，e s p ) 、验证头a h ( a u t h e n t i c a t i o nh e a d e r ， a h ) 、密钥管理协议i k e ( i n t e m e tk e ye x c h a n g e ，i k e ) 和用于网络验证及加密的 一些算法等。 i p s e c 可有效保护i p 数据报的安全，所采取的具体保护形式包括：数据源 验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。i p s e e 规定了如何在对等层之间选择安全协议、确定安全算法和进行密钥交换，从而 保证数据包在i n t e r a c t 网上传输时的专用性、完整性和真实性。但i p s e c 隧道 协议只支持使用i p 协议的目标网络。 传输层安全协议s s l 安全套接层协议层( s e c u r es o c k e t sl a y e r ，s s l ) 是n e t s c a p e 公司提出的基于 w e b 应用的安全协议。s s l 是一种在w e b 服务协议( h t t p ) 和t c p i p 之间提供 数据连接安全性的协议。s s l 为t c p f l p 连接提供数据加解密、服务器身份认证 和消息完整性验证。 s s l 包含握手过程和数据传输两个阶段。在握手阶段，双方交换证书( 如果 需要的话) ，产生会话密钥并议定加密算法。在握手阶段后，双方可以安全的通 信，而上层应用不需要再关心安全细节。在数据传输阶段，客户端和服务器都 用私钥来加解密传输数据。 s s l 是一个端到端的协议，因此是在一个通信路径的两个端点上实现，最 典型的情况是客户端和服务器模式。s s l 不能在通信路径的中间机器上实现， 因此也就不能在路由器和防火墙上实现。虽然理论上s s l 可以被用来保护所 有的t c p i p 应用数据，现实中它几乎只用于h t t p 协议数据的保护。 西北工业大学硕士学位论文 第二章网络信息安全及虚拟专用网 2 3i p 层v p n 安全网关实现缘由 网络( i p ) 层在互联网协议层次中处于核心地位。在i n t e m e t 中该层一般使用 i p 协议，它的下层依次是是数据链路层、媒体访问层和物理层，它的上层是传 输层，因此i p 层是承上启下使用同一协议的核心层。如果在i p 层对上层数据 提供足够的安全性，则上层的应用就不用再关心安全性的技术实现。i e t f 提出 的i p s e c 协议针对的是就是i p 层数据的安全性。i p s e e 为保障网络层安全，提 供了一个开放的框架。它可以支持现在所有的加解密、认证算法，如果使用用 户自身开发的加解密、认证算法，i p s e c 也可以支持。 自上世纪末以来，i p s e c 技术已趋于成熟，国内外对i p s e c 的应用已经进入 测试、产品阶段，具体表现如下： l ，在软件方面，各种操作系统，如l i n u x 、u n i x 和w i n d o w s 系列，都实 现了对i p s e c 的支持；并且，f r e e s w a n 、i p s e c - - t o o l s 等各种自由软件都实现了 i p s e c 功能。 2 、在硬件方面，c i s c o 、a l c a t e l 、华为等公司的v p n 产品都已经支持i p s e e ， 并且在i p s e c 协议的实现及其通信上具备良好的互操作性。 3 、在实现一个安全网络时，有许多安全技术都需要有良好的可扩展性，为 此一个好的v p n 网关的设计应该充分考虑其安全需求的可扩展性，尤其是认 证机制的可扩展性。当前的认证技术中，基于公钥密码学的数字证书以及管理 数字证书整个生命周期的公开密钥基础设施f p k i ) 有着极好的可扩展性。而 i p s e c 协议可以支持基于数字证书的认证，因此在v p n 网关上实现i p s c c 协议 将可以和p k i 良好的协同工作。 4 、p s e c 协议作为i p v 4 的可选协议和i p v 6 的必选协议，本身提供了一个 应用灵活的框架。在基于i p s e c 的安全网关设计实施过程中，我们将在实现其 网络数据安全传输功能的同时，确保应用的灵活性。 因此对于一个安全网关来说，选择i p s e c 协议实现是基于主流的技术路线， 并且良好的技术实现可以获得与其它类别或供应商的v p n 网关的良好互操作 性。 2 4i p s e c 协议体系 在使用t c p i p 协议的i n t e r n e t 协议体系结构中，i p 层处于整个协议体系 的中间点，它既能捕获所有从高层来的报文，也能捕获所有从底层来的报文 1 2 西北工业大学硕士学位论文第二章网络信息安全及虚拟专用网 在目前的普及网络环境中，可以认为在网络上传输的i p 数据包在本质上是不安 全的。任何人只需要使用些常见的黑客软件，可以轻易的伪造i p 地址，重发 旧的数据，篡改i p 数据报的内容或监测传输中的数据包内容。如果一个数据报 被截获，篡改，然后发送到目的地址，只要对希望修改的域进行修改后，重新 正确的计算i p 头的校验，通常只使用t c p i p 协议簇的接收者很可能无法发现 被修改的数据报的存在。也就是说，传统的网络服务不能保证一个i p 数据报确 实来自它声称的来源，也不能保证i p 数据报在从源地址到目的地址的传输过程 中没有被第三方篡改或者窥视。 为了给网络上传输的数据提供安全服务，i e t f 提出了基于网络层的安全协 议一一i p s e c 协议，它是一种可以确保端到端的基于i p 通讯的数据安全性的机 制。i p s e c 支持对数据加密，同时也可以保证数据的完整性。 具体来说，i p s e c 可以防止i p 地址欺骗，防止任何形式的i p 数据报篡改 和重发，并为i p 数据报提供保密性和其他的安全服务。这些安全服务可以通过 使用密码协议和安全机制的联合实现。i p s e c 能够让系统选择所需的安全协议， 选择所希望的的密码算法，同时生成为提供这些请求的服务所必须的密钥，并 将它们进行安全的传输。 i p s e c 提供的安全服务包括对网络单元的访问控制，数据源认证，用于无 连接服务的协议( 如u d p 协议) 的数据报的完整性确认，重放数据报的检测和拒 绝，使用强加解密来提供数据报的保密性和有限数据流的保密性。由于i p s e c 服务是在网络层提供的，任何上层协议，如t c p 、u d p 、i c m p 和i g m p ，或者任 何应用层协议都可以使用这些服务。本节的内容主要引用了参考文献 2 3 。 2 4 1i p s e c 的工作原理 i p s e c 的设计目的是为了给i p 层数据传输提供高质量的、可互操作的、基 于密码学的具有高度安全性的服务。i p s e c 通过使用两种通信安全协议，即： 认证头( a h ，a u t h e n t i c a t i o nh e a d e r ) 协议和安全载荷封装( e s p ，e n c a p s u l a t i o n s e c u r i t yp a y l o a d ) 协议，以及像i n t e r n e t 密钥交换( i k e ) 协议这样的密钥关联 过程和协议来达到这些目标。 a h 协议提供了数据源验证，无连接的完整性，以及一个可选的抗重放服务。 e s p 协议提供了数据保密性，有限数据流保密性，数据源认证，无连接的完整 性，以及抗重放服务。i k e 协议用于协商a h 和e s p 协议所使用的密码算法，并 将密码算法所使用的密钥放置到合适的位置。 西北工业大学硕士学位论文 第二章网络信息安全及虚拟专用网 i p s e c 所使用的协议被设计成与密码算法无关的，而算法的选择在安全策 略数据库( s p d ，s e c u r i t yp