（计算机系统结构专业论文）大冬会网络系统设计及vpn技术应用研究.pdf

哈尔滨+ v 程人7 ：硕十学位论文 摘要 虚拟专网技术是指在公共网络中建立专用网络，将数据通过安全的“加 密管道”在公共网络中传播，可以保证数据的安全传递。而且使用v p n 技术组建 网络有节省成本、提供远程访问、扩展i 生强、便于管理和实现全面控制等好处。第 2 4 届世界大学生冬季运动会将于2 0 0 9 年2 月1 8 日至2 月2 8 日在哈尔滨举行，由 于大冬会比赛场地、运动员驻地、新闻中心等场地比较分散，而且大冬会比赛比较 激烈，需要快速处理各地的信息，对数据的时效性、安全性要求很高。需要设计一 个高效、安全、稳定的网络系统。根据实际要求将大冬会网络系统设计为三层：最 内层用专线构建个竞赛专用局域网，采用d d n 专线连接，与外网完全隔绝，从 物理上保证了竞赛专网的安全，第二层用v p n 技术构建虚拟局域n ( v l ，划分 成若干逻辑子域：办公子网和查询子网，为了节约成本采用v p n 技术来架设。最 外层为互联网的大冬会官方网站。 本篇论文通过大冬会网络实际需求，分析设计大冬会网络系统，根据实际隋况 和功能需要，将大冬会网络分为三层，分别采取不同的技术来实现。分析v p n 技 术的特点，将v p n 的技术优势运用于大冬会的查询网络，保证大冬会查询网络的 安全，同时降低网络建设成本。 首先，分析v p n 技术特点和i p s e c 协议族的特点，主要包括i p s e c 协议族的两 种模式、a h 、f s p 、密钥管理、安全关联和安全策略等。 其次，根据大冬会的实际需求制定大冬会网络系统建设原则，分析大冬会网络 平台需求和技术要求，主要分析大冬会查询网络的特点和v p n 技术特点，根据需 求设计大冬会v p n 查询网络。 最后，根据v p n 的特点，结合前面的研究内容，研究v p n 技术在大冬会查询 网络的应用，选择合适的v p n 网络结构。设计大冬会的网络模块、处理模块以及 其他功能模块。在实验室环境中，配置v p n 服务器和客户端，并对v p n 网络连接 进行分析测试。 关键词：虚拟专网；隧道技术；安全策略 哈尔滨1 ：稃人学硕十学伊论文 a b s t r a c t v i r t u a lp r i v a t en e t w o r ki sak i n do ft e c h n o l o g yt h a tt h ep f i v m en e t w o r ki sb u i l ti nt h e p u b f i cn e t w o r k a n dd a t ac a nb et r a n s m i t t e di nt h ep u b l i cn e t w o r kb yt h es a f ee n c r y p t i o n p i p es a f e l yb yw h i c hd a t a c a nb ed e u v e r e ds a f e l y a n dt h e r ea l es e v e r a lb e n e f i bt of o r ma n e t w o r kb yv p n ，s u c ha sr e d u c i n gt h ec o s t , p r o v i d i n gt h el o n g - r a n g ev i s i t , s t r o n g e x p a n s i o n ，e a s ym a n a g e m e n ta n dc o m p l e t ec o n t r 0 1 t h e2 4 t hw o r l du n i v e m i t yw i n t e r g a m e si n2 0 0 9f r o mf e b r u a r y1 8t of e b r u a r y2 8w i l lb eh e l di nh a r b i n b e c a u s et h e c o m p e t i t i o nr a n g e s ，a t h l e t es t a t i o n s , t h em e d i ac e n t e ra n do t h e rr a n g e sa l eq u i t es c a t t e r e d a n dt h ec o m p e t i t i o n sa r er a t h e rf i e r c e ，i n f o r m a t i o nf r o ma l lt h ep l a c e sn e e dp r o c e s s i n ga n d t h ed a t ae f f e c t i v e n e s sa n d s e c u r i t ya r eg r e a t l yr e q u i r e d a c c o r d i n gt ot h ep r a f i c a ln e e d , t h e s y s t e mo ft h ew i n t e rg a m e sn e t w o r da r ed i v i d e di n t ot h r e el a y e r s i nt h ei n n e r , t h es p e c i a l l i n ei su s e dt os t r u c t u r eal o c a la r e an e t w o r kf o rt h ec o n t e s t , i nw h i c ht h ed d nl i n ei s c o n n e c t e da n di si s o l a t e df r o mo u t s i d en e tc o m p l e t e l y a n dt h es a f e t yo ft h ec o n t e s t s p e c i a ln e t w o r ki se n s u r e do np h y s i c s i nt h es e c o n dl a y e r , t h ev p n i su s e dt ob u 甜v i r t u a l l o c a la r e an e t w o r klo c a la n dt h en e t w o r ki sd i v i d e di n t os o m e1 0 9 i 咖s u b n e t s ：o f f i c a l b u s i n e s ss u b n e t sa n dt h ei n q u i r ys u b n e t s i no r d e rt os a v et h ec o s t , t h ev p ni sa d o p t e d t h e o u t s i d el a y e rt h eo u t e rl a y e ri si n t e m e tw i n t e r sm e e t i n gg o v e r n m e n tw e b s i t e i nt h i sp a p e r , a c c o r d i n gt ot h en e e d so ft h ew i n t e rg a m e s , t h es y s t e mo fw i n t e rg a m e s i sa n a l y z e da n d d e s i g n e d b a s e do nt h ep r a c t i c a ls i t u a t i o na n d f u n c t i o nn e e d s ，t h en e t w o r k o ft h ew i n t e rg a m e sa r ed i v i d e di n t ot h r e el a y e r sa n dd i f f e r e n tt e c h n o l o g i e sa l ea d o p t e di n d i f f e r e n tl a y e r s a n dt h ec h a r a c t e r i s t i c so fv p na l ea n a l y z e d t h e nt h ea d v a n t a g e so fv p n a l ea p p l i e di n t ot h ei n q u i r yn e t w o r ko ft h ew i n t e rg a m e s t h u s ，t h eg a m e sw i l lg oo n s m o o t h l ya n dt h ec o s ti sr e d u c e d f i r s t l y ，t h ec h a r a c t e r i s t i co fi p s e cp r o t o c o l si sa n a l y z e d , w h i c hi n c l u d e st h et w om o d e so fi p s e cp r o t o c o l ，a h ，e s p , e n c r y p t i o nm a n a g e m e n t , s a f e c o n n e c t i o na n ds e c u r i t ys t r a t e g y s e c o n d l y ，a c c o r d i n gt ot h ec h a r a c t e r i s t i co fv p n ，t h e f o l l o w i n g sa l ed o n e ：a c c o r d i n gt ot h ep r a c t i c a ln e e do ft h ew i n t e rg a m e s , t h eo r g a n i z i n g r u l e so ft h en e t w o r ks y s t e ma l ed e s i g n e d ；t h en e t w o r kp l a t f o r ma n dt e c h n o l o g yd e m a n d s 哈尔滨j ：程人7 ：硕十学何论文 | 1l u a b o u tt h ei n f o r m a t i o nm a n a g e m e n ts y s t e ma r ea n a l y z e d , w h i c ha l em a i n l yt h e c h a r a c t e r i s t i co fq u e r yn e t w o r ka n dt e c h n o l o g yd e m a n d s b a s e do nt h ed e m a n d s t h ev p n q u e r yn e t w o r ki sd e s i g n e d a c c o r d i n gt ot h ec h a r a c t e r i s t i co fv p n ，t h ea p p l i c a t i o no ft h eq u e r yn e t w o r ki s r e s e a r c h e d a n dt h es u i t a b l en e t w o r ki sc h o s e n t h ep a r to fn e t w o r k , p r o c e s s i n gp a r ta n d o t h e rr e l a t e dp a r t sa r ed e s i g n e d i nt h el a b ，t h es e r v e ra n dc l i e n to fv p ni sc o n f i g u r e d t h e n t h ev p nc o n n e c t i o ni st e s t e d k e yw o r d s ：v p n ；t u n n e lt e n c h n o l o g y ；s e c u r i t ys t r a t e g y 哈尔滨工程大学 学位论文原创l 生声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的引用已在 文中指出，并与参考文献相对应。除文中已注明引用的内容外， 本论文不包含任何其他个人或集体已经公开发表的作品成果。对 本文的研究做出重要贡献的个人和集体，均己在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 作者( 签字) ：彳勿牛压 日期： 矽。苫年月万日 哈尔滨一f ：稃人学硕十学f i 奇：论丈 第1 章绪论 1 1 课题的背景和意义 随着经济和互联网络的发展，政府、企事业单位需要快速、安全传递内 部的资料并可以运行一些内部的软件。为此，他们需要组建一个专属的网络。 其网络结构一般都是由一个总部、若干个分支机构、部分合作伙伴及多个远 程移动办公用户所组成。目前，要进行远地机构之间的互连，同时要保证数 据安全，一般的解决方式是建立专用网，如专线、帧中继、线路等。但是专 用网络的费用比较高，而且升级和扩展端点比较困难。 第2 4 届世界大学生冬季运动会是继2 0 0 8 年北京奥运会之后中国相继举 办的大型国际体育盛会，规模宏大，世界瞩目。届时将有国际大体联成员、 近5 0 多个国家、3 0 0 0 名运动员、教练员、裁判员、近千名国内外记者参会， 其规模和影响都是巨大的。 建立先进的、现代化的体育竞赛计算机网络系统，已经成为大型体育赛 会所必需，成为衡量赛会组织管理水平的重要标志之一，对赛会的进程、赛 会的形象和赛会的质量发挥着关键的作用。 哈尔滨工程大学要为第2 4 届世界大学生冬季运动会建设一个技术先进、 功能完备、安全可靠、服务优良的计算机网络信息处理系统，并为大冬会提 供全程技术支持和技术服务。 由于体育比赛紧张、激烈、不可重复，必须保证竞赛专用网络运行稳定、 安全可靠、万无一失。并做到在广域网上发送和接收信息时，在安全方面要 求做到：除了发送方和接收方外，数据不能被其他未经授权的人读取，传送 过程中不能被篡改数据，发送方需要能确信接收方身份的真实性，发送方不 能否认自己的发送数据的抗抵赖性。所以对网络的安全性要求比较高。 针对计算机网络的安全性问题，国际标准化组织i e t f 提出了 v p n ( v i r t u a lp r i v a t en e t w o r k ) 网络的相关标准和草案【。由于v p n 是在l p 层 实施了安全性，在网络协议栈中处于比较低的层次，从而在根本上解决了计 哈尔滨i 程人导：硕十学何论文 算机网络通信中面临的安全问题。 使用v p n 网络，相比专用网络和i n t e r n e t 有以下优势： ( 1 ) 可以有效降低成本：v p n 在设备的使用量及广域网络的频宽使用上， 均比专线式的架构节省，故能使网络的总成本降低。 ( 2 ) 网络扩展性：v p n 较专线式的架构更具有弹性，当有必要将网络扩充 或是变更网络架构时，v p n 可以很容易地达到目的。 ( 3 ) 良好的安全性：v p n 架构中采用了多种安全机制，如隧道、加密、认 证、防火墙及黑客入侵检测系统等技术。通过上述的各项网络安全技术，可 以确保资料在公用网络中传输时不至于被窃取，或是即使被窃取了，对方也 无法读取数据包内所传送的资料。 ( 4 ) 管理方便：v p n 使用较少的网络设备及物理线路，使网络的管理较为 轻松。分部或者远程访问用户通过互联网进入总部v p n 专业网络。认证v p n c l i e n t 为分支机构用户提供加密隧道，用户可以创建到公司网络的安全隧道。 此外，共享高度机密信息的本地用户也可以通过局域网内计算机之间的加密 隧道实现同样目的。 ( 5 ) 安全的i p 地址：因为v p n 是加密的，v p n 数据包在因特网中传输时， 因特网上的用户只看到公用的i p 地址，看不到数据包内包含的专有网络地 址。因此远程专用网络上指定的地址是受到保护的，也是安全的。 1 2 国内外研究现状 1 2 1 国际发展状况 随着计算机网络技术的不断发展，国际上各届大型运动会都将先进的网 络技术应用于比赛网络系统中。2 0 0 4 年在希腊雅典举行的第2 8 届奥林匹克 运动会是历史上最重要的运动会，在奥运会和特殊奥林匹克运动会期间为雅 典奥组委和奥运大家庭提供固定无线、移动电话、互联网接入服务、综合通 信服务、国际信号( 电视，评论，数据) 传输终点的互联互通以及国际话音服 务，尤其关键的是用于奥运会比赛成绩快速发布的网络信息系统。 2 哈尔滨t 稃大学硕十学何论文 c o r p b o i n g ow i r e l e s s 提供的服务服务包括希腊的位置查询，以在奥运会 期间满足用户比赛信息查询的需求。位于加利福尼亚的b o i n g ow i r e l e s s 的将 1 2 个希腊w i f il o c a t i o n 的漫游系统连接起来。在2 0 0 4 年雅典奥运会在网络 系统上花费的金额高达五千九百万欧元。网络技术在国际大型运动会得到充 分的运用。 1 9 9 7 年，i e t f ( t h ei t e m e te n g i n e e r i n gt a s kf o r c e 国际互联网标准制定 组这) 组织制定了v p nr f c 为# 2 1 9 4 。它综合了专业和公用网络的优点，允 许有多个站点的公司拥有一个假想的完全专有的网络，而使用公用网络作为 站点之间交流的线路。随着市场硬件和软件需求的增长，v p n 安全市场领域 呈现一种强劲增长的势头、2 0 0 3 年，v p n 服务收入为1 8 0 亿美元，而到2 0 0 8 年，v p n 服务预计达到3 0 0 亿美元。同时，围绕v p n 产品的安全市场也在 快速增长，预计将从2 0 0 3 年的3 1 亿美元增长到2 0 0 8 年7 7 0 亿美元。 1 2 2 国内发展状况 随着国力不断提高与发展，中国将承担更多的大型国际性比赛，如何将 先进的网络技术应运到比赛的服务之中，更好的为比赛服务是一个重要的问 题。中国将于2 0 0 8 年举办的奥运会、特殊奥林匹克运动会以及将于2 0 0 9 年 2 月举办的2 4 届世界大学生冬季运动会都是大型的国际性运动会。“数字奥 运”是2 0 0 8 年北京奥运会的三大主题之一，奥运会的网络建设日益引起各界 人士的关注。奥运会网络系统包括五大部分：北京奥组委管理网、运动会网、 奥运官方网站、奥运会票务网以及其他互联网接入。在比赛中，网络系统需 要连接在北京、天津、秦皇岛、沈阳、上海、青岛、香港7 个城市的超过6 0 个竞赛和非竞赛场馆，使用1 0 0 0 多台服务器、1 0 0 0 0 多台p c 机和1 0 0 0 多部 网络及安全设备。为了更好的设计和架设一个服务于奥运会的网络系统，相 关部门提前4 年开始准备，投入了大量的人力、物力以及大量的时间柬准备 奥运会网络，说明中国对先进的网络技术在大型国际运动会的运用给予了极 火的重视。 在国内，因部分用户对网络安全性的特殊要求，所以在公共信息基础平 台上发展专有网络已是大势所趋。越来越多的用户根据自己的需要建立自己 3 哈尔滨t 稃大学硕十学位论文 的v p n 专用网络。2 0 0 8 年奥运票务网系统对互联网的应用采用了数据加密 传输的保护措施，在安全方面设置了防火墙、v p n 网关和密钥管理等安全设 备，采用v p n 技术来保证网络数据的安全。随着互联网技术的不断发展， v p n 技术为用户提供高质量的专网服务，v p n 技术在未来几年内将会得到迅 猛发展。 1 3 课题的主要工作 本论文分析大冬会网络的实际需求，研究一种适合第2 4 届世界大学生冬 季运动会需求的网络设计模式和实施方案。 首先分析i p s e c 协议族的特点，主要包括i p s e c 协议族的两种模式、a l l 、 e s p 、密钥管理、安全关联和安全策略等。根据大冬会的实际情况制定大冬 会网络的需求分析，分析设计大冬会网络系统结构，根据i p s e c 协议的特点， 重点研究大冬会v p n 查询网络的设计和实现方法 通过上述研究，为第2 4 届世界大学生冬运会提供一个安全、快捷的数据 传输网络，保证大冬会的信息能够安全、快速的传递到各个节点，保证大冬 会的圆满进行。 1 4 论文的组织结构 本文的结构安排如下： 第1 章绪论。主要介绍论文研究的背景和意义、国内外研究现状、论文 的研究内容以及论文的结构安排。 第2 章对v p n 虚拟专网技术进行介绍和分析，主要包括v p n 技术的组 成和v p n 技术的解决方案。分析和研究i p 层安全协议i p s e c 进行，主要包 括i p s e c 的两种传输模式，e s p 协议、a h 协议、密钥管理、安全关联和安全 策略等。 第3 章详细的分析研究大冬会网络的需求，设计大冬会的网络平台， v p n 技术在查询网络的应用，分析设计竞赛专用网络和v p n 查询网络。 第4 章根据v p n 的特点，结合前面的研究内容，设计了大冬会的网络模 4 哈尔滨- 稃人学硕十学何论文 块、协议处理模块以及其他功能模块，配置v p n 服务器和客户端，并进行网 络通信连接测试。 最后是结论、参考文献、作者攻读硕士学位期间发表的论文与技术成果、 致谢部分。 5 哈尔滨t 程大学硕十学位论文 第2 章v p n 技术及lp s e c 协议 2 1v p n 技术概述 v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用网络) 是一门新型的网络技术，它 提供了一种可以跨越公用网络而安全地连接企事业内部专用网络的方式。 v p n 连接是使用“隧道 技术来传输介质的，这个隧道是建立在公共网络或 专用网络基础之上的，如i n t e m e t 或专用i n t r a n e t 等。因为采用了隧道、加密 等技术，所以可以有效的保证企业的信息的安全传递。它可以帮助远程用户、 分支机构、总部等内部网建立可信的安全连接，并保证数据的安全传输。同 时减少用户花费在城域网和远程网络连接上的费用。而且，不必投入大量的 人力和物力去安装和维护w a n 设备和远程访问设备，这些工作都可以托管 给i s p ，从而简化了网络的设计、管理，提高了网络的扩展性。另外，v p n 使用户具有完全控制主动权，用户可以利用i s p 的设施和服务，同时又完全 掌握着自己网络的控制权。比如说，用户可以把拨号访问交给i s p 去做，由 自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工 作从而减少用户使用工作量和费用。当然也可以自己组建管理v p n ：h 。 2 。1 。1v p n 技术组成 目前v p n 主要采用四项技术来保证传输数据安全，这四项技术分别是隧 道技术( t u n n e l i n g ) 、加解密技术( e n c r y p t i o n & d e c r y p t i o n ) 、密钥管理技术( k e y m a n a g e m e n t ) 、身份认证技术( a u t h e n t i c a t i o n p 引。 ( 1 ) 隧道技术 所谓隧道，实质上是一种协议封装技术，它利用一种新的网络传输协议， 将其他协议产生的数掘报文封装在它自己的报文中在网络中传输。隧道是通 过隧道协议在公用网络中建立点到点连接的一种方法。在隧道中传递的数据 可以是其他类型的协议所产生的数据帧或者数据包。隧道协议将这些由其他 类型的协议所产生的数据帧或者数据包重新封装，在新的数据包中提供相应 的安全校验方法以及路由信息等，在到达目标后，数据包将被解歹i ：并被发送 6 哈尔滨t 稃人学硕十学传论文 到目的主机。严格来说，隧道技术包括了数据包的封装、传输和解包校验的 全过程。 隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议 是先把各种网络协议封装到p p p 中，再把整个数据包装入隧道协议中。这种 双层封装方法形成的数据包放到第二层协议进行传输。第二层隧道协议有 l 2 f ，p p t p ，l 2 t p 等。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包 依照第三层协议进行传输。第三层隧道协议有v r p ，i p s e c 等。i p s e c 是由一 组r f c 文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服 务所使用密钥等服务，从而在i p 层提供安全保刚5 7 1 。 ( 2 ) j 3 1 ：i 解密技术 加解密技术是v p n 的另一核心技术。为了保证数据在传输过程中的安全 性，不被非法用户窃取或篡改，一般都在传输之前进行加密，接收方再对其 进行解密。密码技术是保证数据安全传输的关键技术，以密钥为标准，可将 密码系统分为单钥密码( 又称为对称密码或私钥密码) 和双钥密码( 又称为非对 称密码或公钥密码) 。单钥密码的特点是加密和解密都使用同一个密钥，因此， 单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响 的单钥密码是美国国家标准局颁布的d e s 算法6 6 比特密钥1 。而3 d e s ( 1 1 2 比特密钥) 被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥 不同，加密密钥公开，而解密密钥保密，相比单钥体制，其算法复杂且加解 密速度慢。所以现在的v p n 大都采用单钥的d e s 或3 d e s 作为加解密的主 要技术，而以公钥和单钥的混合加密体制( 即加解密采用单钥密码，而密钥传 送则采用双钥密码) 来进行网络上密钥的交换和管理，不但提高了传输速度， 还具有良好的保密功能【8 l 。 ( 3 ) 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被 窃取。现行密钥管理技术又分为s k i p 与i s a k m p 0 a k l e y 两种。s k i p 主 要是利用d i f f i e h e l l m a n 的演算法则，在网络上传输密钥；在i s a k m p 中，双 方都有两把密钥，分别用于公用、私用。 ( 4 ) 使用者与设备身份认证技术 7 哈尔滨| ：挥人学硕十学传论文 v p n 口j 。以使合法用户访问他们所需的网络资源，同时还要禁止未授权用 户的非法访问。通过用户验证、访问级别控制以及必要的访问记录等功能。 这一点对于a c c e s sv p n 和e x t r a n e tv p n 具有尤为重要的意义。 一般用户和设备双方在交换数据前，先核对证书，如果准确无误，双方 才开始交换数据。用户身份认证最常用的技术是用户名与密码方式。而设备 认证则需要依赖由c a 所颁发的电子证书。目前主要的认证方式有：简单口 令如质询握手验证协议p a p 和密码身份验证协议c h a p 等：动态口令如动态 令牌和x 5 0 9 数字证书等。简单口令认证方式的优点是实施简单、技术成熟、 互操作性好，但安全性不高，只能适用于一些基本的应用。动态口令具有很 高的安全性，互操作性好，且支持动态地加载v p n 设备，可扩展性强。 2 1 2v p n 解决方案 为了便于对v p n 管理模式的分析和论证，下面将从不同的角度对v p n 解决方案的类型做一个讨论。v p n 解决方案有多种，可以根据不同的着重点 来进行区分i 圳。 v p n 的部署模式从本质上描述了v p n 的通道是如何建立和终止的。按 的部署模式分类，一般有3 种v p n 部署模式： ( 1 ) 场点到场点模式：该模式是典型的v p n 模式。虽然在该模式中网络 设施是被动的，但是许多融合了的场点到场点模式解决方案其实是由服务商 为它们的客户集成或捆绑实现的。在场点到场点模式中。最常见的通道协议 一 是i p s e c 和p p t p 。 ( 2 ) 客户模式：通道通常在v p n 服务器或路由器中，在客户前端关闭。 在该模式中，客户不需要购买专门的通道软件，由服务商的设备来建立通道 并验证。然而，客户仍然可以通过加密数据实现端到端的全面安全性。在该 模式中，最常见的通道协议有l 2 t p 、l 2 f 等。 ( 3 ) 内部用户模式：在该模式中，服务商保持了对整个v p n 设施的控制。 在该模式中，通道的建立和终止都是在服务商的网络设施中实现的。对客户 来说，该模式的最大的优点是他们不需要做任何实现v p n 的工作。在该模式 中，客户可以获得v p n 的所有的好处( 包括安全性、减少访问成本等) 而不需 只 吖 尔滨i ：程大学硕十学付论文 1 1 1 要增加任何设备投资或软件投资，整个网络的负担都由服务商承担【i o , h l 。 按v p n 服务类型分类，有三种业务：i n t r a n e tv p n ，a c c e s sv p n 与e x t r a n e t v p n 。 ( 1 ) i n t r a n e tv p n ：即总部与分支机构间通过公网构筑的虚拟网。 r 2 ) a c c e s sv p n ：又称为拨号v p n ( 艮pv p d n ) ，是指移动办公人员或小分 支机构通过公网远程拨号的方式构筑的虚拟网。 f 3 ) e x t r a n e tv p n ：即相同业务联盟的单位通过公网来构筑的虚拟网。 按v p n 技术分类，可将v p n 技术分为两大类：o v e r l a yv p n 和m p l s v p n 。 ( 1 ) o v e r l a yv p n ：o v e r l a yv p n 要求在帧中继、a t m 或i p 网上建立隧道 或加密，这种方案是建立在点到点连接的基础上的，需要对每条隧道进行单 独的配置。 ( 2 ) m p l sv p n - m p l sv p n 使用标签来封装原始数据( 有效负载) ，以便 在场点之间建立v p n ，比较灵活，允许在v p n 场点之间采用任何网络拓扑。 连接m p l sv p n 中的场点没有使用点到点隧道，这使的m p l sv p n 的可扩 展性非常高。使用m p l sv p n 在v p n 场点之间建立安全连接性以及建立跨 越v p n 的外联网连接很容易。基于m p l s 的网络能够将数据流分开，无需 建立隧道或加密即可提供保密性，基于m p l s 的网络以网络到网络的方式提 供保密性，如同帧中继以连接到连接的方式提供保密性。 2 2i p 层安全协议i p s e c 由于i p 数据包本身并不继承任何安全特性。很容易便可伪造出包的地 址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。针对 l p 层数据包的缺陷，i e i t fi p s e c 工作组制定了i p s e c 协议。它提供了一种标 准的、健壮的以及包容广泛的机制，可用它为i p 上层协议! h ( u d p 和t c p ) 提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施 方案相互问可以交互1 1 2 】。 i p s e c 在网络层为i p 分组提供安全服务，这些服务包括访问控制、数据 完整性、身份验证、防止重放和数据机密性。i p s e c 包括两种安全协议：封 9 哈尔滨一t ：稃大学硕十学俯论文 装安全有效负载( e s p ) 科i 验证报头( a h ) 。i p s e c 为保障i p 数据包的安全，定义 了一个特殊的方法，它规定了要保护何种通信、如何保护以及通信数据发给 何人。i p s e c 可保障主机之间、网络安全网关如路由器或防火墙之间或主机 与安全网关之间的i p 数据包的安全l 。由于i p s e c 受保护的i p 数据包本身不 过是另一种形式的包，所以完全可以嵌套提供安全服务，同时在主机之间提 供像点到点的验证，并通过一个通道，将那些受保护的数据传送出去( 通道本 身也通过i p s e c 受到安全网关的保护) 【1 3 彤1 。 i p s e c 协议有很多优势： ( 1 ) 当i p s e c 在路由器或防火墙中实现时，它提供很强的安全保证，可以 应用于所有跨越网络边界的通信。 ( 2 ) i p s e c 是在i p 层实现的，低于传输层，因此对于应用程序是透明的。 当在防火墙或是路由器上实现时，没有必要在用户或者服务器系统上更改软 件。 ( 3 ) i p s e c 可以做到对最终用户透明。没有必要使用户掌握安全机制，或 者发行关键资料。i p s e c 可以为单个用户提供安全保证。 2 2 1i p s e c 传输模式 在传输模式下，在i p 报头和高层协议报头之间插入一个i p s e c 报头( a h 和e s p ) ，在这种传输模式下，i p 报头与原始i p 分组中的i p 报头相同，只是 i p 协议字段被改为e s p ( 5 0 ) 或a n ( s 1 ) ，并重新计算i p 报头和校验和。i p s e c 不会修改i p 报头的目标i p 地址，因此这种模式只能用于i p 端点和i p s e c 端 点相同的情形。 从i p s e cv p n 的角度看，这种模式需要保护的是两台主机之间，而不是 有多台主机的两个场点之i 白j 的数据流时最有用。在场点到场点模型中使用 i p s e c 传输模式面临最大的问题是，需要管理从任何主机到所有可能对等体 之间的i p s e c 保护，这非常复杂。另外，两台主机的i p 地址必须在整个i p 路由选择路径中都是可路由的。鉴于在主机之间建立i p s e c 传输模式v p n 的 复杂性，典型的v p n 使用v p n 网关将一个场点中的主机同对等体场点的主 机隔离。典型的i p s e cv p n 部署位于场点之间，每个场点都有多台主机位于 1 0 哈尔滨：i ：稃人学硕十学何论文 v p n 网关的后面，而i p s e c 隧道端点充当v p n 网关路由器。通过使用v p n 网关隔离一组i p 地址，i p s e c 传输模式可发挥有限的作用。如果在v p n 网关 之间使用通用路由封装( g r e ) i p 隧道，仍可以使用i p s e c 传输模式来建立 v p n 。传输模式的局限是，不能同时对i p s e c 对等体之间的分组进行n a t 转 换。另外，对于大多数硬件加密引擎来说，在传输模式下加密的效率比在隧 道模式下低，因为传输模式要求移动i p 报头，为e s p 或a h 准备空间1 1 6 1 。 2 2 2i p s e c 隧道模式 在隧道模式下，原始l p 分组被封装成一个新的i p 数据包，并在内部报 头和外部报头之间插入一个i p s e c 报头o 或e s p ) ，如图2 1 所示。 卜一 除可变字段外都被验证一 卜一被验证叫l i 卜被加密叫l 图2 1i p s e c 隧道模式中的i p 分组 由于这种封装包含一个外部i p 报头，因此隧道模式可被用于场点之间提 高安全服务，而场点代表了网关路由器后面的i p 节点。另外这种模式也可用 于远稗办公人员通过终端主机连接到站点中的i p s e c 网关1 1 7 ，1 8 1 。 2 3e s p 协议 r f c 2 4 0 6 定义了最新的e s p ( 封装安全有效负载) 协议。以便为i p 数据包 提供机密性、数据源验证、抗重播以及数据完整性等安全服务。e s p 可在不 同的模式下使用。在这些模式中，它需要插入i p 头与上层协议头( 比如u d p 或t c p 头之间) ，或者用它封装整个i p 数据报1 1 9 l 。 哈尔滨t 程大学硕十学何论文 e s p 用一个加密引擎提供机密性，数据完整性则由数据验证引擎提供。 加密引擎和数据验证引擎两者采用的专用算法是在确定e s p 安全关联时确定 的。e s p 选择性地提供抗重播服务。是否提供抗重播服务是由数据包的接收 者来决定的。 2 3 1e s p 协议格式 在i p v 4 中，e s p 头紧跟在i p 头之后。这个i p 头的协议字段是5 0 ，以 表明i p 头之后是一个e s p 头。在l p v 6 中，e s p 头的放置与扩展头是否存在 有关。e s p 头在扩展头( 它可改变源到目标主机之间的路由) 之后。其中包括 逐跳跃、路由选择和分段头。 e s p 头应插在目的地选项头之前，希望它能对这些目标选项进行保护。 如果扩展头存在，它的下一个头字段就会立即出现在设为5 0 的e s p 头之前。 如果扩展头不存在，i p v 6 头中的下一个头字段就会被设成5 0 。 e s p 头中包含的安全参数索弓i ( s p i ) 是一个3 2 位的值，它i p 头中的目标 地址以及协议字段结合在一起，用来标识特定的用于处理数据包的安全关联 | 2 0 lo 序列号是由发送端插在e s p 头的一个号码，它是一个唯一的单调递增数 字。序列号和接收滑动窗口一起提供了抗重播攻击的能力，这种抗重播机制 是e s p 和a h 通用的。 s p i 、序列号字段和初始化向量可以看作是e s p 头，其后的要保护的数 据、填充数据、填充长度、下一个头和验证数据可以看作是e s p 的载荷。e s p 头和尾部格式。 初始化向量字段是在某些密码算法中用到的，如在密码算法的c b c 模式 中，需要用到初始化向量字段以保证算法的强度。对于不同的密码算法，其 初始化向量字段的长度也不尽相同，如在3 d e s c b c 中，其初始化向量的长 度为6 4 比特，而在6 4 位a e c c b c 中，其初始化向量的长度为1 2 8 比特。 填充数据用于在e s p 协议中保证数据边界的正确性。某些加密算法模式 要求密码的输入是其块大小的一倍，填充项就是用来完成这一任务的，在达 不到一块数据长度时补足。填充长度字段定义添加了多少填充数据，接收端 1 2 哈尔滨t 程大学硕十学位论文 町以以此恢复载荷数据的真实长度。用e s p 保护的i p 分组如图2 2 所示。 图2 2 用e s p 保护的i p 分组 下一个头字段表明数据类型，这一数据包含在载荷数据字段内。如果在 隧道模式下使用e s p ，这个值为4 ，表示i p i n i p 。如果在传送模式下使用， 这个值表示的是上一级协议的类型，比如t c p 协议对应的就是6 。 验证数据字段用于容纳数据完整性的校验结果。由于验证总是在加密后 进行的，因此收到分组后先检查数据的有效性，然后解密。 2 3 2e s p 协议模式 e s p 头可选用两种方式中的一种来应用于i p 数据包传输模式或隧道模 式。其间的差别决定了e s p 协议保护的真正对象是什么。 在传输模式中，e s p 头插在头和载荷之间。如图2 3 所示。 卜一验证叫 i 一加密一 图2 3e s p 传输模式保护的i p 分组 1 3 哈尔滨r 释大学硕十学位论文 隧道模式下，整个受保护的i p 数据包都封装在一个e s p 头中，还增加 了一个新的i p 头。如图2 4 所示。 卜一 i e 叫 i 卜加密一i 图2 4e s p 隧道模式保护的i p 分组 2 4a h 协议 r f c 2 4 0 2 定义了最新版本的a h 协议( 验证报头协议) 。用于为提供数据 完整性、数据原始身份验证和一些可选的、有限的抗重播服务。除了机密性 之外，a h 提供能够提供e s p 的一切服务。需要注意的是，a h 不对受保护 的i p 数据报的任何部分进行加型2 1j 。 由于a h 不提供机密性保证，所以它不需要加密算法的支持，只需要验 证算法的支持。a h 定义了保护方法、头的位置、数据验证的覆盖范围以及 输出和输入处理规则，但没有对所用的验证算法进行定义。像e s p 协议一样， a h 没有硬性规定抗重播保护。使用抗重播服务由接收端自行处理，发送端 无法得知接收端是否会检查其序列号。结果是，发送端必须一直认定接收端 正在采用抗重播服务。 a h 可用通过使用传输模式来保护一个上层协议数据包或通过使用隧道 模式保护一个完整的数据报，这一点同i p 协议类似。 2 4 1a h 协议格式 a h 是另一个i p 协议，它分配到协议号是5 1 。这意味着a h 保护的一个 i p v 4 数据报的协议字段将是5 1 ，同时表明i p 头之后是一个a h 头。在l p v 6 的情况下，下一个头字段的值由扩展头的存在来决定。如果没有扩展头，头 中的下一个a h 头字段将是5 1 。如果a h 头之前有扩展头，紧靠在a h 头前 1 4 哈尔演f i 程大学硕十学位论文 面的扩展头中的下一个头字段就会被设成5 l 。由于a h 协议没有提供机密性。 所以不需要额外填充数据，不需要填充长度指示器，因此也不存在尾部。另 外，a h 协议也不需要一个初始化向量。 下一个a h 头字段表示头之后是什么。在传输模式下，将是处于保护中 的上层协议的值，比如u d p 或t c p 协议的值。在隧道模式下，值是4 ，表 示l p i n i p ( i p v 4 ) 封装或i p v 6 封装的这个值4 1 。 在l p v 6 协议中，a h 头是i p v 6 一个扩展头，它的载荷长度字段是从6 4 位字表示的头长度中减去一个6 4 位字。在i p v 4 协议中，a h 采用3 2 位字来 计算，因此，减去两个3 2 位字( 或一个6 4 位字) 。 s p i 字段中包含s p i ，和外部i p 头的目的地址一起，用于识别对这个包 进行数据验证的安全联盟。 序列号是一个单向递增的计算器，等同于e s p 协议中使用的序列号。 验证数据字段是一个可变长度的字段，其中包括完整性校检的结果；a h 协议定义了两个强制实现的数据验证算法h