（计算机软件与理论专业论文）vpn子网ip冲突解决方案的设计与实现.pdf

韭塞窑逐盘堂亟堂僮i 幺室 摘翌 摘要 随着i n t e m e t 的普及，企业级网络应用的增长， n 作为网络安全解决方案的 一种，广泛应用于各种企事业单位的异地网络通信。随着v p n 的广泛应用，用户 对v p n 的需求已经从基础的实现安全的连接逐渐在向效率、可管理性、扩展性和 方便性等方面发展。而近年来，安全、快捷和灵活的特性使应用层v l ，n 技术成为 现代企业网络安全设计不可替代的解决方案之一。 本文重点讨论研究了应用层v p n 系统中v p n 子网冲突时的数据通信问题， 以及在其基础上的私有域名系统的构建问题。论文从系统支持的两种模式： l n 2 u 蝌模式以及p 2 u 蝌模式进行具体讨论，对设计中遇到的难点进行一一分 析，提出相应的解决方案，包括虚拟网卡技术、隧道封包技术、路由技术、数据 包校验和增量更新技术以及域名动态更新技术等，论文还对整个系统的框架及子 模块进行了设计并实现，使其能支持子网冲突的数据通信以及私有域名系统，包 括中心服务器、网关服务器、远程接入端以及移动端，最后构建了具体的实际应 用环境对系统进行了各个方面的测试，评测了系统的可用性及性能。 与传统n 的实现技术相比，本文实现的 n 系统解决了v p n 子网口地址 冲突时子网间无法进行数据通信的问题，同时在此基础上提出了私有域名的概念， 使子网用户、远程接入端用户以及移动端用户可以通过私有域名访问子网资源， 更符合用户的使用习惯，使得v p n 系统更灵活，使用更方便。此外，它还能够成 功穿透n a t 及防火墙，并拥有出色的传输性能和稳定性。 关键词：应用层：虚拟专用网v p n ：虚拟网卡；口地址空间免规划：私有域名系 统；校验和增量更新；域名动态更新 分类号：t p 3 9 3 0 3 j b 立窑垣去堂亟掌垃盈塞量s ! s ! 舡t h e1 1 1 t e m e tb c c o m e sm o r cp o p u i 甄a n dt h eg f o 州ho ft h cc n t c r p r i s cn e t 、v o r k a p p l i c a t i o n ，v p n ，o n eo ft h en e m o r ks e c l l f i t ys o l u t i o n s ，i sw i d e l yu s e df o rr e m o t e n e t 、v o r k m m u n j c a t i o ni nv 撕伽s m p a n i 龉a n df o f t h er e 勰o no ft h ew i d e l yu s e0 f t h ev p n ，t h er c q n i r e m e n t so ft h cu s e i s 仃a 鹏f h 丘d mt h eb 笛i cs e c i l r i t yt oe 艏c i e n c y ， m 觚a g c m e n t ，e x p a n s i b i l i t ya “c o n v e l i i c n c c 1 | tr c n iy e a r s ，l h es c c u r e ，e f c c l i v ca n d n e x i b i c 把血m a k e st h ca p p l i c a t i o nl a y c rv p n i u t i o nt ob e c o m eo n eo ft h eh o t t e s t l u t i o n so ft h ce n t e i p r i s en c 鲥c r ks e c i l r i t yd e s i 即 t h i sp a p c rc o n c 伯t f a t e s t h cs o l u t i o no ft h ed a t at 删嘲n j s s i o nw h e nt h e r cj s 妒 铷f l j 鲥册i nl h c 谳l a l l c lo fv p n s y s t e 舶，柚dt h ec d n c c p | i 彻o fm ep r j v a t ed o m a i 咖es y s 嘲皿b 鹤c do ni c t h ed i s c l i s s i o nb a s e so nt h et w om o d u l e so fl h ev p ns y s t e m ： t h em o d u l co fl n 2 l a na n dl h em o d u l co fp 2 l a n t 1 l es 0 1 u t i o ns c b c m ei sm a d e a f t e rd c t a i la i l a l y s i so ft h ed i f f i c u l t yo ft h cd c s i 舒1 r h ek c yt e c h n o l o g yi n c l u d 钵v i r t u a l n c t w o r ka d a p t e t u i l i l e le n c a p s u l a t i o i l ，r o u t i n g ，u p d a t ec h e c k s u ma i l dd y n a m i cd o m a i n n a m eu p d a t e t h ew h o l es y s t e m sf r a m e w o t ki sd e s i g n e di nd e t a i la n di r i l p l e m e n t e d i i i c l u d i n gc e n t r a ls e r v e lg a t e w a ys e r v e r r e m o t ea c c c s se n da n d m o b i l ee n d l 蠲t l 弘 l h et e s to ft h es y s t e mi sd i s c h s s e d r e a lc n v i r o n m e n ti sb u i l ta n ds i m u l a t ct h ea c l u a l e n v j r 0 咖c n t 嬲u c h 豳p o s s i b l c ，a n de a c h 勰p e c to ft h es y s t e mi st c s l c d ，i n d u d i n gt h c s e n r i c e a b i l i t y 蠲dp c r f o 姗a n c c c 0 m p a f i n gw i mt h ct n d i t i o n a lv p n ，t h c 、，p ns y s t c md i s c u s s c di n t l i i sp a p c r l v e st h ep t o b l e mo ft h cc o 唧u n i c a t i o ni nmc o l l n i d i o nb c 帆e 蛐t h e ：m c to fv p n s y s t e ma n dt h cc o n c e p t i o no ft h ep r i v a t ed o m “nn a m em a k c s t h eu s c rm o r ec o m f o n a b i e t oa c s st h er 髂o u r c c sa n dm a l 【c st h ev p ns y s t 锄t o r ef l e x i b lc b e s i d e s ，i tc a i i p 跚e r a 把n a ta n d 丘w a i l ，w i hc x 捌l c n te 舾c i e n c ya n dm o r c s t a b l e 1 y w o r d s ：a p p l i c a t i o nl a y c r ，吁v i n i l a ln e 细o r ka d a p t c r ，i pc q n n i c t j o ns o l u t i o n ， p r i v a t cd o m a i nn 锄es y s t e m ，u p d a t ec h e c k s u m ，d y n 绷i cd o m a i 丑n 锄eu p d a t c c l a s s n o ：t p 3 9 3 0 3 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 龟缝 签字日期：伽7 年，上月厶f 日 翩貔翅番 签字目期：五叼年f 2 月五f 日 韭塞室遒厶望亟土翌位迨毫独剑性直盟 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名 务庞 签字日期：沙，7 年，z ，月l ，日 致谢 本论文的工作是在我的导师韩臻教授、刘吉强副教授以及s o c k sv p n 安全 互联系统项目组负责人杨武杰老师的悉心指导下完成的，韩臻教授、刘吉强副 教授以及杨武杰老师严谨的治学态度和科学的工作方法给了我极大的帮助和影 响。在此衷心感谢三年来三位老师对我的关心和指导。 韩臻教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向韩臻老师表示衷心的谢意。 刘吉强教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 杨武杰老师在系统研发过程中提出了许多宝贵的理论研究和项目开发经验， 并直接指导了我的研究与开发工作，在此向杨老师表示衷心的感谢。 在实验室工作及撰写论文期间，刘超、李磊等同学对我论文中的系统构建与 测试研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 韭塞銮邋盘堂瑟堂鱼诠毫 胫 序 随著h l t e m e t 的普及，企业除了基本的网络互联，对于网络的安全性和配最的 方便性要求也越来越高，而虚拟专用网( r t u a lp r i v a t en e t 、】l r o r k ) 作为网络安全解决 方案的一种，也广泛应用于各种企事业单位的异地网络通信。v p n 通过对网络数 据的封包和加密传输，在一个公用网络( 通常是i i l t e m e t ) 建立一个临时的、安全的 连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。 本文讨论的v p n 安全互联系统是国家8 6 3 项目“计算机信息系统安全体系结 构研究”的成果转化，该系统也是北京交通大学安全体系结构研究中心与深圳惠 尔顿信息技术有限公司的合作项目，项目旨在研究开发国内市场尚属空白的基于 应用层实现的，n 系列产品。应用层，n 安全互联系统为现代企业提供了一整 套的网络安全设计解决方案，除了提供远程应用和网络资源的安全访问，实施细 粒度的访问控制策略，提供更高质量的传输性能外，还能降低网络配置的复杂性， 提供更符合用户访问习惯的远程应用和网络资源访问方式。 本文将对现有的v p n 技术的实现细节和不足之处做概要的叙述，然后就本文 实现的解决v p n 子网问口冲突的设计与实现展开详细讨论。并着重研究和讨论设 计中的难点以及实现中的关键技术及解决方案。最后进行实际部署应用对系统进 行性能和应用测试，得出了系统具有良好的安全控制能力和访问粒度控制，并且 不需要针对i p 地址空间冲突的网络进行重新规划配置，大大简化了当v p n 网络规 模扩充时的系统配置，并且可以提供符合用户访问习惯的域名访问方式访问资源 与应用。 丝毫銮适塞堂亟堂僮i 金室 缝逾 1 绪论 本章将介绍本项耳的相关研究背景，并概要叙述目前啊技术的相关现状， 接着介绍本文所解决的实际问题和现实意义，本章最后概要交代了论文的基本组 织情况。 1 1 研究背景 越来越多的企业认识到，随着i n t e m e t 和电子商务的蓬勃发展，经济全球化的 最佳途径是发展基于k l e m e t 的商务应用。随着商务活动的日益频繁，各企业开始 允许其生意伙俘、供应商也能够访问本企业的局域网，从而大大简化信息交流的 途径，提高信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强， 因此这样的信息交流不但带来了网络架构的复杂性，还带来了管理和安全性的问 题，因为l i l t 锄c t 是一个全球性和开放性的、基于t l ：p 驴技术的、不可管理的国 际互联网络，因此，基于b t c m e t 的商务活动就面临非善意的信息威胁和安全隐患。 另外还有一类企业，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越 多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部 门在连接分支机构方面也感到日益棘手。用户的需求正是v p n 技术诞生并迅速发 展的直接原因l lj 。 n f n u a l 蹦v a t en e 咐o r k ，虚拟专用网) ，是一条通过公用网络的安全、稳 定的隧道。通过对网络数据的封包和加密传输，在一个公用网络( 通常是因特网) 建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络 的安全级别。，n 技术的主要思想是利用公共网络基础设施建立一个临时的、安 全的连接：通过标准、公用的因特网来访问企业内部网络，将内部的敏感关键数 据能够安全地借助公共网络进行交换，实现了在防火墙伺进行加密通信，确保系 统重要数据的真实性和完整性等1 2 j 。皿t f ( i n t e m e te n 舀n c e r i n g 伽kf o r c e ，i n t e m e l 工程任务组) 草案理解基于i p 的v p n 为：“使用l p 机制仿真出一个私有的广域网” 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟， 是指用户不再需要拥有实际的长途数据线路，丽是使用i l i t e m c t 公众数据网络的长 途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网 络。 在使用价值方面，v p n 可支持远程拨号访问内部资源，使企业可以减少调制 解调器费用。另外。用户可以利用单一的w a n 接口实现多种服务，极少的w a n j e 塞銮巍太堂亟堂焦诠塞 绪j 金 接口和设备就可以满足企业提供本地高带宽线路连接，与分支机构的互连终端， 与合作伙伴的外连终端以及拨号服务提供商接入等多种应用。由于v p n 能够实现 完全管理，并且能够从中央进行基于策略的控制，因此可以大幅度地减少在安装 配置远端网络接口所需设备上的开销。根据权威的咨询机构i n f o n e t i c s 的研究报告， n 业务的开展将为企业提供节省长途专线租用成本的2 0 4 7 。节省远程拨 号费用的6 0 8 0 。在市场潜力方面，i n f o n e i i 岱最新出炉的研究报告，2 0 0 5 年 悄业务市场收入规模达到了2 3 0 亿美元，预计2 0 0 9 年该市场收入将增长2 2 ， 达到2 9 0 亿美元，具有巨大的发展潜力。另外v p n 还有以下好处：实现网络通信 安全、实现端到端的q o s ( q u a l i t yo fs e r v i c e ) 、简化网络设计、提高网络的扩 展性、支持夏多新兴应用等。v p n 技术已经成为了目前和未来企业网络发展的趋 势。 1 2 v p n 技术的发展和趋势 经过过去数十年的发展，在实际应用中提出了各种不同的v p n 的概念和实现 技术，总得来说v p n 经历了以下几个阶段的发展：点到点隧道v p n 、第二层隧道 ，n 、口s e cv p n 、s s l v p n ，直到最近凹f 建议使用s 0 c k s 协议作为建立v p n 的标准。对于点到点隧道n 和第二层隧道v p n ，针对的主要是端到端的认证和 加密，并不能解决在公网中的通信数据的传输安全；对于口s e cv p n ，它是一组协 议套件，在网络层提供了非常全面和详细的保护机制，是许多协议、标准和机制 的集合商不仅仅是一个单一的技术，因此，在实际应用中，口s e cv 】，n 的实现相对 而言是非常复杂的，并且腰s c cv l n 需要专业的服务器，且需要专业的w 系统 管理员，这些都造成了l p s e c n 的费用昂贵；s s l 协议和s o c k s 协议都是t c p 口 模型中的应用层协议，与运行在网络层的v p n 所不同的是，应用层v p n 运行在 应用层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户 远程访问实施安全策略检查。s o c k s ，n 具备远程安全访问多种应用和网络资源 的能力，支持u 烈2 l n 与p 2 l a n 两种通信模式。在远程客户机请求与应用服务 器之间扮演代理的角色，它在应用层上接收来自远程用户的连接请求，并对输入 数据进行处理，然后将数据转发给应用服务器；对予子网中各用户处于l a n 2 l 气n 模式时，利用f p 通信隧道提供对m 层以上几乎所有协议的通信支持。s o c k sv p n 可以灵活选择多种加密算法来加密远程客户机和v p n 服务器之问的传输数据，同 对可以使用多种安全策略，譬如通过轮询外部认证和策略服务器( 如a d 或l d a p ) 来验证用户身份以及授权某个具体的应用资源。s 0 c k sv p n 可靠、灵活、便捷的 特性也使得这项技术越来越引起人们的关注1 3 l 。 2 j t 峦窑通太堂亟堂鱼垃塞 绪j 金 1 3 本文工作与论文意义 论文是国家8 6 3 项目“计算机信息系统安全体系结构研究”的成果转化，论 文基于的项目是北京交通大学安全体系结构研究中心与深圳惠尔顿信息技术有限 公司的合作项目，项目旨在研究开发国内市场尚属空白的基于应用层实现的v p n 系列产品。 本文的主要工作主要表现在以下方面： 一、详细叙述了现有v p n 实现技术的细节及分类，简要介绍了隧道交换技术， 重点分析了现有v p n 技术在l a n 2 u 蝌模式下的局限； 二、针对现有的实际应用和市场需求，研究和讨论了解决部署v p n 时可能出 现的v p n 子网络口地址空间冲突的系统的详细设计和实现，在此基础上讨论私有 域名系统的设计与实现问题。在细节上，主要解决了多个子网互联下隧道的建立 以及数据通信问题、数据包的捕获与传输效率问题、虚拟口实际i p 映射关系、数 据包校验值增量更新问题、域名的动态更新实现等，并详细论述了各种接入方式 下各终端的设计与实现细节； 三、对系统进行实际部署，对性能、稳定性、抗压力性等方面进行评测。 本文研究的意义在于：在维持原有网络架构的基础上，利用将实际的地址 空间映射到一段虚拟的i p 地址空间的方法，解决了在实际应用中，不能允许出现 两个或多个口地址空间冲突的v p n 子网的问题；同时，在此基础之上，利用在网 关处架设d n s 服务器的方法，使用域名动态更新技术，解决了用户使用私有域名 访问) n 内部资源的问题。 1 4 论文组织 在论文组织上，本文将以如下章节展开讨论： 第一章介绍了论文写作背景及v p n 技术现状与发展前景，并简单介绍了本文 工作的意义，最后交待了论文的组织情况。 第二章介绍了v p n 的基础知识，介绍现有v p n 的分类以及其实现技术细节， 并讨论了其相互的优缺点，重点介绍了隧道交换技术。然后介绍了现有v p n 存在 的缺陷，最后介绍了本文实现的 n 技术，以及其与n a t 技术的对比。 第三章具体分析了实际工程项目里对 n 系统的需求，以及设计目标，同时 介绍本系统设计与实现上的工程难点与技术难点，并做出了相应的解决方案。最 后对整个系统以及各个子系统的模块设计提出了整体的设计思路。 第四章具体讨论了第三章设计的项目中n 各个模块的具体实现。同时详细 3 j t 虚变适太堂亟堂鱼论塞 缝i 幺 论述了各个模块之间的接口关系。 第五章主要讨论了实际应用环境中系统的配置，以及在其上针对系统的可用 性、系统的性能、抗压性以及稳定性进行的测试。对于可用性的测试，测试了通 信情况，以及在其上的私有域名的使用情况；在性能上，测试了使用了系统后的 传输效率情况；使用了功a d n l 肌c r 测试系统的抗压性能；使用了网上邻居组件测 试了系统的稳定性，最后针对系统的改进方案进行了讨论。 第六章对全文进行了总结，并对 n 技术的发展趋势进行了展望。 4 韭塞奎通厶堂亟堂垃论室 y 隧杰现拄苤题况 2 v p n 实现技术概况 本章将详细介绍现有v p n 的分类以及其实现技术细节，同时将它们的实现技 术进行比较，并讨论了相互的优缺点，重点介绍了隧道交换技术。在这一章里， 还介绍了本文实现的v p n 技术，以及现有v p n 所存在的缺陷。 2 1 v p n 综述 2 1 1 、，p n 的分类 在网络通信中使用的比较多的模型是0 s i 的七层参考模型，这七层参考模型 由下到上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应 用层。而豇佃网络参考模型下，则分为五层，分别是：物理层、链路层、网络 层、传输层和应用层。在过去的数十年间，提出了各种不同的 n 的概念和实现 技术，主要体现在v p n 在0 s i 参考模型不同层次上实现的差异上。一般的，由于 n 主要使用在i n l c m c t 上，根据在h l t e m e t 上使用的t c p ，i p 网络参考模型下协 议族的不同层次，可以将v p n 技术分为链路层v p n 、网络层v p n 、传输层v p n 和应用层w 。 链路层v p n 实现技术是将链路层协议封装起来进行传输，因此理论上，可支 持各种路由协议，即可在理网络中支持非i p 协议，它能够将口，口x 和a p p l e t a l k 协议封装在口包中；也可以支持多种广域网技术，如j 跗、帧中继、x 2 5 、 s d 媚咖或球网；也可以支持任意局域网技术，如以太网、令牌环和f d d l 目前使用得较多的r f c 定义的v p n 规范有：p p l 曙( p d i n t t o p o j n t i n e l i n g p r o t o c o l ，点对点隧道协议) 、l 2 f ( l a y e r1 t w of o 唧a r d i l l gp r o t o 1 ) 和l 2 t p ( l a y e r1 w o t u n n c l i n gp f o t o c o l ，第二层隧道协议) 。p p t p 协议是在m i c r o s o f t 公司为主导的p p l 下 论坛下开发定义出来的安全隧道协议，为使用电话上网的用户提供安全v p n 业务， 1 9 9 6 年成为m t f 草案。p p r p 是p p p 协议的扩展，并集成到w i n d o w s 操作系统中。 l 2 f 协议是c i s c o 公司提出的，于1 9 9 8 年提交给匝t f ，定义为r f c 2 3 4 1 。可以在 多种介质( 如a 1 m 、帧中继、i p ) 上建立多协议的安全，n 的通信方式。它将链路 层的协议( 如h d l c 、p p p 、a s y n c 等) 封装起来传送，因此网络的链路层完全独 立于用户的链路层协议。i2 1 瞪协议由a s c d 、a s c e n d 、m i 啪s o f t 、3 c o m 和b a y 等 厂商共同制订，1 9 9 9 年8 月公布了l 2 t p 的标准r f c2 6 6 1 。也t p 结合了l 2 f 和 5 韭塞窑道厶堂亟堂健论塞 y 鲢塞班兹苤援狃 p p r p 的优点，可以让用户从客户端或接入服务器端发起，n 连接。但是l 2 t p 没 有任何加密措施，更多是和口s c c 协议结合使用，提供隧道验证p j 。 链路层v p n 只能保证在，n 隧道发生端及终止端进行认证及加密，而通信 数据在公网的传输过程中并不能完全保证安全。网络层v p n 则是对i p 包的二次封 装实际应用最广泛的是i p s c c 协议。口s e c 协议是一组协议套件，包括安全协议、 密钥管理协议、安全关联以及加密认证算法等，关于它的系列标准从1 9 9 5 年问世 以来得到了广泛的支持，日朗r f 工作组中已制定的与口s e c 相关的r f c 文档有：r f c 2 1 4 、r f c 2 4 0 1 r f c 2 4 0 9 、r f c 2 4 5 1 等。i p s c c 兼容设备在网络层提供加密、验证、 授权和管理，对于用户来说是透明的，用户使用时与平常无任何区另f j 。支持的组 网方式包括：主机之间、主机与网关、网关之间的组网。口s e c 协议是目前基于密 码学的安全协议中最完善、安全性最高、适应范围最广的一套协议，可以为上层 协议提供透明的安全保证，它既可以保护端系统到端系统的安全性，还可以保证 网关到网关的安全性。i p s c c 协议在网络层提供了非常全面和详细的保护机制，是 许多协议、标准和机制的集合而不仅仅是一个单一的技术。正由于此，i p s e c 协议 变得非常庞大而且复杂。口s c c 的复杂性表现为实施和维护。四s c cv p n 不但需要 专业的i p s c cv p n 服务器，而且通常需要为每一个服务器配备i 到2 名专业的啊 系统管理员，这些因素都导致了应用皿s e c n 费用昂贵。而且，到目前为止i p s e c v 1 ) n 仍然不能很好地解决动态地址转换( n 柚的问题( 5 j | 6 j 。 由上面叙述可以了解，数据链路层及网络层v p n 在安全方面部不能做到针对 应用级别的访问控制，传输层和应用层，n 实现技术则可以在对应用资源的访问 管理粒度的控制上发挥强大的作用。之所以把这两层放在一起，是因为它们的实 现技术已经跨越传输层和应用层，由于实现技术的重点是对应用层资源的访问控 制，且绝大部分的实现细节属于应用层，因此更多的称为应用层v p n 。应用层v 】p n 运行在应用层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够 对用户远程访问实施细粒度的安全策略检查。典型的协议标准有s s l 协议和 s 0 c k sv 5 协议。s s l v p n ，是指利用s s l 协议来实现v p n 系统，保证信息在传 输过程中的机密性、完整性，并提供端到端的身份鉴别。s s l ，n 能更有效的实 施访问控制，因为系统对用户实施集中化管理，所有的远程访问都通过s s lv p n 管理机平台控管，更有效地监控用户的使用权限；能针对不同的应用制定不同的 解决方案，因为s s l 协议工作在传输层与应用层之间，所有访问被限制在应用层， 同时访问权限也能更细分到一个u r l 或一个文件。通常只要客户端系统安装了 w 如浏览器。s s l ) n 即可工作，并且不会受到安装在客户端与服务器之间的防 火墙的影响，能确保端到端的真正安全。由于s s l v p n 系统不需要复杂的客户端 支撑，易于安装和配置，明显降低成本。但是由于s s l 协议本身的缺陷，对客户 | b 瘟窑通左茔亟堂僮逾塞y 塑塞瑷拄苤援丑 端身份鉴别支持较弱，因而在电子商务等方面的应用中受到了限制，并且其只能 访问通过网络浏览器连接的资源，无法为远程访问应用提供全面的解决方案。 s o c k sv 5 协议设计为工作在o s i 模型中的第五层会话层，可作为建立高度 安全的v p n 的基础。s o c k sv 5 协议的优势在访问控制，因此适用于安全性较高 的v p n 。s o c k sv 5 现在被正t f 建议作为建立 n 的标准。s 0 c k sv 5 协议可 以实现非常详细的访问控制。在网络层只能根据源目的i p 地址允许或拒绝被通过， 在会话层则可以同低层协议如碑v 4 、礤s c c 、p p l 限、1 2 ，1 1 p 一起使用；用s o c k sv 5 的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模 块，让用户自由地采用所需要的技术。s o c k sv 5 可根据规则过滤数据流，包括 j a v a a p p l e t 和a c t i v c x 控制。但是其性能比低层次协议差，因为需要制定更复杂的 安全管理策略】。 对于，n 另外一种分类方法是按照企业的组网情况来分类，可以分为远程访 问虚拟网( a c c c s sv p 哟、企业内部虚拟网( i i l t 鹏tv p 和企业扩展虚拟网( e x 仃a n e t v p m 。这三种类型的v p n 分别与传统的远程访问网络、企业内部的h t r a n e t 以及 企业网和相关合作伙伴的企业网所构成的e x t 瑚e t 相对应1 8 1 0 a c c c s sv p n ( 远程访问v p 狮：客户端到网关，适用于企业的内部人员移动或 有远程办公需要，或者商家需要提供b 2 c 的安全访问服务。觚e s sv p n 通过一个 拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访 问。a c c e s s 、1 ，n 能使用户随时、随地以其所需的方式访问企业资源。a c c e s sv p n 包括模拟、拨号、i s d n 、数字用户线路( x d s l ) 、移动口和电缆技术，能够安全地 连接移动用户、远程工作者或分支机构。a c c e s sv p n 最适用于公司内部经常有流 动人员远程办公的情况。出差员工利用当地i s p 提供的n 服务就可以和公司 的v p n 网关建立私有的隧道连接。 i n t r 知e tv p n ( 企业内部v p n ) ：网关到网关，适用于公司两个异地机构的局域 网互连在i n t e m e t 上组建世界范围内的企业网。越来越多的企业需要在全国乃至 世界范围内建立各种办事机构、分公司、研究所等，若采用传统的网络连接方式 租用专线的话。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复 杂。费用昂贵。利用n 特性可以在i n t e m e t 上组建世界范围内的i n t r a n e tv p n 。 利用i n t e r i i e t 的线路保证网络的互联性，两利用隧道、加密等n 特性可以保证 信息在整个i i i t r a n e t 上安全传输。不仅能减少w a n 带宽的费用，能使用灵活的拓 扑结构，也能使新的站点更快、更容易地连接进整个网络。 e x t r a 北t n ( 扩展的企业内部哩d ，适用于与合作伙伴企业网构成e x t r a n e t 或b 2 b 之间的安全访问，由于不同公司的网络相互通信，所以要更多考虑设备的 互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接。e x l r 勰e t 7 毡塞窑堑厶堂硒堂位i 金塞y h 塞班越丕扭况 v p n 的优点在于：能容易地对外部网进行部署和管理，外部网的连接可以使用与 部署内部网和远端访问 n 相同的架构和协议进行部署。主要的不同是按入许可 和访问控制。 2 1 2 隧道技术 v p n 是虚拟的，因为它不是一个物理的明显存在的网络，它可以由两个不同 的物理网络之间通过隧道来建立。v p n 技术是由从最初的简单路由过滤技术发展 到利用协议封装构建隧道的技术，经历了一个由简单到复杂的过程，其安全性和 性能也在不断提高。现阶段，隧道技术是，n 实现的基本技术，它类似于点对点 的连接技术，它通过使用互联网络的基础设施在网络之间传递数据。使用隧道传 递的数据( 或负载) 可以是不同协议的数据帧或包，隧道协议将这些其它协议产生的 数据、报文重新封装在它自己的报文中在网络中传输，新的包头提供了路由信息， 从而使封装的负载数据能够通过互联网络传递，在到达目的局域网和公网的接口 处，将数据解封装，取出负载，发送到最终目的地。隧道技术是指包括数据封装、 传输和解包在内的全过程。为创建隧道，隧道的客户机和服务器双方必须使用相 同的隧道协议。隧道技术可以分别以前述的按照t c p m 5 层参考模型的各层协议 为基础( 9 j 。 对于p p t p 和讶p 这样的第二层隧道协议，创建隧道的过程类似于在双方之 问建立会话；隧道的两个端点必须同意创建隧道著协商隧道各种配置变量，如地 址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于 数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。第三层隧道技术 通常假定所有配箕问题已经通过手工过程完成。这些协议不对隧道进行维护。与 第3 层隧道协议不同，第二层隧道协议( p p l p 和l 2 t p ) 必须包括对隧道的创建，维 护和终止。 隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数 据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端 首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网 络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包 之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。 对于各层隧道技术，数据链路层v p n 配置最简单，运行效率最高但安全性较 差，提供的身份认证手段简单、单一。网络层，n 配置最复杂，支持协议广、安 全控制手段多、运行效率高，但要求相关配套协议的支持，配置、运行和维护复 杂。应用层 n 配置的复杂性介于两者之问，它比数据链路层n 更安全，应 8 j e 夏至遵厶堂亟堂焦j 金塞y 基塞毽撞苤拯蕴 用比网络层v 1 ) n 更灵活、方便，而且由于位于t c p i p 协议栈的最上层，应用层 ，n 系统中可以制定更为灵活和详细的访问控制策略，但是正是由于应用层v p n 系统构建在协议栈的最高层，带来了更多额外的网络开销，所以应用层v p n 的性 能是最低的1 1 0 1 。 2 2 现有，n 实现技术的局限 对于现有 n 的资源访问，有以下问题：v l ，n 的各个网络都是独立的，对于 内部地址的选择，通常都是使用的砒1 9 1 8 中定义的专用地址：1 0 0 o 0 1o 2 5 5 2 5 5 2 5 5 ，1 7 2 1 6 0 o 1 7 2 1 6 2 5 5 2 5 5 ，1 9 2 1 6 8 o o 1 9 2 1 6 8 2 5 5 2 5 5 。对于 企业内部各个分支结构互联的情况，由予每个机构在自己的网络上都可以分配和 使用固有的内网地址，所以必然有可能使用的口地址空间有重用的问题，即不同 的企业使用了相同的私有地址空间。地址重叠会导致网络间资源的不可访问和网 络通信的不稳定性。当地址空间重叠冲突的范围比较小时，可以进行单个资源口 的协商和重新配置，当冲突的范围比较大，尤其涉及到需要重新配置底层的网络 设备时，就需要大量的人力物力来调整。而通过统一协商的方式重新规划各子网 络的i p 地址空间则需要较大的成本以及较复杂的后续维护，并且容易造成网络通 信不稳定。另外在，n 互联的网络中，只能通过i p 进行各个网络间资源的访问， 不符合平常通过域名访问资源的习惯，并且当互联的网络规模较大，资源种类较 多时，这种访问方式的效率就显得极为低下。 2 3 v p n 与n 灯技术的比较与联系 n 缸英文全称是“n e 押o r k a d d r e 鹞t r a n s l a “o n ”，中文意思是“网络地址转换”， 它是一个t f 标准，允许一个整体机构以一个公用口地址出现在i n t e m c t 上。顾 名思义，它是一种把内部私有网络地址翻译成合法网络诤地址的技术。 简单地说，n a l 就是在局域网内部网络中使用内部地址，而当内部节点要与 外部网络进行通讯时，就在网关处，将内部地址替换成公用地址，从而在外部公 网上正常使用，n a t 可以使多台计算机共享i i l l e m e t 连接，这一功能很好地解决了 公共球地址紧缺的问题。n a t 具有的特征有： ( 1 ) 透明的地址分配，即外部地址的分配不需要用户的干预，在用户建立会话 时n 按照系统管理员的配置自动分配外部网络i p 地址，进行地址映射。 ( 2 ) 通过地址翻译实现透明路由，即用户不必知道n a r 是否存在。对用户的通 信数据包m 虹能自动地进行对用户透明的地址翻译和正确路由，已存在的应用程 9 j 塞蛮道太堂亟堂鱼论塞y 鲢塞丑蕴苤褪况 序不需要做任何修改。 ( 3 1 i c m p 错误数据包翻译。因为引发i c m p 错误消息的数据包口地址，端口 号等要作为i c m p 错误消息的载荷返回给数据包的发送者，是该数据包的发送者 能定位引起i c m p 错误消息的计算机和进程。i c m p 载荷内的l p 地址等信息是在 原始数据包经过n 衄时，被n a t 转换过的，此时的i a 订p 错误消息中的口地址 等信息重新转换，才能正确定位引起错误的计算机以及引起错误的进程l l 。 n a t 有三种类型：静态n 蛆、动态地址n a t 、网络地址端口转换n a p l 其中静态n a r 设置起来最为简单和最容易实现的一种，内部网络中的每个主 机都被永久殃射成外部网络中的某个合法的地址。而动态地址n 舡则是在外部网 络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。n j 址t 则是 把内部地址映射到外部网络的一个口地址的不同端口上。根据不同的需要，三种 n a t 方案各有利弊。 动态地址n 船只是转换i p 地址，它为每一个内部的口地址分配一个临时的 外部口地址，主要应用于拨号，对于频繁的远程联接也可以采用动态n i t 。当远 程用户联接上之后，动态地址n a t 就会分配给他一个口地址，用户断开时，这个 i p 地址就会被释放而留待以后使用。 网络地址端口转换n p t 是人们比较熟悉的一种转换方式。n a p t 普遍应用 于接入设备中，它可以将中小型的网络隐藏在个合法的i p 地址后面。n a p t 与 动态地址n a t 不同，它将内部连接映射到外部网络中的一个单独的i p 地址上，同 时在该地址上加上一个由n a ：r 设备选定的t c p 端口号。在i n t e m e t 中使用n t 时，所有不同的信息流看起来好像来源于同一个i p 地址。这个优点在小型办公室 内非常实用，通过从i s p 处申请的一个p 地址，将多个连接通过n j 心t 接入伍t e m e t 。 实际上，许多s o h o 远程访问设备支持基于p p p 的动态i p 地址。这样，i s p 甚至 不需要支持n a p t ，就可以做到多个内部碑地址共用一个外部冲地址上h l t e m e t ， 虽然这样会导致信道的一定拥塞，但考虑到节省的l s p 上网费用和易管理的特点， 用n j 世t 还是很值得的【l z j 。 n 甜与本文实现的v p n 技术相比，有以下联系和区别： ( 1 ) 功能上，都是以不同的方式代理内部局域网对外通信。使用上，v p n 使用 的是资源的私有i p 地址，而n p 盯使用的是网关的公网地址。 ( 2 ) 安全性上，v p n 能够对通信信道进行加密与压缩，并且能实现对资源的细 粒度的访问控制。 ( 3 ) 模式上，本文实现的v p n 技术支持u n 2 l a n 和p 2 u 埘模式，允许远程 终端和移动端接入，允许两个子网间进行双通道通信。而m 钮一般只支持内部 局域网主机向外的主动连接，对外部网络的主动连接使用拒绝策略。 1 0 韭塞至逼太堂亟堂焦i 幺童y 里世塞班毯苤攫蕴 ( 4 ) 效率上，本文实现的v p n 技术将口数据包以流格式对待，并进行了压缩 的处理，有效的利用了带宽。 ( 5 ) 使用上，本文实现的v p n 技术支持私有域名，更符合用户习惯上的对资源 的访问方式。 2 4 本文的v 】p n 实现技术 本文的v p n 实现技术，分为远程终端接入( p 2 模式下的实现，以及网关 对网关( i a n 2 l a n ) 模式下的实现。 远程终端接入采用的协议是s o c k s 、，5 协议，s o c k sv r 5 协议支持所有基于 应用层的通信协议，已被正t f 采纳为应用层 n 通信的标准协议。系统基本模 型是将待接入的网关作为应用层代理，各个远程终端通过i l i t e m e t 连接到网关服务 器，并发送资源请求，远程终端与网关服务器经过一系列身份认证并确定访问控 制权限后，由网关服务器建立一条数据链路连接到请求的应用资源；在数据通信 过程中，网关作为一个代理中介，在远程终端与应用服务器之间转交通信数据， 模型图示如图2 1 所示： 图2 1 代理模式示意图 网关对网关采用的应用层隧道封装技术，基本实现流程是各网关之间先通过 i n t e m e t 经过一定的身份认证流程建立起t c p 隧道连接，然后在网关上利用虚拟网 卡的技术，将目的地为其它v 1 ) n 子网段的口数掘包都路由到网关的虚拟网卡，由 虚拟网卡将口数据包交由上层模块处理，将i p 经过加密、压缩等处理后，由原i p 数掘包的目的地址，选择相应的t c p 隧道发送到相应的目的网关，再由目的网关 经过解压缩、解密后，发送到目的资源。 模型如图2 2 所示： 韭塞窑