（计算机应用技术专业论文）基于ipsec的vpn安全网关的设计与实现.pdf

上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 摘要 随着i n t e m e v i n t r a n e t 的不断发展，网络应用的不断深入，互联网已对整个人 类社会的科学、技术、经济、文化等各方面带来了极大地冲击和推动，与此同时 也带来了许多新的问题和挑战。网络安全作为网络时代进一步发展的基础和保 障，已成为各国研究的热点。 i n t e m e t 具有覆盖面广、接入方便的优点，但由于作为互联网事实上标准的 t c p i p 协议在安全设计上的先天不足。缺乏必要的安全性，限制了网上业务的 充分开展。作为最近网络安全领域的一个热点，v p n ( 虚拟专用网) 技术提出了 一种全新的解决网络层安全性问题的方案。由于v p n 能够解决数据传输的安全 问题，同时能大量地节省使用专线的开支，所以越来越多的企业开始通过使用 v p n 在i n t e m e t 上建立自己的私有企业网络，推动了电子商务、电子政务等网络 应用的发展。作者在承担国家计委某信息安全科研项目的过程中完成了v p n 技 术中的关键部件v p n 安全网关的设计与实现，目的是建立有我国自主知识产权 的安全网关产品，以保证i n t e m e t 上传递信息的安全性。 文章首先在综合分析各类v p n 实现方案的基础上，选择了当前比较流行的 基于i p s e c 的v p n 解决方案。介绍了i p s e c 有关协议框架，提出采用i p 整合方 式来实现网关的内核。然后给出了v p n 安全网关的体系结构设计，包括有关模 块介绍、数据通讯接口和加解密算法实现等。最后给出了系统的测试过程和结果 并对v p n 安全网关的今后改进和应用前景作了描述。 本文的创新点在于： l 、采用高速数字信号处理芯片d s p 来实现加解密运算以保证系统性能。 2 、在l i n u x 操作系统内核中直接修改网络层协议栈来实现i p s e c 的功能。 关键词：网络安全，虚拟专用网，i p s e c ，数字信号处理器，加密算法 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i s0 fs h a n g h a lu n i v e r s i t y a b s t r a c t t h ei n t e r n e t i n t r a n e t ，w i t hi t s r a p i dd e v e l o p m e n t 。i sh a v i n gm o r ea n dm o r e i m p a c to no u rs o c i e t y , i nt e r m so fs c i e n c e ，t e c h n o l o g y , e c o n o m ya n dc u l t u r e ，w h i c h a l s ob r i n g su ps o m en e w p r o b l e m sa n dc h a l l e n g e s b e i n gt h ep r o t e c t i o na n db a s i so f t h ei n t e m e t n e t w o r ks e c u r i t yh a sb e c o m eam a o r t o p i ci nt h ea r e a n o w a d a y s ，i n t e r n e ta l m o s tc o v e r se v e r yc o r n e ri nt h ew o r l dd u et o i t s e a s y a c c e s s h o w e v e r ，a sag u i d e l i n e ，t c p i pp r o t o c o li sl a c ko ff o c u so nn e t w o r ks e c u r i t n w h i c hr e s t r i c t sn e t w o r k sf u r t h e rd e v e l o p m e n t v p n ，v i r t u a lp r i v a t en e t w o r k ，t h e n e ws o l u t i o no fn e t w o r ks e c u r i t y , p r o v i d e saw a yt op r o t e c tn e t w o r k 1 a y e r m o r ea n d m o r ec o m p a n i e sh a v es t a r t e du s i n gt os e tu pt h e i rb u s i n e s sn e t w o r kt h r o u g hi n t e r a c t t h a tp r o m o t et h ea p p l i c a t i o no fn e t w o r ko ne b u s i n e s sb e c a u s et h ev p n p r o v i d e s p r o t e c t i o nw h i l et r a n s m i t t i n gd a t a ，w h i c hi s m u c hc h e a p e rt h a nu s i n gt h ep r i v a t e l i n e t h ea u t h o rh a sd e s i g n e da n di m p l e m e n t e dt h ek e yp a r t so fv p ni nt h ec o u r s eo f t a k i n go n t h ei n f o r m a t i o ns e c u r i t yp r o j e c tf r o mn d r c ，t oe s t a b l i s ho u ro w n p a t e n t e d n e t w o r k s e c u r i t yp r o d u c t i o n t os a f e g u a r dt h ei n f o r m a t i o nt r a n s m i t t e do nt h ei n t e m e t v p nh a sd i f i e r e n ts o l u t i o np r o j e c t s w h i c ha r ei n t r o d u c e db e l o w t h eo n et h a ti s f o c u s e do nh e r ei st h em o s tp o p u l a ro n et h a ti sb a s e do ni p s e c t l l ca r t i c l ea l s o e x p l a i n sp r o t o c o la r c h i t e c t u r e ，s u g g e s t st h a ti n t e g r a t i o no f i p s e ci n t ot h en a t i v ei pb e u s e dt os e tu pk e r n e l t h e n ，i tp r e s e n t st h es t r u c t u r ed e s i g no fv p nn e t w o r ks e c u r i t v g a t e w a y , i n c l u d i n g m o d u l e i n t r o d u c t i o n ，d a t a c o m m u n i c a t i o n i n t e r f a c e ，t h e i m p l e m e n t a t i o no fe n c r y p t i o na n dd e c r y p t i o na l g o r i t h m a tl a s t ，i tp r o v i d e st h et e s t p r o c e s sa n d r e s u l t sa n dd e s c r i b e st h e p o s s i b l ei m p r o v e m e n t a n da p p l i c a t i o n s p a r k so f t h i sp a d e ra r ea sf o l l o w s ： i ，u s i n gh i g h - s p e e dd i g i t a ls i g n a lp r o c e s s i n gc h i p st o r e a l i z e e n c r y p t i o n a n d d e c r y p t i o na l g o r i t h m t oe n s u r et h es y s t e mp e r f o r m a n c e 2 ，t h r o u g hr e c o n s t r u c t i n gl i n u xk e r n e l ，r e v i s en e t w o r k - l a y e rs t a c kd i r e c t l yi nt h e o p e r a t i o ns y s t e mt os u p p o r ti p s e c k e y w o r d s ：n e t w o r ks e c u r i t y , v i r t u a lp r i v a t e n e t w o r k ，i p s e c ，d i g i t a ls i g n a l p r o c e s s o r , e n c r y p t i o na l g o r i t h m 上海大学硕士学位论文 t h ep o s t o r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：塑堑垒日期型2 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即：学 校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学校可 以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名：葺鱼盗扛导师签名：燃日期： 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 第一章绪论 1 1 互联网与信息安全 t c p i p 协议在网际互联中的应用，导致被称为i n t e r n e t 的全球网际互联系统 的蓬勃发展，迄今为止，有超过一百万个计算机网络和超过十亿用户加入 i n t e r n e t 。i n t e m e t 被看成是美国政府提出的国家信息基础设施( n i i ) 的第一个具 体体现。截止到2 0 0 3 年1 2 月，我国互联网用户数也突破了7 9 0 0 万，网站总数 达5 0 多万个【4 i 】。具有国际化、社会化、开放化、个人化特点的i n t e r n e t 的迅速 膨胀，极大地推动了人类社会的文明进程，但人们在享受信息时代的成果时，不 得不面对日益严重的网络安全问题。 虽然t c p f i p 协议具有互联能力强、网络技术独立、支持多种应用协议等特 点，但是，由于该协议当初制定时基本没有考虑安全因素，因此协议中存在很多 安全问题。主要有：t c p i p 协议数据流采用明文传输，特别是在使用f t p 、t e l n e t 和h t t p 时，用户的帐号、口令都是以明文方式传输，因此数据信息很容易被在 线窃听、篡改和伪造：源地址欺骗( s o u r c e a d d r e s ss p o o f i n g ) ，t c p i p 协议使用 i p 地址来作为网络节点的唯一标识，而节点的i p 地址又不是完全固定的，因此 攻击者可以在一定范围内直接修改节点的i p 地址，冒充某个可信节点的i p 地址 进行攻击【3 l j ；源路由选择欺骗( s o u r c er o u t i n gs p o o f i n g ) ，i p 数据包为了测试目 的设置了一个选项，即i p s o u r c e r o u t i n g ，该选项可以直接指明到达节点的路由， 从而使攻击者可以利用这一选项进行欺骗，进行非法连接；路由信息协议攻击 ( r i p a t t a c k s ) ，r i p 协议用来在局域网中发布动态路由信息，它是为局域网中的 节点提供一致路由选择和可达性信息而设计的，但节点对收到的信息不进行真实 性检查，因此攻击者可以在网上发布错误路由信息，利用i c m p ( i n t e r n e tc o n t r o l m e s s a g e sp r o t o c 0 1 ) 的重定向信息欺骗路由器或主机，实现对网络进行攻击：鉴别 攻击( a u t h e n t i c a t i o na t t a c k s ) ，目前防火墙系统只能对i p 地址、协议端口进行鉴 别，而无法鉴别登录用户身份的有效性；t c p 序列号欺骗，由于t c p 序列号可 以预测，因此攻击者可以构造一个i p 包对网络的某个可信节点进行攻击。正是 由于t c p i p 协议本身存在的缺陷导致了i n t e m e t 的不安全。 鉴于i n t e r n e t 存在上述及其它的安全漏洞，“黑客”对网络的攻击、窃密事 件层出不穷，近年来，“黑客”攻击用户电脑程序、信息网络，使全球蒙受1 5 0 亿美元至2 0 0 亿美元的经济损失 3 6 1 。对安全问题的考虑，给认为i n t e m e t 已经完 全胜任商务活动的过高期望泼了一盆冷水，延缓或阻碍了i n t e r n e t 作为国家信息 上海大学硕士学位论文 t h ep o s t g r a d u a t e t h e s i so fs h a n g h a iu n i v e r s i t y 基础设施或全球信息基础设施应发挥的效能。目前我国投资网络建设的资金己达 数千亿，8 3 0 万家中小企业中，虽然有4 7 把业务接入互联网，但其中只有1 1 1 在进行电子交易，大多数企业只是在网上开设网页和电子邮箱。人们对敏感信息 放在网上传输心有余悸，对网络业务持观望的态度无疑是网络业务发展缓慢的重 要原因。为此人们迫切需要i n t e r n e t 有更多更好的安全机制，加速信息资源共享 体系的建设，切实消除“信息孤岛”，推动电子商务、电子政务以及其它信息服 务的发展。虚拟专用网v p n ( v i r t u a lp r i v a t en e t w o r k ) 就是基于i n t e m e t 把不同 地域、不同分支机构、海外办公室或合作伙伴的远程用户、局域网或内联网，互 联成一个可信任的安全的、经济实用的专用保密信息系统。 1 2 研究的目的和意义 本课题源自国家计委高技术产业发展项目“计算机网络信息安全系统和评测 工具的研究与开发”。其内容是：自主研究开发虚拟专用网( v p n ) 中的关键设 备并建立相应的评测工具。v p n 安全网关是其研究的重要组成部分，目的是研 制基于源代码的有限功能的专用安全v p n 操作系统及并行d s p 硬件实现的专用 v p n 安全网关，从底层保证其安全性。为国内企业用户，尤其是需要较高安全 保障的机构部门，提供安全的v p n 服务，保证公司的敏感关键数据能够安全地 借助公共网络进行交换。本项目研究的意义表现在如下几方面： 1 由于我国国土辽阔且社会经济发展不平衡，需要建立安全联网的节点在地理 上十分分散，且业务量相差悬殊，不可能完全采用专线方式远程组网。而采用虚 拟专用网v p n 则可利用公共网络如i n t e m e t 建立覆盖全国、乃至全球的信息网 络。 2 随着企业业务活动的变化，其专用信息系统往往需要动态的、灵活的远端联 结，以适应其分支机构的关闭、转移、合并、或增设，合作伙伴的变化，等等。 若采用租用专线方式远程组网，则涉及一系列电信业务的申请、交涉与更改，带 来不便。而采用虚拟专用网v p n 组网灵活，则可在很大程度上省去这些麻烦。 3 ，运行成本与信息价值的平衡是专用信息系统建设必须考虑的关键因素。对于 一般涉密信息，安全v p n 已能提供足够的安全保障。i e t f ( i n t e m e te n g i n e e r i n g t a s kf o r c e ) 等国际组织的研究表明，虚拟专用网v p n 与租用专线方式相比，可 以大幅度地节省通信费用3 0 8 0 。 4 在网络安全技术装备市场上，我们面临极为严峻的局面，国产化、自主研制 关键安全装备已迫在眉睫：市场上目前我国网络中大部分硬、软件平台依赖进口， 存在极大的安全隐患。面对严重的隐患，我们只有研究开发具有自主知识产权的 网络信息安全关键技术和安全产品，才能真正保护国家和企业的信息安全。美国 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 等国对我国出口网络产品在安全强度上有严格的法律限制，我们的关键安全装备 和技术不能、也无法依靠进口。外国公司正在我国市场上大力推销其低安全强度 的“信息安全”产品，这不仅会挤占我们的市场份额，更会带来防不胜防的虚假 安全假象。 综上所述，安全v p n 已成为计算机网络信息系统的重大发展方向之一。加 强对安全v p n 关键技术与相应产品的自主研究，对促进我国企业、金融系统或 政府部门信息系统的健康发展、保护我国的经济、政治安全具有特别重要的意义。 1 3 国内外相关技术发展的状况 1 3 1v p n 的产生 从6 0 年代末通过租用a t & t 专线2 4 0 0 波特的m o d e m s 建成世界上首条专用 网到7 0 年代中期t l 数字租用线路开始出现直至近年来基于帧中继f r 、a t m 等 建专网，专用网( p r i v m e n e t w o r k s ) 技术已经过了3 0 多年的发展【3 7 j 。通过专线 ( 如f r 或a t m 连接) 永久的保持多个站点的连接，通过c p e ( c u s t o m e r p r e m i s e s e q u i p m e n t ) 路由器或交换器连接专有设备，无疑代价和复杂度都非常可观。 i n t e m e tv p n 是专用网家族的最新发展。虚拟专用网v p n 是通过在两台计算机之 间建立一条专用连接从而达到在共享或者公共网络( 一般指的是i n t e m e t ) 上传 输私有数据的目的，即所谓的“化公为私”的这样一种技术。之所以称为虚拟网 主要是因为整个v p n 网络的任意两个节点之间的连接并没有传统专网所需的端 到端的物理链路，而是架构在公用网络服务商所提供的网络平台( 如i n t e r n e t ， a t m ，f r a m e r e l a y 等，本文主要指i n t e m e t ) 之上的逻辑网络，用户数据在逻辑 链路中传输u ”。通过采用相应的加密和认证技术来保证用户内部网络数据在公 网上安全传输，从而真正实现网络数据的专有性。这样，各个组织可以通过在 i n t e m e t 上建立私有的w a n ，来和自己的分支组织以及远程用户通信，从而进一 步拓展了业务。它的吸引人之处在于它基于分布广泛、全球化的i n t e r n e t ，并提 供了一种快速、安全、廉价的建立通信链接的办法。 v p n 技术具有如下的主要优点： 信息的安全性：虚拟专用网络采用安全隧道( s e c u r et u n n e l ) 技术向用户 提供无缝的和安全的端到端连接服务，确保信息资源的安全。 通信链路的可靠性：专线方式由于采用数据专线或固定虚拟线路 ( p e r m a n e n tv i s u a lc i r c u i t ，p v c ) ，一旦局部通信线路受到破坏，信息 系统就会瘫痪。而v p n 得益于i n t e m e t 强大的再生能力，局部通信线路 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 的破坏不影响整个信息系统的运行。 方便的扩充性：用户可以利用虚拟专用网络技术方便实现异地业务人员 的远程接入，加强与客户、合作伙伴之间的联系。 显著的成本效益：利用现有互联网络发达的网络构架组建企业内部专用 网络，从而节省了大量的投资成本及后续的运营维护成本。 1 3 2 v p n 分类 根据技术应用环境的特点，v p n 大致包括三种典型的应用类型，即内部网 v p n ( i n t r a n e t v p n ) ，外部网v p n ( e x t r a n e t v p n ) 和远程访问v p n ( r e m o t e a c c e s s v p n ) 口。其中i n t r a n e tv p n 主要是在内部专用网络上提供虚拟子网和用户管理 认证功能；r e m o t e a c c e s sv p n 侧重远程用户接入访问过程中对信息资源的保护； 而e x t r a n e tv p n 则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式 中e x t r a n e t v p n 应用的功能最完善，而其他两种均可在它的基础上生成。 在公司总部和它的分支机构之间建立v p n ，称为“内部网v p n ”。内部网 v p n 是通过公共网络将一个组织的各分支机构的l a n 连接而成的网络，被称为 i n t r a n e t ，它是公司网络的扩展。当一个数据传输通道的两个端点被认为是可信 的时候，公司可以选择“内部网v p n ”解决方案，安全性主要在于加强两个v p n 服务器之间的加密和认证手段上，如图l l 所示。大量的数据经常需要通过v p n 在局域网之间传递，可以把中心数据库或其它计算资源连接起来的各个局域网看 成是内部网的一部分。这种v p n 的主要任务是保护公司的i n t r a n e t 不被外部入 侵，同时保证公司的重要数据流经i n t e m e t 时的安全性。 加密信道 v p n j 报务器 图1 1 内部网v p n 在公司与商业伙伴、顾客、供应商、投资者之间建立v p n ，称为“外部网 v p n ”。即通过i n t e m e t 连接两台分属两个互不信任的内部网络主机，以便解决 企业与各种合作伙伴和客户网络的协n m 作问题。因为不同公司的网络环境是不 相同的，一个可行的外部网v p n 方案应能适用于各种操作平台、协议、各种不 上海大学硕士学位论文 t h ep o s t g r a d u a t e r h e s i so fs h a n g h a iu n i v e r s i t y 同的认证方案及加密算法。外部网v p n 的主要目标是保证数据在传输过程中不 被修改，保护网络资源不受外部威胁。安全的外部网v p n 要求公司在同它的顾 客、合作伙伴及在外地的雇员之间经i n t e m e t 建立端到端的连接时，必须通过v p n 服务器才能进行。外部网v p n 应是个由加密、认证和访问控制功能组成的集 成系统。通常公司将v p n 代理服务器放在一个不能穿透的防火墙隔离层之后， 防火墙阻止所有来历不明的信息传输，如图1 2 所示。 所有经过过滤后的数据通过唯一一个入口传到v p n 服务器，v p n 服务器再 根据安全策略来进一步过滤。v p n 可以建立在网络协议的上层，如应用层；也 可建立在较低的层次，如网络层。外部网v p n 应能根据尽可能多的参数来控制 对网络资源的访问，参数包括源地址、目的地址、应用程序的用途、所用的加密 和认证类型、个人身份、工作组、子网等。管理员应能对个人用户进行身份认证， 而不仅仅根据i p 地址。 图1 2 外部网v p n 在公司总部和远地雇员或旅行中的雇员之间建立v p n ，称为“远程访问 v p n ”。如果一个用户无论是在家里还是在旅途之中，他想同公司的内部网建立 一个安全连接，可以用“远程访问v p n ”来实现，如图1 3 所示。典型的远程访 问v p n 是通过本地的信息服务提供商( i s p ) 登录到i n t e r n e t 上，并在办公室和 公司内部网之间建立一条加密信道。远程访问v p n 的客户端应尽量简单，即当 客户只需安装v p n 软件就能建立一个安全通信信道。在服务器端，因为要监视 大量用户，有时需要增加或删除用户，这样可能造成混乱，并带来安全风险，因 此服务器应集中并且易于管理。要考虑的是所有端到端的数据都要加密，并且只 有特定的接收者爿能解密。这种v p n 要对个人用户的身份进行认证，而不仅认 证i p 地址，这样公司就会知道哪个用户欲访问公司的网络，认证后决定是否允 许用户对网络资源的访问。每个人的访问权限表由网络管理员制定，并且要符合 公司的安全策略。有较高安全度的远程访问v p n 应能截取到特定主机的信息流， 有加密、身份验证、过滤等功能。 上海大学硕士学位论文 t h ep o s t g r a d u a r et h e s i so fs h a n g h a lu n i v e r s i t y 图l 一3 远程访问v p n 1 3 3v p n 相关的隧道协议 移动用户 在构造v p n 网络时，牵涉到的关键技术包括安全隧道技术、用户认证技术 和访问控制技术等，其中核心是采用隧道技术，将待传输的原始信息经过加密和 协议封装处理后再嵌套装入另一种协议的数据包，象普通数据包一样进行传输， 只有建立隧道的端点才能理解数据的封装，而对网络中的其它用户则没有意义。 因此隧道实质上是一种封装，将一种协议( 协议x ) 封装在另一种协议( 协议y ) 中传输，从而实现协议x 对公共网络的透明性。这里，协议x 称为被封装协议， 协议y 称为封装协议，封装时，一般还要加上特定的隧道控制信息，因此隧道 协议的一般封装形式为( 协议y ( 隧道头( 协议x ) ) ) 。目前常用的隧道技术如 下： 第二层隧道协议l 2 t p ( l a y e r t w o t u n n e l i n gp r o t o c 0 1 ) 1 9 9 6 年，m i c r o s o f t 和a s c e n d 等在点到点协议p p p ( p o i n t t o p o i n t p r o t o c 0 1 ) 协议的基础上开发了点到点隧道协议p p t p ( p o i n t t o p o i n t t u n n e l i n g p r o t o c 0 1 ) ，它 集成于w i n d o w sn ts e r v e r 4 0 中，w i n d o w sn tw o r k s t a t i o n 和w i n d o w s9 x 也提 供相应的客户端软件。p p p 支持多种网络协议，可把i p 、i p x 、a p p l e t a l k 或 n e t b e u i 的数据包封装在p p p 包中，再将整个报文封装在p p t p 隧道协议包中， 最后，再嵌入i p 报文或帧中继或a t m 中进行传输。p p t p 提供流量控制，减少 拥塞的可能性，避免由包丢弃而引发包重传的数量。1 9 9 6 年，c i s c o 提出层2 发 送l 2 f ( l a y e r 2f o r w a r d i n g ) 隧道协议，它也支持多协议，但其主要用于c i s c o 的路由器和拨号访问服务器。1 9 9 7 年底，m i c o r o s o f t 和c i s c o 公司把p p t p 协议 和l 2 f 协议的优点结合在一起，形成了l 2 t p 协议。l 2 t p 支持多协议，利用公 共网络封装p p p 帧，可以实现和企业原有非i p 网的兼容。还继承了p p t p 的流 量控制，支持m p ( m u l t i l i n kp r o t o c 0 1 ) ，把多个物理通道捆绑为单一逻辑信道。 l 2 t p 使用p p p 可靠性发送( r f c l 6 6 3 ) 实现数据包的可靠发送。l 2 t p 隧道在 6 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 两端的v p n 服务器之间采用口令握手协议c h a p 来验证对方的身份。 优点：p p t p l 2 t p 对用微软操作系统的用户来说很方便，因为微软已把它作 为路由软件的一部分。p p t p l 2 t p 支持其他网络协议，如n o v e l l 的i p x 、n e t b e u i 和a d p l et a l k 协议，使企业在非i p 网络和应用上的投资不至于浪费。采用l 2 t p 后，l n s ( l 2 t p 网络服务器) 可以位于企业防火墙后面，可以为企业网远程拨 号用户分配企业网内部i p 地址，通过对p p p 帧进行封装，用户数据包可以穿过 防火墙到达企业内部网。 缺点：p p t p 和l 2 t p 将不安全的i p 包封装在安全的i p 包内，它们用i p 帧 在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不 再需要，并不对两个节点间的信息传输进行监视或控制。也就是说l 2 t p 仅仅在 隧道建立过程中，隧道的两个终结点验证对方的身份，而在其后的数据包中没有 加密和认证信息。因此，黑客可以很容易地侦听并向隧道中插入自己伪造的数据 包，从而达到盗用隧道和欺骗用户的目的。l 2 t p 协议本身没有弥补这一漏洞的 方法，但是采用i p s e c 对1 p 包进行加密传送可以解决这一问题。 p p t p 和l 2 t p 最适合用于远程访问v p n 。 通用路由选择封装g r e ( g e n e r i cr o u t i n ge n c a p s u l a t i o n ) g r e 规定了怎样用一种网络层协议去封装另一种网络层协议的方法，现在 较常用的是i po v e ri p 、i p xo v e r i p 、a p p l e t a l ko v e ri p 。 优点：可以很方便、经济地通过g r e 封装，利用i n t e m e t 连接i p x 网络、 a p p l e t a l k 网络；通过g r e 还可以将使用保留地址的网络互联，或者对公共网隐 藏企业网内部拓扑结构。 缺点：由于g r e 只提供数据包封装而没有采取数据加密和认证措施，所以 不能防止网络侦听和攻击，无法保证数据的完整性和保密性。如果将g r e 和数 据加密技术结合使用可以提高网络的安全性。 s o c k s v 5 一高层协议 s o c k sv 5 由n e c 公司开发，是建立在t c p 层上安全协议，更容易为与特 定t c p 端口相连的应用建立特定的隧道，可协同i p s e c 、l 2 t p 、p p t p 等一起使 用。s o c k sv 5 能对连接请求进行认证和授权。s o c k sv 5 是一个需要认证的防 火墙协议。当s o c k s 同s s l ( s e c u r es o c k e tl a y e r ) 协议配合使用时，可作为建 立高度安全的虚拟专用网的基础。s o c k s 协议的优势在访问控制，因此适合用 于安全性较高的虚拟专用网。s o c k s 现在被i e t f 建议作为建立虚拟专用网的标 准，尽管还有一些其他协议，但s o c k s 协议得到了一些著名的公司如m i c r o s o f t ， n e t s c a p e ，i b m 的支持。 优点：s o c k s v 5 在o s i 模型的会话层控制数据流，它定义了非常详细的访 问控制。在网络层只能根据源和目的i p 地址允许或拒绝数据包通过，在会话层 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i s0 fs h a n g h a lu n i v e r s i t y 控制手段要更多一些。s o c k sv 5 在客户机和主机之间建立了一条虚电路，可根 据对用户的认证进行监视和访问控制。s o c k sv 5 和s s l 工作在会话层，因此能 向低层协议如i pv 4 ，i p s e c ，p p t p ，l 2 t p 一起使用。它能提供非常复杂的方法 来保证信息安全传输。用s o c k sv 5 的代理服务器可隐藏网络地址结构。如果 s o c k sv 5 同防火墙结合起来使用，数据包经一个唯一的防火墙端口( 缺省的是 1 0 8 0 ) 到代理服务器，再经代理服务器过滤发往目的计算机的数据，这样可以防 止防火墙上存在的漏洞。s o c k sv 5 能为认证、加密和密钥管理提供“插件”模 块，可让用户很自由地采用他们所需要的技术。s o c k sv 5 可根据规则过滤数据 流，包括j a v a a p p l e t 和a c t i v e x 控件。 缺点：因为s o c k sv 5 通过代理服务器来增加一层安全性，因此其性能往往 比低层协议差。尽管比网络层和传输层的方案要更安全，但要制定比低层协议更 为复杂的安全管理策略。 基于s o c k s v 5 的虚拟专用网最适合用于客户机到服务器的连接模式，适合 用于外部网v p n 。 i p 安全协议i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) 【i 州 i p s e c 是i e t f ( i n t e m e te n g i n e e rt a s kf o r c e ) 正在完善的安全标准，它把几 种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支 持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保 密性。i p s e c 由i p 认证头a h ( a u t h e n t i c a t i o nh e a d e r ) 、i p 安全载荷封载e s p ( e n c a p s u l a t e ds e c u r i t yp a y l o a d ) 和密钥管理协议组成。i p s e c 协议是一个范围广 泛、丌放的虚拟专用网安全协议。i p s e c 适应向i p v 6 迁移，它提供所有在网络层 上的数据保护，提供透明的安全通信。i p s e c 用密码技术从三个方面来保证数据 的安全。即：认证，用于对主机和端点进行身份鉴别；完整性检查，用于保证数 据在通过网络传输时没有被修改：加密，加密i p 地址和数据以保证私有性。i p s e c 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它 今后将成为虚拟专用网的主要标准。i p s e c 有扩展能力以适应未来商业的需要。 在1 9 9 7 年底，i e t f 安全工作组完成了i p s e e 的扩展，在i p s e c 协议中加上i s a k m p ( i n t e r n e ts e c u r i t ya s s o c i a t i o na n dk e y m a n a g e m e n tp r o t o c 0 1 ) 协议，其中还包括 一个密钥分配协议o a k l e y 。i s a k m p o a k l e y 支持自动建立加密信道，密钥的自 动安全分发和更新。i p s e c 也可用于连接其他层已存在的通信协议，如支持安全 电子交易s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 协议和s s l 协议。即使不用s e t 或s s l ，i p s e c 都能提供认证和加密手段以保证信息的传输。 优点：它定义了一套用于认证、保护私有性和完整性的标准协议。i p s e c 支持一系列加密算法如d e s 、三重d e s 、i d e a 。它检查传输的数据包的完整性， 以确保数据没有被修改。i p s e c 用来在多个防火墙和服务器之间提供安全性。 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y i p s e c 可确保运行在t c p i p 协议上的v p n s 之间的互操作性。随着m i c r o s o f t 公 司逐渐在其产品中对i p s e c 的支持，已经成为一种标准的安全协议。 缺点：i p s e c 在客户机朋r 务器模式下实现有一些问题，在实际应用中，需要 公钥来完成。i p s e c 需要已知范围的i p 地址或固定范围的i p 地址，因此在动态 分配i p 地址时不太适合于i p s e c 。除了t c p i p 协议外，i p s e c 不支持其他协议。 除了包过滤之外，它没有指定其他访问控制方法。 i p s e c 最适合可信的l a n 到l a n 之间的虚拟专用网，即内部网v p n 。 综上所述，i p s e c 协议把数据加密、认证、完整性检查等多种安全技术集中 在一起，可咀建立一个安全可靠的隧道，提供数据源身份认证、数据完整性、信 息保密、重放攻击保护、抗抵赖等服务，从而保证数据传输的可靠性、私有性和 保密性。i p s e c 工作在在第三层，即网络层上实现，高层安全服务只保护单一协 议，如p g p ( p r e t t yg o o dp r i v a c y ) 邮件保护；低层安全服务只保护单一媒体， 如线路加密盒。然而，i p s e c 能保护运行在i p 层之上的协议和在i p 层之下的任 何媒体。i p s e c 另外的优点是它的透明性，也就是说，安全服务的提供不需要应 用程序、其他通信层次和网络部件做任何改动，方便了用户使用。因此i p s e c 已 成为为i n t e m e t 提供安全服务的主流方法，被业界认可并愈来愈多的采用。鉴于 以上分析，本课题的v p n 安全网关采用i p s e c 协议来实现。当然i p s e c 也存在不 足，最主要的是i p 层一般对属于不同应用( 进程) 的数据包不作区别，即对所有去 往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理，也就是说， 它是面向主机的。对于某些应用环境来说，这样的安全控制粒度可能会显得过于 粗糙而导致不能提供系统所需的功能。如果要提供面向用户应用的细粒度的访 问控制策略，则需要对操作系统内核作较大的修改。 1 3 4v p n 市场现状和发展趋势 拨号v p n 市场。拨号v p n 的实现需要拨号服务器和企业网网关( 通常是企 业网与i s p 互联的路由器或防火墙) 的互通。目前，在国内拨号服务器市场中， 占有量最大的设备是a s c e n dm a x 和3 c o m t o t a lc o n t r o l 。其余还有c i s c o a s 5 x 0 0 、华为的q u i d w a ya 8 0 1 0 等。企业网的网关设备中c i s c o 路由器占有较 大优势，b a y 公司和3 c o m 公司的路由器也拥有一定的市场份额。 专线v p n 市场。目前，在专线v p n 市场上，最具代表性的产品有：北方电 讯( n o r t e l ) 的c o n t i v i t y e x t r a n e ts w i t c h 4 0 0 0 2 0 0 0 1 0 0 0 ，3 c o m 公司的p a t h b u i l d e r $ 5 0 0s e r i e s 隧道交换机，c i s c o 公司的1 7 0 0 或7 2 0 0 等系列路由器【3 0 l 。 许多产品所宣称的“支持v p n 功能”，往往是在路由器、或防火墙代理服务 器附加相应软件实现的。往往会造成网络通信的瓶颈、和安全脆弱性。另外，软 上海大学硕士学位论文 t h ep o s t g r a d u a t et h e s i so fs h a n g h a iu n i v e r s i t y 件v p n 方案往往是通过在应用层建立s s l ，或基于d c e k e r b e r o s 认证的安全中 间件，实现点到点的安全保密连接。但由于操作系统本身的安全性问题使系统安 全受到限制。最近，在国际上基于安全芯片( 如h “f n 7 7 1 l 保密处理器) 或硬件 加速卡，即专用硬件v p n 服务器解决方案，正在成为发展的方向。 综上所述，我们可以看到：现在对v p n 的研究，正处在一个高速成长的发 展阶段。基于i p s e c 的v p n 是v p n 发展的主流方向。v p n 服务器正在朝着专 用硬件化与软件实现相结合的方向发展。由于国内网络建