（计算机应用技术专业论文）linux下基于ipsec的vpn网关的研究与实现.pdf

山东科技大学硕士学位论文 摘要 摘要 因特网的普及为社会带来了巨大的经济效益。然而，信息的安全问题也 ；i ：j 益突出， 网络安全已经成为人们日益关注的核心问题。各种安全防范技术应运而生，其中虚拟专 用网络( v p n ) 技术以其实用性、安全性和简单、低成本获得了广泛的应用。 v p n 技术是利用相对不安全的公网来构建企业远程专用网络，利用专用的软硬件设 施，通过建立在共享i p 网中的逻辑隧道，实现远程网络之间安全、点对点的连接。v p n 技术的核心是隧道技术，现有i p s e c 、g r e 、l 2 t p 、p p t p 等技术。目前最为主流的是基于 i p s e c 协议的v p n 技术。i p s e c 协议是i e t f 为i p 层提供安全服务而定义的一组相关协 议。作为网络层安全协议，实现了基于i p 数据包的安全保护，并能为上层协议提供透明 的安全服务。 l i n u x 的系统内核自2 4 版本之后采用了n e t f i l t e r 机制，它是在内核中扩展各种网 络服务的结构化底层框架。利用n e t f i l t e r 的钩子函数，我们可以很容易的插入一个内 核模块来实现网络新特性的扩展。 论文对l i n u x 下的i p s e cv p n 网关进行了研究和实现。采用n e t f i l t e r 机制的钩子 点作为调用处理函数的入口，在数据的i p 处理过程中调用i p s e c 处理模块实现l p s e c 协议与i p 协议的整合。在i p 包进入处理处添加i p s e c 进入策略处理模块确定包的接收 与丢弃在数据包接收处添加i p s e c 进入处理模块进行i p s e c 包的解封还原，在发送和 转发位置添加i p s e c 外出处理模块进行包的加密认证和封装。由于是i p s e c 的网关实施， 这里采用了隧道模式。对于安全关联数据库的维护，论文引入i k e 协议进行动态维护来 代替手工输入的方式，并设计了一种i k e 模块的实现方案。内核与应用层的通讯接口， 内核和i k e 守护进程交互的接口采用了p f k e y 协议来进行实现。最后，深入探讨了i p s e c 协议在应用上的缺陷并提出了建议。 关键词：网络安全v p ni p s e cn e t f i l t e r 山东科技大学硕士学位论文 摘要 a b s t r a c t t h ep o p u l a r i z a t i o no f li n t e r n e t b r i n g sh u g ee c o n o m i cb e n e f i tf o rt h e s o c i e t y h o w e v e r ，t h es a f ep r o b l e mo fi n f o r m a t i o nisa l s oi n c r e a s i n g l y o u t s t a n d i n g ，t h en e t w o r ks a f e t yh a sa l r e a d yb e c o m et h ec o r ep r o b l e mw h i c hp e o p l e i n c r e a s i n g l yp a ya t t e n t i o nt o v a r i o u ss a f e t yg u a r dt e c h n o l o g i e se m e r g ea st h e t i m e s r e q u i r e ， a n dv i r t u a l p r i v a t e n e t w o r k ( v p n ) t e c h n i q u e w i t hi t s p r a c t i c a b i1i t y ，s e c u r i t y ，s i m p l ea n d1 0 wc o s ta c q u i r e de x t e n s i v ea p p li c a t i o n t h et e c h n i q u eo fv p nc a nb u i l dt h er e m o t ep r i v a t en e t w o r ko f t h ee n t e r p r i s e b yu s i n gt h eo p p o s i t ei n s e c u r ep u b l i cn e t w o r k m a k i n gu s eo fs p e c i a ls o f t w a r ea n d h a r d w a r ef a c i l i t i e sa n de s t a b l i s h i n gt h el o g i c a lt u n n e li ns h a r ei pn e t ，i tc a r r y o u tas a f ep o i n t t o p o i n tc o n n e c t i o nb e t w e e nr e m o t en e t w o r k s t h ec o r eo ft h e t e c h n i q u eo fv p ni st u n n e lt e c h n i q u et h a ti n c l u d e si p s e c ，g r e ，l 2 t p ，p p t pe t e v p nb a s e do nt h ei p s e cp r o t o c o li st h em o s tp r e v a l e n t e s t i p s e cp r o t o c o li sas e t o fr e l a t e dp r o t o c o l st h a ti e t fp r o v i d e st h es a f e t ys e r v i c ef o ri pl a y e r a st h e n e t w o r kl a y e rs a f e t yp r o t o c o l ，i ta c h i e v e si pd a t as a f e t yp r o t e c t i o n ，a n dc a n p r o v i d et h et r a n s p a r e n ts a f e t ys e r v i c ef o rt h eu p p e rl a y e r s l i n u xs y s t e mk e n e la d o p t st h en e t f i l t e rm e c h a n i s m ，w h i c hi sas t r u c t u r a l b o t t o mf r a m ef o re x p a n d i n gv a r i o u sn e t w o r ks e r v i c ea f t e r2 4v e r s i o n u s i n gi t s h o o kf u n c t i o n ，w ec a nc a r r yo u tt h ee x t e n s i o no fn e wn e t w o r kc h a r a c t e r i s t i c t h ist h e s i sc a r r i e so nt h er e s e a r c ha n di m p l e m e n to ft h ei p s e cv p ng a t e w a y i nl i n u xs y s t e m u s i n gh o o ko fn e t f i l t e rm e a n i s i na se n t r a n c eo fc a l e dp r o c e s s f u n c t i o n ，t oi n t e g r a t ei pw i t hi p s e cp r o t o c o li sr e a l i z a t e db yc a l lin gi p s e cd a t a p r o c e s sm o d u l ei nt h ei pp r o c e s s i n gp r o c e d u r eo fd a t a t h ee n t r ys t r a t e g yp r o c e s s m o d u l eo fi p s e cd a t ai sa d d e di nt h ee n t r yp r o c e s s i n gp o s i t i o no ft pd a t at om a k e s u r eo fd r o po ra c c e p t ：t h ee n t r yp r o c e s s i n gm o d u eo fi p s e cd a t ai sa d d e di nt h e a c c e p tp o s i t i o no fi pd a t at od e n c a p s u l a t ea n dr e v e r tt h ed a t a ：t h eo u t g o i n g p r o c e s s i n gm o d u l eo fi p s e cd a t ai sa d d e di nt h eo u t g o in ga n df o r w a r dp o s i t i o n o fi pd a t at oe n c r y p t ，a u t h e n t i c a r ea n de n c a p s u l a t et h ed a t a b e c a u s et h ei p s e c 山东科技大学硕士学位论文 摘要 p r o t o c o li su s e di ng a t e w a y ，t h et u n n e l m o d ei s a d o p t e d t h et h e s i sa d o p t si k e p r o t o c o lt od y n a m i c a l l ym a i n t a i nt h es a di n s t e a do fm a n u a l ly i n p u t t i n g ，a n d d e s i g n sak i n do fi m p l e m e n tp r o j e c to fi k em o d u l et h ec o m m u n i c a t i o np o rlb e t w e e n s y s t e mk e r n e la n da p p li c a t i o nl a y e r ，b e t w e e ns y s t e mk e r n e la n di k eg u a r dp r o c e s s a r er e a l i z e db yp f - k e yp r o t o c 0 1 a tl a s t ，t h i st h e s i sd i s c u s s e st h e1 i m l t a t i o no f t h ei p s e ca p p l i c a t i o nd e e p l ya n dp u tf o r w a r dt h e s u g g e s t i o n s ， k e y w o r d s ：n e t w o r ks e c u r i t yv p ni p g e cn e t f i l t c r 声明 本人呈交给山东科技大学的这篇硕士学位论文，除了所列参考文献和世所公 认的文献外，全部是本人在导师指导下的研究成果。该论文资料尚没有呈交于 其它任何学术机关作鉴定。 硕士生签名：善 彭 日期：2 时j 、占 a f f i r m a t i o n id e c l a r et h a tt h i sd i s s e r t a t i o n ，s u b m i t t e di nf u l f i l l m e n to ft h er e q u i r e m e n t s f o rt h ea w a r do fm a s t e ro fp h i l o s o p h yi ns h a n d o n gu n i v e r s i t yo fs c i e n c ea n d t e c h n o l o g y , i sw h o l l ym yo w nw o r ku n l e s sr e f e r e n c e do fa c k n o w l e d g e t h e d o c u m e n th a sn o tb e e ns u b m i t t e df o rq u a l i f i c a t i o na ta n yo t h e ra c a d e m i c i n s t i t u t e s i g n a t u r e ：5 肌吻 d a t e ：s 6 忍 山东科技犬学顾士学位论文 绪论 1 绪论 由于通信技术、微电子技术和计算机软件技术的迅猛发展，在开放系统互联模型和 t c p i p 协议族的规约下，异型计算机之间、异构网络之间互联的技术屏障已披完全打 破，由此推进了信息技术的高速发展。伴随着信息时代的到来，计算机网络已经成为国 家的经济基础和命脉，在各个领域迅速普及，整个社会对网络的依赖程度越来越大。然 而，网络技术。1 是把双刃剑，在广泛和深刻地改变传统生产、经营、管理和生活方式， 成为新的经济增长点和先进文化的重要传播工具的同时，也对信息的所有权、使用权和 拒绝权提出了挑战。安全问题已经成为保障和推动信息网络健康发展的关键。目前，计 算机系统面临的最主要的安全风险包括两方面：一是信息在传输时被窥探或非法修改；二 是来自公网对内部网的非法访问和攻击。i n t e r n e t 使一些别有意图的人获得了一个更隐 蔽的犯罪场合或炫耀技能的舞台，而且有相当部分人的行为严重威胁了公众的利益， 也影响了i n t e r n e t 在某些领域的深入使用，因此迫切需要一种能够很好地解决i n t e r n e t 安全性的技术或方法。 虚拟号用网( v p n ) ”1 正是提供这样一种集专网的安全性和公网的经济、方便于一体的 有效解决方案。无论是从市场的角度还是从研究的角度，研究v p n 的系统构建都是非常 有意义的。v p n 技术保障了公网数据传输的安全性，它采用身份认证、存取控制、数据 机密性、数据完整性等措施，来保证信息在传输中不被偷看、篡改、复制。 v p n 是通过跨越基于i p 协议的公网建立起一条专用通道来实现公网私用。v p n 技术 的核心是隧道技术。隧道允许v p n 的数据流被路由通过i p 网络，而不管生成该数据流的 是何种类型的网络或设备。隧道技术包括第三层的隧道技术1 p i p ，6 r e 、i p s e c 以及第二 层的隧道技术l 2 t p ，p p t p 等。而i p s e c 协议是目前最完善的一套安全协议，它采用严格 的加密和验证机制，并结合i k e 自动密钥交换协议，可形成一整套安全完整的v p n 解决 方案。而且i p s e c 在设计之初就考虑了向i p v 6 的过渡，因此设计时完全考虑了在i p v 6 f 的使用，从而为长远的应用和发展奠定了基础。目前最为主流的v p n 技术，即i p s e cv p n 技术。对i p s e cv p n 技术的研究和应用在安全领域具有重要的意义。 论文紧密围绕l i n u x 下基于i p s e c 的v p n 网关的研究与实现这个主题，分析了i p s e c 协议和v p n 技术，结合l i n u x 的系统内核，着重从系统和应用的角度出发，对l i n u xf v p n 网关的系统构建、功能设计、实现方法进行了深入的研究。主要作了以下工作： l 山东科技大学硕士学位论文绪论 1 研究了v p n 网关实现的主要技术，包括i p s e c 协议、i k e 协议、l i n u x 网络体系 结构和n e t f il t e r 框架。 2 对基于i p s e c 的v p n 网关的设计思想进行分析和研究，给出了一种实现方案和 总体构架，按功能进行了模块的划分并予以实现。 3 分析i k e 协议在v p n 网关中的重要性，在系统中引入i k e 模块，并给出一种i k e 的设计方案。 4 分析了i p s e c 协议在应用上的局限性，并提出相应的建议。 山东科技大学硕十学位论文嘲络安全概述 2 网络安全概述 2 1 网络安全概念 网络安全【3 】是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数 学、数论、信息论等多种学科的综合性科学。网络安全是指网络系统的硬件、软件及其 系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，确保系 统能连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信 息安全。从广义来说，计算机网络的安全性可定义为：保障网络信息的保密性、完整性 和网络服务的可用性及可审查性。前者要求网络保证其信息系统资源的完整性、准确性 及有限的传播范围；后者则要求网络能向所有的合法用户有选择地随时提供各自应得到 的网络服务，即凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可审查性 的相关技术和理论都是网络安全的研究领域。 网络安全的主要目标是要确保经网络传送的信息，在到达目的站时没有任何增加、 改变、丢失或被非法读取。要做到这一点，必须保证网络系统软件、应用软件系统、数 据库系统具有一定的安全保护功能，并保证所有网络部件，如终端、调制解调器、数据 链路等的功能不变，而且只有那些被授权的人们才可以访问，网络的安全性问题实际上 包括两方面的内容一是网络的系统安全二是网络的信息安全，而保护网络的信息安 全是最终目的。 2 2 网络安全体系结构 国际标准化组织( i s o ) 的计算机专业委员会( i s o i e cj t c i s c 2 1 ) 根据网络开放系 统互连7 层参考模型( o s i ) 制定了一个网络安全体系结构，用来解决网络信息系统中的安 全与保密问题。 o s i 安全体系结构【4 3 主要包括三部分内容：安全服务、安全机制、安全管理。首先它 列举了开放式系统的各种威胁，并针对这些威胁定义了一组安全服务。为支持这些安全 服务，o s i 安全体系结构中定义了一些安全机制。o s i 安全管理涉及与o s i 有关的安全的 管理以及管理的安全两个方面。o s i 安全管理不是正常的通信业务，但为用户的通信提 供安全支持与控制。 3 生篓型壁奎兰堡主兰堡兰兰 塑墅至垒竺堕 1 安全服务 o s i 安全体系结构定义了一组安全服务包括：认证服务、访问控制服务、数据保密 服务、数据完整性服务和抗抵赖服务。 认证服务 认证服务提供某个实体的身份保证。认证的一个熟知方法是口令。由于在某种程度 上，o s i 安全体系结构的其他安全服务都依赖于认证服务，或者和认证服务紧密地 结合，因此认证是一个重要的安全服务。 访问控制服务 访问控制服务就是对某一些确知身份限制对某些资源的访问，可以防止未授权的实 体访问资源( 如汁算机资源、信息资源等) 。访问控制服务直接支持保密性、完整性、 可用性和认证的安全性能，其中对保密性、完整性和认证所起的作用十分明显。对 于可用性所起的作用，取决于对其他一些方面是否有效地控制。 数据保密性服务 数据保密性服务保护信息不泄漏或不暴露给那些未授权掌据该信息的实体。包括： 连接保密性、无连接保密性、选择字段保密性、业务流保密性。数据保密性服务直 接保证安全性能的保密性。 数据完整性服务 数据完整性服务保护数据在存储和传输中的完整性。包括：可恢复的连接完整性、 不可恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接 完整性。 抗抵赖服务 抗抵赖服务与其他安全服务有根本的不同。它主要保护通信系统不会遭到来自系统 中其他合法用户的威胁，而不是来自未知攻击者的威胁。“抵赖”最早被定义成种 威胁，它是指参与某次通信交换的一方事后不诚实地否认曾发生过本次交换。抗抵 赖服务是用来对付这种威胁的。抗抵赖服务有两种形式：数据起源的抗抵赖和传递 过程的抗抵赖。 2 安全机制 为支持以上的安全服务安全体系结构中定义了一些安全机制。这些安全机制可以 设置在适当的层次上，以便提供上述的某些服务。安全机制包括： 加密机制 4 山东科技大学硕上学位论殳网络安全橛述 加密机制可以用来加密存放着的数据或传输中的信息，它既可以单独地使用 也可以同其他机制结合使用。 数字签名机制 数字签名机制由两个过程组成：签名过程和验证过程。签名机制的本质特征为 该签名只有使用签名者的私钥才能产生出来。 访问控制机制 访问控制机制根据实体的身份及其有关信息，来决定给实体的访问权限。访问 控制机制是信息保护的前沿屏障，是按照事先确定的规则决定才体对客体的访问是 否合法。 数据完整性机制 数据完整性机制主要支持数据完整性服务。数据完整性包括两种形式：一种是 数据单元的完整性，另一种是数据单元序列的完整性 鉴别交换机制 鉴别交换以交换信息的方式来确认实体身份。用于鉴别交换的技术有： 口令， 由发方实体提供，收方实体检测：密码技术，将交换的数据加密，只有合法用户才 能解密；用实体的特征和所有权，常采用的技术是指纹识别和身份卡等。 业务流量填充机制 这种机制主要是针对非法者在线路上监听数据并对其流量和流向分析。采用的 方法一般是由保密装置在无信息传输时，连续地发出伪随机序列，使得非法者无法 区分有用信息和无用信息。 路由控制机制 在一个大型的网络中，从源节点到目的节点可能有多条可到达的线路，有些线 路可能是安全的，而另一些则是不安全的。路由控制机制可使信息发送者选择特殊 的路由申请，以保证数据安全。 公认机制 公证机制建立一个有权威的第三方，它能够确保双方通信中的身份及其数据， 例如确保数据的完整性、数据的发起者身份、时间和地点等。提供公证的第三方必 须是通信实体所信任的，并掌握必要信息以一种可证实方式提供所需的保证。每个 通信实例可使用数字签名、加密和完整性机制以适应公证机制。当这种公证机制被 用到时，数据便在参与通信的实体之间经由受保护的通信实例和公证方进行通信。 e 山东科技大学硕上学位论义网络艾拿概述 3 安全管理 o s l 安全体系结构的第三个主要部分就是安全管理。支全管理的主要内容是实施一 系列的安全政策，对系统和网络上的操作进行管理，安全管理是网络安全必不可少的部 分。 o s i 安全管理不但支持行政机构强加的强制安全管理策略，还应该支持对安全有更 高要求的个别系统需要的自主安全策略。一个0 s i 安全管理机构所管理的多个实体构成 一个o s i 安会环境，有时还叫做安全域。一个o s i 安全环境维护一个安全管理信息库 ( s m i b ) 。s m i b 存储开放系统所需的与安全有关的全部信息，包括各个端系统能够执行某 个适当的安全策略所需要的信息。s m i b 在0 s i 安全环境中扮演一种协调的安全策略。除 此以外，不同o s i 安全环境之间可以互相交换安全信息，例如s m i b 信息交换。 o s i 安全管理包含三部分：系统安全管理，它涉及到整体o s i 安全环境的管理；安 全服务管理，它涉及到特定安全服务的管理；安全机制管理，涉及的是特定安全机制的 管理。 2 3 常用的安全技术 1 认证技术 认证技术【7 i 是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否 属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认 证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者象指纹、声 音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的安 全。 常有的认证技术包括传统的口令认证。具有令牌访问设备的双因素认证，采用提问一 相应方法的提问一握手认证协议c h a p ( c h a l l e n g eh a n d s h a k ea n t h e n t i a a t i o np r o t o c 0 1 ) ， 基于可信赖的第三方认证系统k e r b e r o s ，以及采用非对称密码体制( 公钥制) ，基于x 5 0 9 证书的认证技术。而基于x 5 0 9 证书的认证技术适用于开放式网络环境下的身份认证， 该技术已被广泛接受，许多网络安全程序都可以采用。 逻辑上，互信的各方产生一个封闭的虚拟社团会增强安全性，但是，各方也需要有 兼容的安全机制来相互认证，低级用户可访问的资源往往会受到对方高级别安全机制的 限制。在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面 来综合考虑，安全性能最高的不一定是最好的。认证理论和技术还在不断发展之中，尤 6 些查型垫查兰堡主兰垡堡苎旦竺茎全竖堕 其是移动计算环境下的用户身份认证技术和对等实体的相互认证机制发展还不完善，如 何减少身份认证机制和信息认证机制中的计算量和通信量，面同时又能提供较高的安全 性能，都信息安全领域需要进一步研究的问题， 2 防火墙技术 网络防火墙【3 ，7 1 是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通 过外部网络进入内网，访问内网资源，保护内部网络操作环境的特殊网络互联设备。它 对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定 网络之间的通信是否被允许，并监视网络运行状态。防火墙能有效的控制内部网络与外 网之间的访问及数据传递，从而达到保护内部网络的信息不受外部非授权用户的访问， 并过滤不良信息的目的。安全、管理、速度是防火墙的三大要素。 建立防火墙主要技术有：数据包过滤、应用层网关、代理服务器、状态检查等。在 此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要保 证。 在内外网之间设置防火墙可以实现内部网络的访问控制及其它安全策略，从而降低 内部网络的安全风险，保护内部网络的安全。尽管它以突出的性能和成熟的技术获得了 极为广泛的应用，但是它仍然带有某些不足和缺陷。在追求高安全性的同时，防火墙也 会限制了有用的安全服务；对外网的防御使它无法防护来自内网的攻击：作为一种被动 的安全防护技术，只能作用于已知的网络威胁，无法应对不断更新的安全问题并且存在 大量的后门，这都是防火墙有待解决的问题。 3 安全隔离技术 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，种新的网络安 全技术“安全隔离技术”应运而生。隔离技术把两个或两个以上可路由的网络( 如： t c p i p ) 通过不可路由的协议( 如：i p x s p x 、n e t b e u i 等) 进行数据交换而达到隔离目 的，在确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下， 完成网问数据的安全交换。 隔离概念产生后，隔离产品的大量出现，隔离技术经历了完全隔离、硬件卡隔离、 数据转播隔离、空气开关隔离和安全通道隔离5 代的发展演变。而第5 代的隔离技术通 过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不 仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现 了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。 7 i h 东科技大学硕士学位论文网络安全概述 目前国内市场上的隔离产品大多是基于主机的，这些隔离产品符合国家对内、外网 物理隔离的要求，其不同网络之间的信怠交换将完全依赖手工操作的方式，以磁盘等为 中问介质进行。但是，这种信息交换方式实时性差、效率很低，往往会造成信息传递的 阻塞。同时，这种方式对所传递的数据的合法性、安全性没有可靠的技术措旋保障，人 为因素造成失误的可能性极大，仍然存在网络安全隐患。而一些隔离网闸产品，多采用 协议转换的方式，只是实现了物理隔离和网络断开，没有从理论上解释其安全性，在实 际的应用中出现了不少安全问题。因此，真正的网隔产品还需继续研究、研制。 4 虚拟专用网技术 虚拟专用网 7 1 ( v i r t u a lp r i v a t en e t w o r k ，v p n ) 是近年来随着i n t e r n e t 的发展而 迅速发展起来的一种技术。现代企业越来越多地利用i n t e r n e t 资源来进行商务活动。许 多企业趋向于利用i n t e r n e t 来延伸它们私有数据网络。这种利用公用网络来传输私有信 息而形成的逻辑网络就称为虚拟专用网。虚拟专用网技术的引入从根本上满足了企业用 户的低通信费和高灵活性的双重需求，重要的是它提供了与专用线路相媲美的通信安全 保障。 按照用户对v p n 网络数据通信安全性的要求，目前所有的v p n 产品都应用了相关的 技术，这些技术包括隧道技术、资料加密、认证及存取控制等。隧道技术是v p n 的核心 技术，利用隧道技术，v p n 跨越基于i p 协议的公网和专用网建立一条专业通道来实现公 网私用，传送过程中的v p n 数据的保密性和完整性则可以通过加密技术得以实现。v p n 采用了现存的用户认证技术( p a p 技术、c h a p 技术等) 实现了用户身份认证、数据的完 整性和合法性认证。在确认用户身份之后，通过存取控制来实现针对不同用户授予不同 的存取权限。 v p n 代表了当今网络发展的最新趋势，它综合了传统数据网络的性能优点一安全、 服务质量和共享数据网络结构的优点一简单、低成本，必将成为未来传输完全汇聚业务 的主要工具。 山东科技大学硕士学位沦文v p n 技术研究 3v p n 技术研究 3 1v p n 的产生与前景 近年来，企业跨地区、跨国化发展成为一种趋势这就导致企业的各分支机构遍布 全球各地，在外办公的员工也越来越多。同时，企业间的合作、企业与客户阃的联系愈 来愈广泛、紧密。而这些合作和联系需要依靠网络的加强和维持，这样不但带来了网络 的复杂性，还有网络的管理和安全问题。仅通过公用的因特网是很难保证其安全性的。 而采用传统的租用专线，保证了安全性却不能从根本上解决企业用户的实际困难。v p n 这种基于公网的动态、安全的连接解决方案就成为时代之需。v p n 技术可以从根本上满 足企业用户的低通信费和高灵活性的双重需求，重要的是它可以提供与专业线路相媲美 的通信安全保障。 v p n 6 】代表了当今网络发展的最新趋势，能够提供远程访问、外部网和内部网的联接， 价钱远远低于专线或帧中继网络。而且v p n 在降低成本的同时满足了对网络带宽、接入 和服务不断增加的需求，迎合了用户对安全性和网络性能的追求。随着企业全球化进程 的不断深入和移动办公队伍的不断增长，越来越多的企业、政府、机构采用了v p n 技术、 产品和服务。而互联网近两年的迅猛发展和技术的成熟，更是推动了具有虚拟专用网功 能的服务和产品成为网络安全市场的大热点。据美国i n f o n e t i c sr e s e a r c h 公司最新的 研究表明：欧洲的v p n 产品及服务将在2 0 0 2 年一2 0 0 6 年得到1 5 0 以上的发展，业务量 从2 0 0 2 年的5 4 亿美元增长到2 0 0 6 年1 3 2 亿美元。而对全球的预测中，在2 0 0 3 年一2 0 0 7 年中，v p n 服务及产品市场增长率也都在4 2 以上，市场量从2 5 3 亿美元增长到3 5 8 亿美元。 国外的v p n 的研究与应用并不比国内早多少，但是国外市场的成熟度还是高于因内。 国内的很大一部分需要v p n 服务的用户都是一些跨国公司，因为他们在国外的总部已经 在应用v p n 服务，所以，当他们进入中国，也希望能在中国获得这种服务。可以说，国 内v p n 市场的发展受到了国际大环境的很大影响。虽然目前国内的v p n 市场仍处在起步 阶段，但其日益旺盛的需求显示出它的市场潜力。如政府部门、金融企业等，对网上传 输的数据安全保密要求非常高，而v p n 提供了这样一种集专网的安全性和公网的经济、 方便于一体的有效解决方案，其应用前景非常广大。 9 山东科技大学硕士学位论文 v p n 技术研究 3 2v p n 的隧道技术 v p n 4 1 是利用公网或专网来来构建虚拟专用网络，它通过特殊设计的硬件和软件，商 接通过荚享的i p 网所建立的隧道来完成。任何v p n 技术的核心都是隧道技术。隧道允许 v p n 数据流被路由通过i p 网络，而不管生成数据流的是何种网络或设备，隧道内的数据 可以是i p 、i p x 、a p p l e t a l k 或其他类型的数据包。 隧道技术是用附加的报头封装数据帧，在隧道被初始化之后，传送过程中v p n 数据 的保密性和完整性可以通过高级加密技术加以保护，附加的报头提供了路由信息，因此 封装后的能够通过中间的公用网。封装后的包所途径公网的逻辑路径称为“隧道”。一旦 封装的包到达公网上的目的地，附加报头就会被释放，数据帧直接发送到目的地。 要形成隧道，必须有以下几个基本要素： 隧道开通器：用于数据发送端在发送数据中开通专用隧道。 隧道开通器在公用网中开出一条隧道，有利于发送端将数据发送到专用隧道进 行传输，用在v p n 的两端。目前，有多种网络设备和软件可以充当，如移动办公用 户所配有的5 6 k b p s 调制解调卡和v p n 拨号软件的笔记本电脑，支持v p n 技术的 w i n d o w s 、l i n u x 系统都可以担当隧道开通器的角色。 有路由能力的公用网络：这主要是有带v p n 路由功能的路由器完成。 + 个或多个隧道终止器：以确定数据报头和帧的分离位置。 隧道终止器的任务是使隧道终止，不再继续向前延伸。目前，有多种网络 设备和软件可以充当，如企业网络中的隧道交换机，支持v p n 技术的w i n d o w s 、 l i n u x 系统等。在实际的v p n 连接中，可根据需要创建不同类型的v p n 隧道， 主要有以下两种： 自愿隧道：由客户端计算机通过发送v p n 请求来创建和配置的，双方用户端 计算机作为隧道的端点。这种方式常在软件中应用，也是目前使用普遍使用 的隧道类型。 强制隧道：由支持v p n 的拨号接入服务器来创建和配置的。此时，双方用户 端的计算机不作为隧道端点，而由位于用户计算机和隧道服务器之间的远程 接入服务器作为隧道客户端，成为隧道端点。强制隧道方式多适用于大型企 业用户。 v p n 的虚拟性在于使用隧道作为穿越公用网络的链路。隧道技术的核心是隧道协议。 山东科技大学硕士学位论文v p n 技术研，e 由3 c o m 公司和m i c o r o s o f t 公司合作开发的p p t p 是第一个广泛使用建立v p n 的协议，它 是p p p 协议的扩展。主要增强了p p p 协议的认证、压缩、和加密功能。p p t p 协议使用一 般路由封装( g r e ) 头文件和i p 报头封装p p p 数据帧，并继承了p p p 的认证和加密机制， 包括p a p 、c h a p 、m s c h a p 身份验证机制和m p p e 机制。p p t p 协议支持所有主流协议如： i p 、i p x 、n e t b e u i 等，在基于t c p i p 的数据网络上创建v p n 连接，实现远程计算机到 专用服务器的安全数据传输，v p n 服务器执行所有的安全检查和验证，并启用数据加密， 保证了数据传输如同专用网一样的安全。并提供流量控制，减少拥塞的可能性，避免由 包丢弃而引发包重传的数量。 1 9 9 6 年，c i s c o 提出l 2 f ( l a y e r2f o r w a r d i n g ) 隧道协议，它支持多协议，主要用 于c i s c o 的路由器和拨号访问i p 服务器之间的通信。1 9 9 7 年底，m i c o r o s o f t 和c is c o 公司把p p t p 协议和l 2 f 协议的优点结合形成了l 2 t p 协议。因为具有p p t p 和l 2 f 两者的 特点，所以它支持c l i e n t t o l a n 类型和l a n t o l a n 类型的v p n 连接，支持多种协议， 可利用公共网络封装p p p 帧，可以实现与企业原有非i p 网的兼容，解决了多个p p p 链路 的捆绑问题，提供了差错和流量控制。作为p p p 的扩展协议，它支持c h a p 和p a p 协议， 可以进行用户身份验证。 微软己把p 町p l 2 t p 作为路由软件的一部分，方便了广大微软用户。但是它们也具 有一些不安全因素。它们用数据帧在两台计算机之间创建和打开数据通道，一旦通道打 开，源和目的用户的身份验证就不再需要，这样可能带来问题。它不对两个节点间的信 息传输进行监视或控制。端点用户需要在连接前手工建立加密信道。认证和加密受到限 制，没有强加密和认证支持。p p t p 和l 2 t p 最适合用于远程访问虚拟专用网。 i p s e c 是i h t f ( i n t e r n e te n g i n e e rt a s kf o r c e ) 正在完善的安全标准，它把几种安 全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数 据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。i p s e c 由a h ( a u t h e n ti c a ti o nh e a d e r ，认证头) 、e s p ( e n c a p s u l a t e d s e c u r it yp a y l o a d ，安全载荷 封载) 和i k e ( i n t e r n e tk e ye x c h a n g e ，i n t e r n e t 密钥管理协议) 组成。i p s e c 是标准的 网络层安全协议，在网络层上对数据包进行高强度的安全处理，提供数据源验证、无连 接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可 以共享i p 层提供的安全服务和密钥管理，而不必产生设计和实现自己的安全机制，减少 了密钥协商的开销，降低了产生安全漏洞的可能性。i p s e c 可咀连续或递归应用，在路 由器、防火墙、主机和通信链路上配置，实现端到端安全、虚拟专用网络和安全隧道技 坐至型茎查兰堕主兰垡堡兰 ! 型垫查竺窒 术。i p s e cv p n 技术已成为目前主流的一种v p n 技术。 s o c k sv 5 工作在0 s i ( o p e ns y s t e mi n t e r n e t ) 模型中的会话层，是一种需要认证 的防火墙代理协议，可作为建立高度安全的v p n 基础。s o c k sv 5 支持大范围的认证、加 密、隧道技术以及密钥管理等模式，它的优势在于访问控制。它能够非常详细地进行访 问控制，在网络层只能根据源目的的i p 地址允许或拒绝数据包的通过，而在会话层控制 手段更多一些；由于工作在会话层，能同低层协议如i p v 4 、i p s e c 、p p t p 、l 2 t p 结合使 用：用s o c k sv 5 的代理服务器可隐藏网络地址结构：能为认证、加密和密钥管理提供“插 件”模块，让用户灵活地采用所需要的技术：s o c k sv 5 可根据规则过滤数据流，包括j a v a a p p l e t 和a c t i v e s 控制。但是，它也有不少令人遗憾之处：性能比低层次协议差，必须 制定更复杂的安全管理策略。这样，它最适合用于客户机到服务器的连接模式，适用于 外部网v p n 和远程访问v p n 。 3 3 1i p s e c 协议体系 3 3i p s e c7 p n 技术 i p s e c 1 】是i ps e c u r i t y ( i p 安全) 的缩写，它是i e t f 为在i p 层提供安全服务而定 义的一组相关协议的集合。设计i p s e c 的目的是为i p v 4 和i p v 6 提供可互操作的、高性 能的、基于加密技术的通信安全。目前，i p s e c 已被业界普遍接受和应用，遵循i p s e c 标准的产品不仅可以实现无缝连接和互操作，而且对传输层咀上的应用是透明的。i p s e c 为i p 网络安全提供了统一的和切实可行的解决方案。i p s e c 作为网络层安全协议，实现 了基于i p 数据包的安全保护，能为上层协议提供透明的安全服务，它的开放性和灵活性 使它具有广泛的应用和良好的发展前景。i p s e c 是下一代i n t e r n e t 协议l p v 6 的基本 组成部分，使i p v 6 必须支持的功能；i p s e c 协议能与其他协议相结合提高更强的安全性。 目前i p s e c 最主要的应用是构造虚拟专用网。 p s e c 的安全目标是通过认证头( a h ) 、封装安全负载( e s p ) 和密钥交换协议的使 用来完成的。使用任何环境中的i p s e c 协议集及其使用的方式是由用户、应用程序、站 点、组织对安全和系统的需求来决定的。i p s e c 协议的优点可以总结为以下几个方面： 1 更好的兼容性。 2 比高层安全协议( 如s o c k v f i ) 的性能更好，实现起来方便；比低层安全协议 坐变型蔓奎兰塑主兰堡堡苎 更能适应通信介质的多样性。 v p n 技术研究 3 系统开销小。不仅可以实现密钥的自动管理以降低人工管理密钥的开销，而且 多种高层协议和应用可以共享由网络层提供的密钥管理基础设施( k m i ) ，这大大降低了 它们密钥协商的开销。 4 透明性好。