（计算机应用技术专业论文）综合应用l2tp和ipsec方法研究.pdf

两北i ：业人学硕士学位论文 摘要 摘要 随着信息技术的发展和i n t e r a c t 的广泛应用，i n t e m e t 的安全性问题越来越重 要。企业租用专线进行数据传输，固然可以保证安全性，但费用昂贵。虚拟专用 网v p n ( v i r t u a lp r i v a t en e t w o r k ) 技术是解决安全与费用矛盾，实现安全传输的重 要手段。 目前研究的v p n 中，l 2 t p 和i p s e c 应用最为广泛。l 2 t p 支持多种传输协 议和远程访问，但安全性不强。i p s e c 能够提供较强的i p 层安全机制，但是对多 协议封装等功能的支持存在不足。因此，对两者的综合使用，能够取长补短，构 建一个既支持多协议封装，又提供认证和加密功能的v p n 。 本文通过分析l 2 t p 和i p s e c 的开放源码实现软件包l 2 t p d 和i s a k m p d 的源代码，总结出他们的实现原理，并在u n i x 环境下分别配置这两个软件使之 运行。通过修改l 2 t p d 和i s a k m p d 软件包的实现代码，本文实现了对i p s e c 和l 2 t p 的综合使用，从而提供了一个能够更好的满足用户需要的v p n 。在综合 使用i p s e c 和l 2 t p 的基础上，本文提出了多安全连接技术，并通过实验进行了 测试和验证。分析了多安全连接技术在容错和负载均衡等方面的应用思路，并给 出了设计方案。此外，本文还实现了基于v l a n 的v p n 技术。最后，本文对综 合使用l 2 t p 和i p s e c 后的v p n 系统进行了测试分析了实验结果，并对本课 题的研究工作做了总结。 关键词：i p s e c ，l 2 t p ，多安全连接，v l a n 西北l 业大学硕士学盘沦文摘要 a b s t r a c t w i t ht h ed e v e l o p i n go fi n f o r m a t i o nt e c h n o l o g ya n dt h ee x p a n d i n go fi n t e r n e t a p p l i c a t i o n ，s e c u l i t yo fi n t e m e tb e c o m e sm o r ea n dm o r ei m p o r t m a n t f o re n t e r p r i s e s ， p h y s i c a lp r i v a t en e t w o r ki ss e c u r e ，b u ti ti se x p e n s i v e t h et e c h n o l o g yo fv i r t u a l p r i v a t en e t w o r k ( v p n ) i st h em a j o rw a yt os o l v et h ec o n t r a d i c t i o no fs e c u r i t ya n d e x p e n d i t u r e l 2 t pa n di p s e ca r em o s te x t e n s i v ev p n l 2 t pc a r ls u p p o r tr e m o t e - v i s i t i n ga n d m a n yt r a n s m i f i n g - p r o t o c o l s ，b u ti t ss e c u r i t yi sn o te n o u g h i p s e cc a ns u p p o r ts e c u r i t y o ni pl a y e lb u ti ss h o r to fm a n yt r a n s m i t i n g - p r o t o c o l s t h e r e f o r e ，c o m b i n i n gi p s e c a n dl 2 t p , l e a r nf r o mo t h e r s ss t r o n gp o i n t st oo t i s e to n e sw e a k n e s s ，c a nc o n s t r u c ta b e t t e rv p nw h i c hc a l ls u p p o r tm a n yt r a n s m i t i n g - p r o t o c o l s a sw e l la sa u t h e n t i c a t i o n a n de n c r y p t i o n i nt h i sp a p e r , w ea n a l y z et h eo p e ns o u n dc o d er e a l i z a t i o ns o f t w a r el 2 t p da n d i s a k m p do fl 2 t pa n di p s e c ，s u m m a r i z et h e i rr e m i z m i o np r i n c i p l e ，c o n f i g u r et w o s o f i w a r e sa n dr u n nt h e mi nu n i xo ss e p a r a t e l y b ym o d i f y i n gt h er e a l i z a t i o nc o d eo f l 2 t p da n di s a k m p d ，t h i sp a p e rr e a l i z e st h ec o m b i n a t i o no fl 2 t pa n di p s e c ， a c c o r d i n g l y , p r o v i d i n ga v p nw h i c hc a ns a t i s f yu s e r s d e m a n d sb e t c e lo nt h eb a s i so f t h ec o m b i n a t i o n o fi p s e ca n dl 2 t p , t h i s p a p e rp u t s f o r w a r da m u l t i s e c u r i t y - c o n n e c t i o nt e c h n o l o g y ，t e s t sa n dc o n f i r m sb ye x p e r i m e n t s v p nb a s e d o nm u l t i s e c u r i t y c o n n e c t i o nc a no f f e rl o a d i n gp r o p o r t i o na n df a u l t - t o l e r a n c e ，a n di t h a sh i g hd e p e n d a b i l i t ya n df l e x i b i l i t y t h i sp a p e rr e a l i z e sv p nt e c h n o l o g yb a s e do n v l a n ( v i r t u a ll o c a la r e an e t w o r k ) f i n a l l y , t h i sp a p e rt e s t st h ev p n s y s t e mw h i c h c o m b i n e sl 2 t pa n dl p s e c ，a n a l y z e st h ee x p e r i m e n tr e s u l t s ，a n ds u m m a r i z e st h e w h o l er e s e a r c hw o r k k e y w o r d s ：i p s e c ，l 2 t p ，m u l t i s e c u r i t y c o n n e c t i o n ，v l a n 幽北l ：业人学硕卜俺论文第一章 1 1v p n 技术 1 1 1v p n 概念 第一章绪论 虚拟专用网络( v i r t u a lp r i v a t e n e t w o r k ，v p n ) 是指在公共网络( 如i n t e r n e t ) 中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接 并不需要传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态 组成，虚拟专用网络对用户端透明，用户好像是使用一条专用线路进行通信“1 。 经研究发现，在国内分支机构阃使用v p n 能够为企业节约2 0 4 0 的通信 费用，把办公室通过v p n 连接起来可以节省6 0 一8 0 的长途通信费用和交通费： 跨国公司使用v p n 节省的国际通信费用的比例还会更高。其次，对于企业来说， 最重要的是v p n 提供了安全、可靠的i n t e m e t 访问通道，为企业的发展提供了 可靠的技术保障n 3 。 使用v p n 具有高安全性节省成本，提供远程访问，扩展性强，便于管理 和实现全面控制等好处，是今后企业网络发展的趋势“1 。 1 1 2v p n 分类 根据协议实现类型，v p n 般分为二类：基于第二层隧道协议的v p n 和基 于第三层隧道协议的v p n 。 l 、基于笫二层隧道协议：第二层隧道协议对应开放系统互联( o s i ) 模型 中的数据链路层，使用帧作为数据交换单位。常用的第二层隧道协议有点到点隧 道济议( p p t p ) 、第二层转发协议( l 2 f ) 、第二层隧道协议( l 2 t p ) 。 2 、基于第三层隧道协议：第三层隧道协议对应o s l 模型中的网络层，使用 包作为数据交换单位。常用的第三层隧道协议有i p 安全( i p s e c ) 、通用路由封 装协议( g r e ) 。 第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层 被封装。 蹦北j ：业入学顼 学位论文第一章 1 2v p n 的隧道技术 v p n 具体实现形式多种多样，但都基于一种称作安全或者加密的隧道技术。 隧道技术是利用一种协议来传输另外一种协议的技术，通过隧道协议实现。隧道 协议规定了隧道的建立，维护和删除规则以及怎样将企业网的数据封装在隧道中 进行传输，以下介绍几种常用的隧道协议。 1 2 1p p t p 协议 点对点隧道协议( p p t p ：p o i n t t o p o i n tt u n n e l i n gp r o t o c 0 1 ) 是一种通过因特 网安全远程访问企业网络资源的新型网络技术。它采用客户i j r 务器体系结构， 定义了两个基本构件：客户端的p p t p 访问集中器p a c ( p p t p a c e s s c o n c e n t r a t o r ) 和服务器端的p p t p 网络服务器p n s ( p p t pn e t w o r ks e r v e r ) 。p p t p 出两部分组 成：一是p a c p n s 对之间的控制连接，负责建立、管理和释放一个p p p 会话： 二是在这个p p p 会话上构造一个传输隧道，通过i p 网络传送p p p 数据包。数据 包封装形式为( i p ( t c p ( p p t p ( 协议x ) ) ) ) 。 p p t p 利用两个标准的安全特性来保证数据传输的安全性：认证和加密。用 户身份认证是由p p p 中的c h a p 或p a p 提供的。加密是采用微软的点到点加密 ( p o i n t t o p o i n te n c r y p t i o n ，m p p e ) 协议提供数据加密传送的方法。m p p e 假设 通信双方存在共享的密钥，在通信中使用r c 4 密码算法来加密数据包，并把数 据加密合并在p p p 负载中。 1 2 2l 2 f 协议 第二层转发( l 2 f ：l a y e rt w of o r w a r d i n g ) ：垂c i s c o 删的可以在多种 介质，立i a t m 、帧中继、i p 网上建立多协议的安全v p n 通信方式。远端用户能够 通过任何拨号方式接入公共i p 网络，首先按常规方式拨号到l s p 的接入服务器 ( n a s ) ，建a 啻_ p p p 连接；n a s 根据用户名、密码等身份验证信息发起第二重 连接，开通v p n 隧道，呼叫用户网络的服务器建、j - v p n 连接。 1 2 3l 2 t p 协议 第二层隧道协议( l 2 t p ：l a y e r2 t u n n e l i n gp r o t o c 0 1 ) 练台了p p t p 和l 2 f 协 议的优点，在功能和技术上更加全面。它也是一种基r p p p 的隧道传输协议，通 过在i p ，a t m ，帧中继等公用网络上建立传输隧道来传送p p p 数据包。 蛹北一；：业人学硕十学位论文第一章 l 2 t p 采用了客户服务器体系结构，由两个基本构件组成，一是客户端的 l 2 t p 访问集中器l a c ( l 2 t pa c c e s sc o n c e n t r a t o r ) ，用于发起呼叫和建立隧道； 二是服务器端的l 2 t p 网络服务器l n s ( l 2 t p n e t w o r ks e r v e r ) ，提供了隧道传输 服务，也是所有隧道的终点。在传统的p p p 连接中，用户拨号连接的终点是l a c ， 而l 2 t p 将p p p 的终点延伸到l n s 1 。 1 2 4i p s e c 协议 i p s e c ( i ps e c u r i t y ) 是i e t fi p s e c 工作组为了在i p 层提供通信安全而制定的 一套协议族。它包括安全协议部分、密钥协商部分和安全联盟。安全协议部分定 义了对通信的安全保护机制；密钥协商部分定义了如何为安全协议协商保护参 数，以及如何对通信实体的身份进行鉴别；安全联盟存放所有需要记录的协商细 节。 安全协议包括封装安全载荷( e n c a p s u l a t i o ns e c u r i t yp a y l o a d ，以下简称e s p ) 和鉴别头( a u t h e n t i c a t i o n h e a d e r ，a h ) 两种。其中e s p 协议为通信提供机密性、 完整性保护：a h 协议为通信提供完整性保护。对于a h 和e s p ，都有两种操作模 式：传输模式和隧道模式。 i p s e c 所使用的协议一般都被设计成与算法无关的。算法的选择在安全策略 数据库( s p d ) 中指定。针对不同的i p s e c 实现，可供选择的算法不同。关于i p s e c 的安全体系结构将在第二章中详细介绍，这罩不再赘述。 1 2 5v p n 隧道协议的比较 以上我们介绍的v p n 隧道协议都有各自的特点和应用环境，因此在建立不 同的v p n 时，需根据实际的情况加以选择。下面我们结合v p n 的要求，对各种 隧道协议进行比较，如表1 1 所示： 硝北上业人学颈+ 学位论文 第一章 表1 - 1v p n 隧遒协议的比较 、协议 比较内蕃 p p t p 协议l 2 t p 协议i p s e c 协议 客户机服务器 工作模式客户机，服务器方式对等方式 方式 o s i 层 第二层第二层第三层 有一定的鉴别 安全机制较弱的鉴别和加密较强安全机制 和加密 隧道的配置与建立网管，显示网管，显示i k e 交互，隐式 隧道的管理和维护回显请求回复h e l l o 报文等机制无 多协议支持 支持支持不支持，需扩展 多路复用支持支持 支持 支持 分组顺序支持支持 支持 可支持，但目前末用 服务质量支持不支持 扩展性支持 有待研究 1 3 国内外研究现状和本课题的研究内容 1 3 1国内外研究现状 计算机网络特别是i n t e r a c t 无论是在国家经济、政治和军事中，还是在人们 的交流、工作和学习中，都发挥着越来越重要的作用。随着网络的开放性、共享 性、互联程度的扩大，网络的重要性和对社会的影响也越来越大。 随着计算机网络的广泛应用，网络安全问题日益突出。目酊，网络上出现的 各种新兴业务，比如电子商务、数字货币、网络银行等，以及各种专用网的建设， 使得网络与信息系统的安全与保密问题显得越来越重要，人们对网络安全的研究 也f j 益深入。网络安全作为一个体系，是在各个层次上对各种安全技术的结合， 安全性是针对o s i 的各层。安全服务涉及保密、完整性、认证、访问控制和防 止抵赖等多方面。 为了充分利用i n t e r n e t 上的资源，使企业各予公司的专用网既能通过i n t e r n e t 互连，又能有效保护本企业内部网络及信息系统的安全，通常会在i n t e r a c t 上构 筑企业自己的虚拟专网，即i n t e m e tv p n 。v p n 利用i n t e r a c t 建立安全的专用网 络，融合了互联网的开放性和专用网的安全性，为网络的应用揭丌了新的一页。 早在1 9 9 3 年，欧洲虚拟专用网联盟e v u a ( e u r o p e a n v p n u s e r s a s s o c i a t i o n ) 就 西北业大学硕士学位论文 第章 成立了”1 ，它力图在全欧洲范围内推广v p n ，但那时的v p n 还只是一个技术名 词，没有真正的v p n 服务出现。i n t e m e t 的迅猛发展为v p n 提供了技术基础， 全球化的企业为v p n 提供了市场，这使得v p n 开始遍布全世界。 在国外，有专门的机构和一些公司部门从事v p n 技术的研究和v p n 产品的 开发。目前一般是在0 s i 参考模型的数据链路层、传输层、网络层和应用层进 行研究和开发，不同的v p n 产品使用的协议和密码算法通常不一样。国内的研 究主要集中在对v p n 技术的实现上，以及利用v p n 整体解决网络通信安全的问 题。在理论方面的研究主要是v p n 与其他协议之闯的扩充和对扩充后的协议进 行实现。 目前，l 2 t p 和i p s e c 是应用最为广泛的两种v p n 。l 2 t p 支持多种传输协 议和远程访问，但安全性不强。i p s e c 能够提供较强的i p 层安全机制，但是对多 协议封装等功能的支持存在不足。因此，对两者的综合使用，能够取长补短，构 建一个既支持多协议封装，又提供认证和加密功能的v p n 。因此，为了提供一 个更好的满足用户需求的v p n ，他们的结合使用成为研究和实现的热点。 1 3 2 本课题的研究内容 本课题主要研究l 2 t p 和i p s e c 的综合应用。主要包括以下几方面内容： 1 、通过分析l 2 t p 的开放源码实现软件包l 2 t p d 和i p s e c 的开放源码实现 软件包i s a k m p d ，研究他们的实现原理，并在u n i x 环境下，研究他们的配置 方法和运行步骤，并镄4 试运行结果。 2 、通过对l 2 t p d 和i s a k m p d 软件包的实现代码加以修改，实现对i p s e c 和l 2 t p 协议的综合使用，并测试实验结果。 3 、在综合使用i p s e c 和l 2 t p 的基础上，提出多安全连接技术，并通过实 验测试和验证该技术的可行性。进一步结合其他技术，分析多安全连接技术在容 错、负载均衡和提高带宽及吞吐量等方面的应用思路，并给出设计方案。 4 、提出并实现基于v l a n 的v p n 技术。 1 4 论文结构和内容简介 以下简单介绍一下本文的组织结构和主要内容。 第一章足绪论，主要讨论了v p n 的定义、刚络隧道技术，研究现状和本课 题的研究内容。 第二章主要介绍了l 2 i p 和i p s e c 。 第三章研究分析了丌放源码实现软件包l 2 t p d 和i s a k m p d 的实现和工作 西- i l ：t ：业火学硕士学位论文第一章 原理，并成功配置运行这两个软件，此外还分析了l 2 t p 存在的安全隐患。 第四章设计了利用i p s e c 对l 2 t p 隧道提供安全传输保障的方案，并通过对 l 2 t p d 和i s a k m p d 源代码的修改，实现了对两者的综合使用。本章还提出了 多安全连接技术，并给出了多安全连接技术在容错、负载均衡和提高带宽及吞吐 量方面的应用思路。此外，本章还实现了基于v l a n 的v p n 技术。 第五章对系统进行测试，并对本课题的研究工作做了总结，提出了今后的工 作方向。 本人的主要贡献如下： l 、在u n i x 环境下，成功配置运行开放源码实现软件包l 2 t p d 和 i s a k m p d ，并根据各自的实现源码分析了他们的工作原理。 2 、通过修改代码，实现了对i p s e c 和l 2 t p 的综合使用。 3 、提出了多安全连接技术，并通过实验进行- r n 试和验证。 4 、实现了基于v l a n 的v p n 技术。 曲北一1 ：业人学硕士学f n e 艾第二章 第二章隧道协议l 2 t p 和l p s e c 概述 虚拟专用网络( v p n ) 的核心技术是隧道技术。常用的隧道协议有第二层隧 道协议( l 2 t p ) 和第三层隧道协议( i p s e c ) 。 2 1l 2 t p 协议原理 2 1 1l 2 t p 协议简介 l 2 t p 综合了p p t p 和c i s c o 公司l 2 f 协议的优点，在功能和技术上更加全 面，可以看做是p p t p 的改进方案。l 2 t p 是一种基于p p p 的隧道传输协议，通 过在i p ，a t m ，帧中继等公用网络上建立传输隧道来传送p p p 数据包，即在l 2 t p 协议中，被封装的是链路层p p p 协议，封装协议由l 2 t p 协议定义，承载协议可 以是网络层的i p 协议，也可以采用链路层的a t m 或帧中继协议。l 2 t p 可以支 持多种拨号用户协议，如i p 、i p x 、a p p l e t a l k ，而且可以使用保留i p 地址。 2 1 2l 2 t p 的逻辑结构 l 2 t p 采用了客户，服务器体系结构，由两个基本构件组成；一是客户端的 l 2 t p 访问集中器l a c ( l 2 t p a c c e s sc o n c e n t r a t o r ) ，用于发起呼口q 和建立隧道； 二是服务器端的l 2 t p 网络服务器l n s ( l 2 t pn e t w o r ks e r v e r ) ，提供了隧道传 输服务，也是所有隧道的终点。l 2 t p 的逻辑结构女u 图2 - 1 所示。 图2 - 1l 2 t p 的逻辑结构 远程系统通过p s t n 网络建立一条到l a c 的p p p 连接，然后，l a c 通过穿 硝北f ：业人学硕十学位论文 第_ 二章 越i n t e m e t 、帧中继或a t m 网络的隧道将p p p 连接延伸到归属地网络的l n s 上， 从而获得对归属地企业网( l a n ) 的访问权。远程系统利用p p p 网络控制协议 ( n c p ) 协商从归属地l a n 获得地址。可以由归属地l a n 的管理域提供认证、 授权和计费，用户就像直接连接到一个n a s 上一样”“。 l a c 客户( 一台独立运行l 2 t p 的主机) 也可以参与到归属地隧道的建立过 程，而不需专用的l a c 。这时包含l a c 客户软件的主机已经拥有了一条到公开 i p 网的连接。建立一条“虚拟”的p p p 连接，本地l 2 t pl a c 客户软件创建一 条到l n s 的隧道。与前面的情况类似，编址、认证、授权和计费都由归属地l a n 的管理域提供。 2 1 3l 2 t p 协议结构 l 2 t p 协议使用控制消息和数据消息两种类型的消息。控制消息用于隧道和 呼口q 连接的建立、维护祁拆除，数据消息用于封装承载在隧道上的p p p 帧。控 制消息使用可靠控制保证控制消息的可靠传递，数据消息使用不可靠传递。如图 2 2 所示。 p p p 帧 l 2 t p 数据消息 l 2 t p 数据隧道( 不可靠) l 2 t p 控制消息 l 2 t p 控制隧道( 可靠) 包传输( u d p 、f r 、a t m 等) 图2 - 2l 2 t p 协议结构 图2 - 2 描述了l 2 t p 控制和数据通道中的p p p 帧和控制报文的关系。p p p 帧 首先被一个l 2 t p 头封装后在一条不可靠的数据通道上传送。控制报文通过一条 可靠的l 2 t p 控制报文通道传送，这两类通道均可通过f r a m er e l a y 、a t m 、u d p 的传输网络构成。 在所有的控制消息中，都要存在序列号，序列号用束在控制隧道上进行可靠 传送。数据消息可以有序列号，它是用柬对分组进行重新排序和检测丢失的分组。 2 1 4l 2 t p 头格式 l 2 t p 包的控制隧道和数据隧道使用相同的头格式。在某个域可选的情况下， 如果该域被标记为不存在，则在消息中不存在它的空间。需要说明的是，当数据 消息中有可选字段时，标记为可选的长度字段n s 和n r 要求出现在所有的控制 西北i 2 业入学硕士学位论文第二章 消息中“”。l 2 t p 头的格式如图2 - 3 所示。 012345 67 8 9 0l234567890123456789 01 ，r l1x x sixo1pix ；xixxj 惭 l e n g t h ( o p t ) t u n n ei d s e s s i o ni d n s ( o o r )n r ( o p t ) o f f s e ts i z e ( o p t ) o f f s e tp a d ( o p t ) 圈2 - 3l 2 t p 消息格式 类型( t ) 为标识消息类型。数据消息设置为0 ，控制消息设置为1 。 长度( l ) 位是1 ，表示存在l e n g t h 字段。对于控制消息，该位必须设置为 1 。 x 位是为将来保留的扩展位。所有的保留位在呼出消息中必须设置为0 ，在 呼入消息中必须忽略。 如果把顺序( s ) 位设置为1 ，则存在n s 和n r 字段。控制消息的s 位必须 为l 。 如果序列号位( 0 ) 设置为l ，则存在偏移大小字段。对于控制消息来说，该 位必须设置为0 。 如果p r m n u ) 位设置为1 ，这些数据消息就要优先处理。对于控制消息， 该位必须设置为零。 v e t ( 版本号) 必须设罱为2 ，标明当前的l 2 t p 版本号为第二版。值1 用于l 2 f 与l 2 t p 包混杂到达的情况。必须丢弃所有收到的版本号未知的包。 长度字段( l e n g t h ) 域标t 以八位组表示的消息长度。 t u n n e li d 指示控制链接的标识符。 s e s s i o ni d 指示一个t u n n e l 内的会晤标识符。 n s 指示数据或控制消息的序列号，从零开始，每发送一个消息其值加1 ( 模 2 1 6 ) 。 n r 指示下一个期望被收到的控制消息的序列号。n r 的值设黄为最后一条顺 序收到的n s 加1 ( 模2 1 6 ) 。在数据消息中的n r 被预留，如果出现( 用s 位指示) ， 则在接收时忽略。 2 1 5 控制消息类型 m e s s a g e t y p e a v p 定义发送的控制消息类型。仅仅与控制消息有关，也就是 说，头格式中的t 位必须设置为l 。 l 2 t p 定义了如下的消息类型： 9 堕些! ：些盔堂婴主堂笪堡壅 笙三兰 控制连接管理类 0 ( r e s e r v e d ) 1 ( s c c r q ) s t a r t c o n t r o l c o n n e c t i o n - r e q u e s t 2 ( s c c r p ) s t a r t c o n t r o l - c o n n e c t i o n - r e p l y 3r s c c c n ) s t a r t c o n t r 0 1 c o n n e c t i o n c o n n e c t e d 4 ( s t o p c c n ) s t o p c o n t r o l c o n n e c t i o n - n o t i f i c a t i o n 5 ( r e s e r v e d ) 6 ( h e l l o ) h e l l o 呼叫管理类c a l lm a n a g e m e n t 7 ( o c r q ) o u t g o i n g c a l l r e q u e s t 8 ( o c t ) o u t g o i n g - c a l l - r e p l y 9 ( o c c n 、o u t g o i n g - c a l l c o n n e c t e d 10 ( i c r q ) i n c o m i n g c a l l r e q u e s t 1l ( i c r p ) i n c o m i n g c a l l r e p l y 1 2 ( i c c n 、 i n c o m i n g c a l l c o n n e c t e d 13 ( r e s e r v e d ) 1 4 ( c d n ) c a l l d i s c o n n e c t - n o t i f y 出错报告类e r r o r r e p o r t i n g 15 ( w e n ) w a n - e r r o r - n o t i f y p p p 会话控制类p p ps e s s i o nc o n t r o l 16 ( s l i )s e t - l i n k - i n f o 2 1 6 控制消息属性值对 属性值对( a t t r i b u t ev a l u ep a i r , a v p ) 实质上是一般协议中常见的属性和相应 的取值。l 2 t p 控制消息的主体就是由一系列的a v p 所缎成的。 1 、a v p 格式 每个a v p 的编码格式如图2 4 所示。 i ) 西北【：业人学颂 ：学位论文 第二章 图2 - 4a v p 格式 ( 1 ) 头六位是屏蔽位，描述a v p 的通用属性。 在l 2 t p 的第二版中定义了两位其余位留作将来的扩展。保留位必须设置 为0 。保留位设置为1 的a v p 必须看作是不能识别的a v p 。定义的两位分别是 强制位( m ) 和隐藏位( h ) ：强制位表示a v p 是否进行强制处理，隐藏位表示a v p 是否进行隐藏处理。 ( 2 ) l e n g t h ：a v p 长度( 以字节为单位) 。长度的计算如下：6 + 以八位组表 示的属性值域的长度。长度域本身的长度是l o 位，这就限定了单个a v p 的最大 长度为1 0 2 3 个八位组。而长度域的最小值为6 ，这时，就不存在属性值域。 ( 3 ) v e n d o r i d ：与厂商有关，见r _ f c l 7 0 0 “。 ( 4 ) a t t r i b u t et y p e ：属性类型，指示由v e n d o ri d 定义的a v p 类型。 ( 5 ) a t t r i b u t ev a l u e ：属性值，实际值由v e n d o ri d 和属性类型决定，紧跟 在属性类型域之后。如果长度域为6 ，则该域不存在。 2 、强制性a v p 接收一个与会晤或隧道有关的不明确的，但是设置了m 位的a v p ，会造成 一种灾难性的后果。因此，只有那些对会晤或隧道的正确操作起关键作用的a v p 才能进行m 位的定义。另外，在l a c 或l n s 收到一个设置了m 位的无关a v p 并且关闭了相应的会晤或隧道的情况下，发送强制a v p 的端要为该种情况受责。 3 、a v p 属性值的隐藏 每个a v p 头的h 位提供了一种机制，向接收端指出是否a v p 的内容进行了 隐藏。这个特征可用于对敏感信息进行隐藏，比如用户口令和用户l d 。 2 2ip s e c 协议概述 i e t f ( 因特网工程任务组) 于1 9 9 8 年制订了一组基于密码学的安全的丌放 网络安全协议，总称i p 安全( i ps e c u r i t y ) 体系结构，简称 p s e c 。其目标是为 i p v 4 和i p v 6 提供具有较强的互操作能力、高质量和基于密码的安全。i p s e c 对 于l p v 4 是可选的，对于 p v 6 是强制性的。 鹾北l 业入学硕士学位论文第二章 2 2 1j p s e c 简介 i p s e c 安全体系结构包括i p s e c 基本协议( 包括a h 协议和e s p 协议) 、i k e ( t n t e m e tk e ye x c h a n g e ，i n t e m e t 密钥交换) 、s a d ( s e c u r ea l l i a n c ed a t a b a s e ， 安全联盟数据库) 、s p d ( s e c u r ep o l i c yd a t a b a s e 。安全策略数据库) 以及d o i ( d o m m no f i n t e r p r e t a t i o n ，解释域) 。i p s e c 结构如图2 5 所示。 闰2 - 5i p s e e 安全体系结构 图中各项解释如下： l 、安全封装有效载荷协议( e s p ) ：覆盖了包加密( 可选身份验证) 和相关 的包格式和常规问题。e s p 是插入在i p 数据报内的一个协议头，为i p 数据报提 供数据机密性、数据完整性、抗重播以及数据源验证等安全服务。 2 、身份验证包头协议( a h ) ：包含使用a h 进行身份验证相关的包格式和 一般问题。a h 协议为i p 数据报提供了数据完整性、数据源验证以及抗重播等安 全服务。但不提供数据机密性服务。 3 、加密算法：描述各种加密算法如何用于e s p 。 4 、验证算法：描述各种身份验证算法如何用于a h 中和e s p 身份验证选项。 5 、解释域( d o i ) ：彼此相关各部分的标识符及运作参数。 6 、策略：决定两个实体之间能否通信，以及如何进行通信。策略的核心由 s a 、s a d 和s p d 三部分组成。 7 、安全关联与密钥管理协议i s a k m p ：密钥管理的一组方案，其中i k e 是 默认的密钥自动交换协议。 2 2 2 安全协议 i p s e c 安全协议有两种：认证头a h 和封装安全有效载荷e s p ，用于对l p 数 曲北f ：业人学硕士学位论义 第二章 据报或上层协议数据报进行安全保护。其中，a h 提供了数据完整性、数据源验 证及抗重播能力。e s p 既可以提供对数据完整性和机密性保护，又可以对数据源 进行身份验证。此外。它也能负责对重放攻击的抵抗。 a h 和e s p 可以单独使用，也可以联合使用。每个协议都支持两种应用模式， 即传输模式和隧道模式。传输模式为上层协议数据提供安全保护，隧道模式以隧 道的方式传输i p 数据报文。 l 、a h 协议 在任何模式下，a h 头都会紧跟在一个i p 头之后。在i p v 4 中，i p 头的协议 字段值为5 l 。a h 头格式如图2 - 6 所示。 071 53 1 一f 一个头1 载荷长度i 保留 安全参数索引( s p i ) 序列号( s e q u e n c en u m b e r ) 认证数据( a u t h e n t i c a t i o nd a t a ) 图2 - 6a h 头格式 图2 - 6 中各项解释如下： 下一个头：该字段为8 位，指明载荷数据的类型。 载荷长度：8 位，以3 2 位为长度单位指定了a h 的长度，其值是a h 头的 实际长度减2 。 保留：1 6 位，保留给将来使用，其值必须为0 。 安全参数索引( s p i ) ：是一个3 2 位的随机数。 序列号：一个单向递增的3 2 位无符号整数。 认证数据：可变长字段，它是认证算法对a h 数据报进行完整性计算所得到 的完整性检查值。 a h 可采用传输模式或隧道模式对i p 数据报进行保护。在传输模式下，a h 头插在i p 头和上层协议头之间如图2 7 所示；在隧道模式下，整个i p 数据报 都封装在一个a h 头中进行保护，并增加一个新的i p 头，如图2 8 所示。无论 是何种模式，a h 都要对外部的i p 头的固定字段进行认证。 图2 7 传输模式的a h 头格式 鲥北i 业人学硕士学位论文 第二章 2 、e s p 协议 图2 - 8 隧道模式的a h 头格式 和a h 一样，在任何模式下，e s p 头都会紧跟在一个i p 头之后。在i p v 4 中，i p 头的协议字段值为5 0 “。e s p 头格式如图2 - 9 所示。 安全参数索引( s p i ) 序列号( s e q u e n c en u m b e r ) 初始化向量( 1 v ) 载荷数据( p a y l o a dd a t a ) 填充项( p a d d i n g ) i 填充项长度l 卜一个头 认证数据( a u t h e n t i c a t i o nd a t a ) 图2 - 9e s p 头格式 e s p 可采用传输模式或隧道模式对i p 数据报进行保护。在传输模式下，e s p 头插在1 p 头和上层协议头之间。如图2 - 1 0 示：在隧道模式下，整个i p 数据报 都封装在个e s p 头中进行保护，并增加一个新的i p 头，如图2 - 1 l 示。 图2 1 0 传输模式的e s p 头格式 2 2 3 安全联盟 图2 1 l 隧道模式的e s p 头格式 s a ( s e c u r i t ya s s o c i a t i o n ，安全联盟) 是两个通信实体经协商建立起来的一种 协定。它们决定了用来保护数据安全的i p s e c 协议、密钥以及密钥的有效存在时 例等等，主要用于解决如何保护通信数据、保护什么样的通信数据、以及由谁来 西北i 业人学颂十学位论文第二章 实行保护的问题。 一个安全关联是由一个三元组来惟一标识的： ( 1 ) 安全参数索弓i ( s p i ) ：赋予这个s a 的比特串并且只在本地有意义。s p i 被加载在a h 和e s p 的首部，使得接受系统能够选择s a 来处理接受的分组。 ( 2 ) i p 目的地址：目前只允许单播地址；这是s a 的目的端点的地址，可 能是终端用户系统或者是网络系统，例如防火墙或路由器。 ( 3 ) 安全协议标识符：它指出这个关联是否是一个a h 或e s p 的安全关联。 s a 是单向的，为了保证两个主机或两个安全网关之间双向通信的安全，需 要建立两个s a ，各自负责个方向。s a 有两种类型：传输模式的s a 和隧道模 式的s a 。 l 、安全策略库 安全策略数据库( s p d ) 定义了安全策略相关参数的存储和管理结构。s p d 指明了以什么方式为i p 数据报提供安全服务，是s a 处理的重要元素。 对于所有的i p 通信，不论它是进入的还是外出的，都必须通过s p d 。般对 进入和外出的i p 数据报有3 种处理选择。 ( i ) 丢弃处理：对数据报不作任何处理，丢弃该包。 ( 2 ) 旁路i p s e c 处理：允许一个数据报在不经过任何i p s e c 保护的情况下 通过。 ( 3 ) 实施i p s e c 处理：对一个数据报实施了i p s e c 处理。在这种情况下， s p d 必须指明所需提供的安全服务以及所采用的协议和算法等。 s p d 是一个包含策略条目的有序列表，每个策略条目都包含一个或多个选择 器作为判断依据，这些选择器定义了符合该策略条目的i p 通信集。 s p d 对通过的i p s e c 系统的所有通信流实施控制，其中包括密钥管理通信。 因此，在s p d 中必须明确地说明密钥管理通信。否则加密数据报会被丢弃。 2 、安全联盟库 s a d ( s e c u f i t y a s s o c i a t i o nd a t a b a s e ) 是一种形式上的数据库，每个s a 部对 应于s a d 中的一个条目，定义了一个与s a 相关的参数。 对于外出数据报的处理，s a 是由s p d 中的条目指示的，即由s p d 柬确定 所使用的s a 。当一个s p d 条目当前没有指向个特定的s a 时，i p s e c 系统则 创建一个相关的s a 或者s a 束，并且与一个s p d 条目和s a d 条目相关联。 对于进入数据报处理，每个s a d 中的条目通过个三元组( 目的i p 地址； i p s e c 协议类型；s p i ) 来索引和奄找，以确定对进入数据报进行处理的s a 或者 s a 柬。 在s a d 中查找s a 时，使用如下的参数： 曲北i 业夫学硕士学位论文第二章 ( 1 ) 目的地址：i p v 4 或i p v 6 类型的目的地址： ( 2 ) i p s e c 协议：a h 或e s p ，用于对数据库中s a 查询的索引。 ( 3 ) s p h 用于区分目的i p 地址