（计算机应用技术专业论文）基于ipsec协议的vpn网络安全技术的研究与实现.pdf

南j x 航空航天人、# 顾士学位论文 摘要 随着i n t e m e t 商业应用的目益广泛，i n t e r n e t 的安全性愈来愈重要。企业租用专线 进行数据传输，固然可以保证安全性，但费用昂贵。虚拟专用网v p n ( v i r t u a lp r i v a t e n e t w o r k ) 技术是解决安全与费用矛盾，实现安全传输的重要手段。本文首先介绍了 v p n 所涉及的各项安全技术，包括隧道协议、加密技术、认证技术等，然后分析了 基于i p s e c 协议的v p n 网络安全体系结构以及各组件的功能、工作方式，并在此基 础上给出了一种i p s e cv p n 的具体实现，提出了使用协议开关表和l i n u x 的n e t f i l t e r 机制将i p s e c 处理嵌入i p 处理中；使用哈希表实现安全关联库；使用r a d i x 结构实现 安全策略库的设计思想，并着重讨论了框架结构、关键技术。最后，文章对现有的i p s e c v p n 系统中存在的问题进行了探讨，提出了自己的解决思路，构造了扩展的v p n 模 型，并对模型的可行性及设计实现做了分析。 关键字：传输安全，虚拟专用网，隧道协议，i p 安全协议，安全联盟，封装安全载 一一 - 。一 一 一煎蛰亟，验证头协议，公共密钥基础设施 基ri p s e c 协议的v p n 网络安全技术的研究与实现 a b s t r a c t w i t he x p a n d i n go fi n t e r n e ta p p l i c a t i o n si nc o m m e r c e ，s e c u r i t yo fi n t e r n e tb e c o m e s m o r ea n dm o r ei m p o r t a n t f o re m e r p r i s e s ，p h y s i c a lp r i v a t en e t w o r ki s s e c u r e ，b u t i ti s e x p e n s i v e t h et e c h n o l o g yo f v i r t u a lp r i v a t en e t w o r kr v p n ) i st h em a j o rw a yt os o l v et h e c o n t r a d i c t i o no f s e c u r i t ya n de x p e n d i t u r e i nt h i sp a p e r ，w ei n t r o d u c es e c u r i t yt e c h n o l o g i e s u s e di nv p n ，s u c ha st u n n e l i n gp r o t o c o l ，e n c r y p t i o n ，a u t h e n t i c a t i o na n ds oo n ，a n de x p l a i n t h ea r c h i t e c t u r eo fv p nb a s e do nt h ep r o t o c o lo fi ps e c u r i t y ( i p s e c ) a f t e rt h e s e ，w e p r o p o s e t h er e a l i z a t i o no fi p s e cv p n i nt h er e a l i z a t i o n ，w ed i s c u s st h e d e s i g n o f i m p l e m e n t i n gt h et r a n s a c t i o no f i p s e cw i t ht h ep r o t o c o ls w i t c h i n gt a b l ea n dt h en e t f i l t e r m e c h a n i s mi nl i n u x ，i m p l e m e n t i n gs e c u r i t ya s s o c i a t i o nd a t a b a s e ( s a d ) w i t hh a s ht a b l e a n di m p l e m e n t i n gs e c u r i t yp o l i c yd a t a b a s p ( s p d ) 、v i _ 【1 1t h es t r u c t u r eo fr a d i xt r e e w e a l s od i s c u s st h e a r c h i t e c t u r ea n dk e yt e c h n o l o g i e si n d e t a i l f i n a l l y ，w ea n a l y z em a n y p r o b l e m s i n e x i s t i n gi p s e cv p na n db r i n gu p am o d e lo fe x p a n d i n gv i r t u a lp r i v a t e n e t w o r k ( e v p n ) k e y w o r d s ：t h es e c u r i t yo f t r a n s p o r t ，v i r t u a lp r i v a t en e t w o r k ( v p n ) ，t u n n e l i n gp r o t o c o l ， i ps e c u r i t yp r o t o c o l ( i p s e c ) ，s e c u r i t ya s s o c i a t i o n ( s a ) ，e n c a p s u l a t i n gs e c u r i t yp a y l o a d ( e s p ) ，a u t h e n t i c a t i o nh e a d e r ( a h ) ，p u b l i ck e yi n f r a s t r u c t u r e ( e r a ) 南京航空航犬人学顺十学何论文 1 1引言 第一章绪论 随着信息时代的来临，企业网的应用不断发展，企业网的规模也不断扩大，从本 地网络逐渐发展到跨地区、跨城市乃至跨国家的网络。与此同时，随着互联网的迅速 发展，i n t e r a c t 已经遍布世界各地，可从物理上把世界各地的信息资源相互连通。正 因为i n t e r n e t 的这种面向全世界的开放性，信息通过i n t e m e t 进行传输时，就存在很 多隐患，安全性得不到保障。为了保证企业信息传输的安全，传统的解决方法是在企 业各分支机构之间采用专用线路构建企业专网，但这样往往制约了企业的扩展和企业 间的沟通，并且需要租用昂贵的跨地区数据专线。因此，如何将互联网和专用网的优 势有机结合起来，成为一个热门课题。 为了解决安全与费用的矛盾，实现安全传输，虚拟专用网v p n 技术( v i r t u a lp r i v a t e n e t w o r k ) 的概念与市场随之出现。它利用i n t e r n e t 建立安全的专有网络，融合了互联 网的开放性和专用网的安全性，为网络应用揭开了新的一页。其实，虚拟专用网v p n 技术并不是什么新鲜事物，早在1 9 9 3 年，欧洲虚拟专用网联盟e v u a ( e u r o p e a n v p n u s e r s a s s o c i a t i o n ) 就成立了，力图在全欧洲范围内推广v p n ，但那时的v p n 还主要 是一个技术名词，没有真正的v p n 服务。i n t e m e t 的迅猛发展为v p n 提供了技术基 础，全球化的企业为v p n 提供了市场，使得v p n 开始遍布全世界。v p n 是指在公 共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需 要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息； 同时，企业还可以利用公众信息网的拨号接入设备，提供员工远程安全访问企业网的 服务。使用v p n 有节省成本、提供远程安全访问、扩展性强、便于管理和实现全面 控制等好处，是目前和今后企业网络发展的趋势。 v p n 所涉及的网络安全技术中最重要的是安全隧道技术。隧道协议中最为典型 的有i p s e c 、l 2 t p 、p p t p 、l 2 f 等。其中i p s e c 已基本完成了标准化的工作。现在组 建虚拟专用网，大多以i p s e c 协议为基础。 1 2 国内外研究概况 作为网络层的安全标准，i p s e c 经提出，就引起计算机网络界的注意，几乎 址 界上所有的计算机公司都宣布支持这个标准，并且不断推出自己的产品。但是由于标 准提出的时间很短，而且其中又有一个重要组成部分策略没有标准化，因此尽管 丛1 ii p s e c 阱议的v p n 网络安全技术的研究与实现 产i - i 利一类 艮多，但真f 合格的产品却很少。 目自u ，世界上最权威的i p s e cv p n 产品评测中心为国际计算机安全协会i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t y a s s o c i a t i o n ) 实验室。至2 0 0 1 年5 月2 5 日，全球只 有3 5 个产品通过了它的测评。这3 5 个产品都是国外的产品，没有我国的产品。国内 计算机安全产品检测有两个机构：中国国家信息安全测评认证中心计算机测评中心和 公安部计算机信息安全产品质量监督检验中心。从介绍来看，这两个机构都没有专门 的i p s e c 功能评测。一些通过评测的产品，只是说明自己的产品具有i p s e c 功能。1 5 3 1 现在，虽然国外已经有了基于i p s e c 的v p n 产品，但是我国政府明令禁止国家 机要部门使用国外的安全产品。同时即使对于般的国内企业，由于西方国家严格限 制对我国的密码产品的出口，因此真正能够在我国使用的国外产品，安全性也不能满 足要求。 据有关调查结果表明：在未来的几年里，电信、金融、政府、能源、教育、交通 等不同的行业，随着网络信息化建设的不断完善，都不同程度的需要进行异地传输信 息和数据资料，因此也都不同程度地对v p n 产品产生了采购需求。尤其是政府部门， 随着电子政务的进一步实施深化，安全性和保密性要求将会越来越大。 5 9 1 因此，进行基于i p s e c 的v p n 网络安全技术的研究与实现，不仅十分必要，而 且有着重要的现实意义。 1 3 论文研究内容 v p n 的概念产生了近十年，目前网络上也流传一些免费的v p n 软件，如： f r e e s w a n 。但关于v p n 实现的很多方面的研究工作还处于各行其是的状态。本文在 阅读大量国内外文献、资料的基础上，对v p n 的实施方案及各项安全技术进行了探 讨，同时对基于1 p s e c 协议的v p n 做了系统的分析，提出了使用协议开关表和l i n u x 的n e t f i l t e r 机制将i p s e c 处理嵌入i p 处理中；使用哈希表实现安全关联库；使用r a d i x 结构实现安全策略库的设计思想，着重讨论了框架结构、关键技术，并对系统i p s e c 处理模块和安全策略模块的设计及实现做了详细的介绍。 在对i p s e cv p n 实现分析的基础上，本文针对目前v p n 系统在内部安全传输、 多重安全网关环境下的处理效率、源身份认证、密钥安全以及分布式安全管理等方面 存在的问题进行了探讨，提出了自己的解决思路，构造了扩展的v p n 模型，并对模 型的可行性及设计实现做了分析。 1 4 论文结构 全文共分五章，各章内容如下 南京航空航犬人学颁十学位论文 筇蒂：绪论，介绍课题的背景，国内外的研究概况和课题实现的意义，以及论 文的主要内容和结构： 第二章：虚拟专用网，论述虚拟专用网的产生、概念、分类以及实施v p n 的优 点，并讨论了v p n 中的主要安全技术加密、认证及隧道协议。然后分析并比较 了主要的隧道协议p p t p 、l 2 t p 与i p s e c 。 第三章：基于i p s e c 协议的v p n 网络安全技术，研究 p s e c 协议的体系结构、 工作模式以及i p s e c 中重要的概念安全联盟，同时针对i p s e c 的各个组成部分： a h 协议、e s p 协议、i n t e r n e t 密钥交换协议，进行详细论述。 第四章：i p s e cv p n 的设计与实现，首先从安全性、可扩展性的角度分析i p s e c v p n 系统应选用的系统平台，然后描述了系统的总体框架，对各模块做了概要介绍。 最后，对系统中的i p s e c 处理模块及安全策略模块进行了深入的探讨，提出了一些新 的设计思想，并给出了模块的具体实现。 第五章：基于i p s e cv p n 的网络安全体系结构深入探讨，针对目前v p n 系统在 内部安全传输、多重安全网关环境下处理效率、源身份认证认证、密钥安全以及分布 式安全管理等方面存在的问题进行了探讨，提出了自己的解决思路，构造了扩展的 v p n 模型，并对模型的可行性及设计实现做了分析。 基i ： p s e cm 艾的v p n 网络安全技术的研究与实现 2 1v p n 概述 2 1 1v p n 的产生 第二章虚拟专用网 目前，我国各级政府机关和企事业单位都在建设自己的内部网以提高自身的工作 效率和竞争力。随着工作业务的不断扩大，网络规模也在扩大，有些甚至于超过了城 域网而真丁f 成为了广域网。如果按照传统的方式来建造自己的专用广域网或城域网， 昂贵的费用是任何一个单位都不愿承受的。因此，通常都是采用通过公众信息网进行 内部网络互连的。【5 4 】 公众信息网是对整个社会开放的公众基础网络，具有覆盖范围广、速度快、费用 低、使用方便等特点，但同时也存在着安全性差的问题。用户通过公众信息网传输的 信息，在传输过程中随时可能被偷看、修改和伪造，使信息的安全性和可靠性降低。 因此通过公众信息网进行内部网络互连尽管能够大幅度地降低组网的成本，但也带来 了重大的安全隐患。解决这矛盾的方法之一就是采用v p n ( v f f m a lp f i v a t e n e t 、v o r k 虚拟专用网) 技术。 v p n 指的是利用开放、公共、不设防的i n t e m e t 作为基本传输介质，通过安全网 络协议，形成专用的虚拟链路，在网上传送数据包，能够为最终用户提供类似于通常 专用网络安全性能的网络服务技术。1 4 4 v p n 技术实现了内部网信息在公众信息网中的安全传输，就如同在茫茫的广域 网中为用户拉出条专线。对于用户来讲，公众网络起到了“虚拟专用，的效果。通过 v p n ，网络对每个使用者也是专用的。也就是说，v p n 根据使用者的身份和权限， 直接将使用者接入他所应该接触的信息中。所以v p n 对于每个用户，也是“专用”的， 这一点应该是v p n 给用户带来的最明显的变化。 2 1 2 实施v p n 的优点 v p n 与传统专用网相比具有以下优点：1 4 9 1 5 0 1 大大降低网络建设投资和运行的成本 采用v p n 后，可以省去以前网络互连所需的专线：调制解调器和i s d n 接入发 备通过接入本地p s t n ，可以不必拨打长途电话：用户可以按照实际使用线路的情况 支付费用，避免了采用专线形式时因线路空闲而造成的浪费；采用v p n 所需的设各 南京航空航犬入学硕十学麻论文 较少，不需单独的调制解调器群、终端适配器、远程访问服务器等，由于i n t e m e t 接 入和v p n 合二为一，还可以使用成本较低的高速中继线路。 网络覆盖面宽 利用i n t e r n e t 的广域特性，可将企业的业务范围延伸到世界的每个角落。 理想的专用性 虽然v p n 是建立在开放的i n t e m e t 之上，但由于综合采用了隧道、加密和认证等 安全技术，使v p n 的专用性和安全性几乎可与传统的专用网媲美。 良好的灵活性 通过v p n 技术可以方便地重构i n t r a n e t 与e x t r a n e t 中的网络结构关系，移动用户 也可在任何地点访问i n t r a n e t 和e x t r a n e t 中的网络资源，这是传统专用网无法相比的。 2 1 3v p n 的分类 目前业界各大公司都推出各自的v p n 解决方案和产品，各家的产品侧重不同， 对于v p n 分类的阐述也不尽相同，由于c i s c o 公司在业界的特殊地位，c i s c o 公司提 出的v p n 分类方法成为了事实上的分类标准。 c i s i o 公司将v p n 分为三类：r e m o t e a c c e s s v p n 、i n t r a n e t v p n 与e x t r a n e t v p n 。 r e m o t e a c c e s s v p n 是指企业员工或企业的小分支机构通过公网远程拨号的方式访问 企业内联网而构筑的v p n 。i n t r a n e t v p n 是指一个组织内部如何安全地连接两个互相 信任的内联网，如企业的总部与分支机构间通过公网构筑的虚拟专用网。e x t r a l l e t v p n 是i n t r a n e tv p n 的一个扩展，是指通过因特网连接两台分别属于两个互不信任的 内部网络的主机，即不同企业网通过公网来构筑的虚拟专用网。其中通常把r e m o t e a c c e s sv p n 叫做拨号v p n ，即v p d n ( v i r t u a lp r i v a t ed i a ln e t w o r k ) ；将i n t r a n e tv p n 和e x t r a n e tv p n 统称为专线v p n 。 5 6 1 5 0 1 1 4 6 l ( 1 ) r e m o t e a c c e s s v p n ( 远程访问虚拟专用网) 与传统的远程访问网络相对应。 在该方式下远端用户不再是如传统的远程网络访问那样，通过长途电话拨号到公司远 程接入端口，而是拨号接入到用户本地的i s p ，采用v p n 技术在公众网上建立一个 虚拟的通道，这样可以大大降低远程访问的费用，同时使用户可以随时随地访问企业 资源。示例如图2 1 ： 图2 - 1 远程访问虚拟专用网 壁丁| p s e c 协议的v p n 刚络安全技术的研究与实现 ( 2 ) i n t r a n e t v p n ( 企业内部虚拟专网) 与企业内部的i n t r a n e t 相对应。在v p n 技术出现以前，公司两个异地机构的局域网想要互连一般会采用租用专线的方式。显 然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用 v p n 特性可以在i n t e r n e t 上组建世界范围内的i n t r a n e tv p n ，如图2 - 2 所示。利用 i n t e r n e t 的线路保证网络的互联性，而利用隧道、加密等v p n 特性可以保证信息在整 个i n t r a n e tv p n 上安全传输。i n t r a n e tv p n 通过一个使用专用连接的共享基础设施， 连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、 服务质量( q o s ) 、可管理性和可靠性。 图2 - 2 企业内部虚拟专用网 ( 3 ) e x t r a n e tv p n ( 扩展的企业内部虚拟专网) 与企 _ l k n 和相关合作伙伴的企 业网所构成的e x t r a n e t 相对应，如图2 - 3 所示。利用v p n 技术可以组建安全的e x t r a n e t v p n ，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的 安全。但由于是不同公司的网络相互通信，所以要更多的考虑设备的互连，地址的协 调，安全策略的协商等问题。 图2 - 3 扩展的企业内部虚拟专用网 2 2 v p n 的关键技术 实现v p n 的关键技术主要包括：隧道技术、用户认证技术、数据加密技术。 2 2 1隧道技术 要能够使得企业网内一个局域网的数据透明的穿过公用网到达另一个局域网， 虚拟专用网采用了一种称之为隧道的技术。隧道技术( t u n n e l i n gt e c l u l o l o g y ) 在计算机 南京航空航犬人学硕十学何论文 网络和数据通信领域有着十分重要的作用。它是一种通过使用互联网络的基础设旌仡 网络之间传递数据的方式。利用它可在一条广域链路上，从数据源到目的节点之间建 立条隧道。使用隧道传递的数据( 或负载) 可以是不同协议的数据帧或包。隧道侨 议将其它协议的数据帧或包重新封装，然后通过隧道发送。新的帧头提供路由信息， 从而使封装的负载数据能够通过互联网络传递，到达目的节点，然后进行解封，获得 原始数据包。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 隧道所使用的传输网络可以是任何类型的公共互联网络。 隧道技术包含了数据封装、传输和解包在内的全过程。如果将加密技术引入隧道 协议，即数据包经加密后按隧道协议进行封装，沿隧道传输，就可以确保其安全性， 从而在一条不安全的共享链路上建立一条能确保数据安全的有效通道，达到延伸网络 的目的。通过隧道的建立，可实现：将数据流强制送到特定的地址、隐藏私有的网络 地址、在i p 网上传递非i p 数据包和提供数据安全支持。 目前常用的安全隧道技术有：点到点隧道协议p p t p ( p o i n t t o p o i n tt u n n e l i n g p r o t o c 0 1 ) 、二层隧道协议l 2 t p ( l a y e rt w ot u n n e l i n gp r o t o c 0 1 ) 、i p 安全协议i p s e c ( i p s e c u r i t yp r o t o c 0 1 ) ，本系统中采用的是i p s e c 。隧道协议是v p n 关键技术中最为重要 的一项，本文将在下一节中进行更为详细的论述。 2 2 2 用户认证技术 认证包括对用户身份进行验证，而不仅仅是认证i p 地址，认证后决定是否允许 用户对网络资源的访问。现在有大量的认证技术来认证用户，包括用户名，口令、 r a d i u s 认证、令牌卡等。一旦一个用户同公司的v p n 服务器迸行了认证，根据他 的访问权限表，他就有一定程度的访问权限，每个人的访问权限表由管理员制订，并 且要符合公司的安全策略。 用户认证技术( u s e ra u t h e n t i c a t i o nt e c h n o l o g y ) 是指在隧道连接正式开始之前确 认用户的身份，以便系统进一步实施资源访问控制或用户授权( a u t h o r i z a t i o n ) 。认证 协议一般都要采用种称为摘要的技术。摘要技术主要是采用h a s h 函数将一段长 度可变的长报文通过函数变换，映射为一段长度固定的短报文即摘要。由于h a s h 函数的特性，使得要找到两个不同的报文具有相同的摘要是非常困难的。该特性使得 摘要技术在v p n 中有两个用途【5 6 】【4 6 1 ： ( 1 ) 验证数据的完整性。发送方将数据报文和报文摘要一同发送，接收方通过 计算报文摘要，与发来的摘要比较，相同则说明报文未经修改。由于在报文摘要的计 算过程中一般是将一个双方共享的秘密信息连接上实际报文同参与摘要的计算，不 知道秘密信息将很难伪造一个匹配的摘要，从而保证了接收方可以辨认出伪造或篡改 过的报文。 ( 2 ) 用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但 望- ri p s e c 协议的v p n 网络安全技水的研究与实现 又小希望验证秘密在网络上传送，这时一方可以发送段随机报文，要求对方将秘寄 信息连接上陔报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是酉 洲有秘密信息从而达到验证对方的目的。 常用的h a s h 函数有m d 5 、s h a 1 等。在i p s e cv p n 中缺省的认证算法 h m a c m d 5 和h a c s h a l 。h m a c 表示“散列信息认证码( h a s h e dm e s s a g e a u t h e n t i c a t i o nc o d e ) ”，m d 5 是“消息摘要5 ( m e s s a g e d i g e s t5 1 ”算法，s h a i 是“安 全散列算法1 ( s e c u r eh a s ha l g o r i t h mv e r s i o n1 ) ”。h m a c 连续两次应用同一种传统的 基于密钥的消息校验码，第一次利用密锅对数据加密，第二次是对上次的输出结果加 密。根据所使用的基本的消息校验码的不同，对这种算法可有不同的称号，如： h m a c m d 5 和h m a c s h a 等p7 1 h m a c m d 5 和h m a c s h a 是m d 5 和s h a 的 h m a c 变体，比m d 5 和s h a 更为强壮，h m a c m d 5 产生的摘要长度为1 2 9 位，而 h m a c s h a 产生的摘要长度为1 6 0 位。 用户认证技术是相对比较成熟的一类技术，因此考虑对现有技术的集成。 2 2 3 数据加密技术 当数据包传递时，数据加密技术用来隐藏数据包。如果数据包通过不安全的 i n t e r n e t ，那么即使已经建立了用户认证，v p n 也不完全是安全的。因为如果没有加 密的话，普通的嗅探技术也能捕获数据包，甚至更改信息流。所以在隧道的发送端， 认证用户要先加密，再传送数据：在接收端，认证用户后再解密。同时，大多数的隧 道协议没有指出使用哪种加密和认证技术，这使得在加密和认证技术上存在着许多不 同的算法。 4 3 1 在i p s e cv p n 中可选算法包括3 d e s ( t r i p l e d e s ) 、r c 5 、i d e a 、c a s t 、 b l o w f i s h 、r c 4 、r s a 和椭圆曲线算法等，缺省的加密算法是d e s c b c 。 美国数据加密标准d e s ( d a t a e n c r p t i o ns t a n d a r d ) 是一个现在使用得非常普遍的加 密算法。它最早是由美国政府公布的，用于商业应用。到现在所有d e s 专利的保护 期都已经到期了，因此全球都有它的免费实现。d e s c b c 是密码分组链方式的d e s ， 它通过对组成一个完整的i p 数据包( 隧道模式) 或下个更高层的协议帧( 传输模 式) 的8 比特数据分组中加入一个数据函数来工作。d e s c b c 用8 比特一组的加密 数据( 密文) 来代替8 比特一组的未加密数据( 明文) 。一个随机的、8 比特的初始 化向量( i v ) 被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保 证加密信息的随机性。d e s - c b c 主要是使用一个由通信各方共享的相同的密钥。诈 因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据 的密钥才能对加密数据进行解密。因此，d e s c b c 算法的有效性依赖于秘密密钥的 安全，e s p 使用的d e s c b c 的密钥长度是5 6 比特。 5 2 1 对于三类v p n ：r e m o t ea c c e s sv p n 、i n t r a n e tv p n 和e x t r a n e tv p n 技术，就信 r 南京航空航大人学硕七学何论文 息加密技术方面而吉没有太大的差别，但对于加密技术总体上还是有一定的要求。旧 为在实际应用一p 隧道技术、信息加密技术和用户认证技术是密不可分的，因此最基 本的要求是提供与具体算法的独立性。同时这一点要求也与某些国家实行的加密产品 出口限制棚适应，通过替换加密模块可方便地满足限制条件和国家安全方面的要求。 同时，一般的加密算法需要消耗大量的系统处理资源，用户经常需要在安全性和系统 效率方面进行折衷考虑，因此要求v p n 中的加密技术应能够提供不同等级的安全技 术供用户选择。此外，加密技术还需要解决一些与具体的实现过程相关的问题，如安 全机制的协商和密钥的管理和分配等。 4 5 1 数据加密技术也是一类比较成熟的技术，在互联网上有很多算法的源程序，因此， 本文不对此进一步探讨，考虑直接嵌套现有算法程序。 2 3v p n 的实施方案 v p n 安全技术的基干是隧道协议。目前，普遍采用的隧道协议主要有三种，即： 基于第二层的p p t p 协议( p o i n t - t o - - p o i n tt u n n e l i n gp r o t o c 0 1 ) 和l 2 t p 协议( l a y e r 2 t u n n e l i n gp r o t o c 0 1 ) ：基于第三层的i p 安全协议i p s e c ( i ps e c u r i t yp r o t o c 0 1 ) 。第二层 和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第二层隧 道协议对应于o s i 模型的数据链路层，使用帧作为数据交换单位，将用户数据封装在 点对点协议( p p p ) 帧中，通过互联网发送。第三层隧道协议对应于o s i 模型的网络 层，使用包作为数据交换单位，将i p 包封装在附加的i p 包头中，通过i p 网络传送。 无论哪种隧道协议都由传输的载体、不同的封装格式以及用户数据包组成。 2 3 1p p t p 点到点隧道协议p p t p 是m i c r o s o f t 和a s c e n d 等在p p p 协议的基础上开发的、为 使用电话上网的用户提供安全v p n 业务的隧道协议，并于1 9 9 6 年成为i e t f 草案。 p p t p 提供了在i p 网上建立多协议的安全v p n 的通信方式，远端用户能够通过 任何支持p p t p 的i s p 访问企业的专用网络。p p t p 提供p p t p 客户机和p p t p 服务器 之间的保密通信。p p t p 客户机是指运行了该协议的p c 机，如启动该协议的 w i n d o w s 9 5 9 8 ；p p t p 服务器是指运行该协议的服务器，如启动该协议的w i n d o w s n t 服务器。 通过p p t p ，客户可以采用拨号方式接入公共的i p 网。拨号客户首先按常规方式 拨号到i s p 的接) - n 务器，建立p p p 连接；在此基础上，客户进行二次拨号建立到 p p t p 服务器的连接，该连接称为p p t p 隧道。p p t p 隧道实质上是基于i p 协议的另 一个p p p 连接，其中i p 包可以封装多种协议数据，包括t c p f i p 、i p x 、a p p l e t a l k 和 基ri p s e c 协议的v p n 网络安全技术的研究与实现 n e t b e u l 。刈于直接连接到i p 网的客户则不需要第一次的p p p 拨号连接，可以直接 op p t p 服务器建立虚拟通路。 p p t p 的最大优势是得到m i c r o s o f t 公司的支持。n t 4 0 已经包括了p p t p 客户帆 和服务器的功能，并且考虑了w i n d o w s 9 5 环境。另外一个优势是它支持流量控制， 可保证客户机与服务器间不拥塞，改善通信性能，最大限度地减少包丢失和重发现象。 但p p t p 不具有隧道终点的验证功能，需要借助于p p p 协议提供的质询握手验证协议 c h a p ( c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 、m s - c h a p ( m i c r o s o f tc h a l l e n g e h a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 和密码身份验证协议p a p ( p a s s w o r da u t h e n t i c a t i o n p r o t o c 0 1 ) 15 1 。p p t p 的加密方法采用m i c r o s o f t 点对点加密m p p e ( m i c r o s o f t p o i n t t o p o i n te n c r y p t i o n ) 算法，可以选用较弱的4 0 位密钥或强度较大的1 2 8 位密钥， 以保证虚拟连接通道的安全。对于直接连到互联网的用户则不需要p p p 的拨号连接， 可以直接与p p t p 服务器建立虚拟通道件趴。p p t p 把建立隧道的主动权交给了用户， 但用户需要在其p c 机上配置p p t p ，这样做既增加了用户的工作量，又会给网络带 来隐患。另外，p p t p 可以把i p 、i p x 、a p p l e t a l k 或n e t b e u i 的数据包封装在p p p 包中，但只支持通过i p 网络建立隧道，不支持通过x 2 5 、帧中继或a t m 网络建立 隧道。 2 3 2l 2 t p l 2 t p 协议是由c i s c o 、a s c e n d 、m i c r o s o f t 、3 c o m 和b a y 等厂商共同制订的，1 9 9 9 年8 月公布了l 2 t p 的标准r f c 2 6 6 1 。 l 2 t p 结合了第二层转发协议l 2 f ( l a y e r 2f o r w a r d i n g ) 和p p t p 的优点，可以让用 户从客户端或接入服务器端发起v p n 连接。l 2 t p 定义了利用公共网络设施封装传输 链路层p p p 帧的方法。目前用户拨号访问i n t e r n e t 时，必须使用i p 协议，并且其动 态得到的i p 地址也是合法的。l 2 t p 的好处就在于支持多种协议，用户可以保留原来 的i p x 、a p p l e t a l k 等协议或企业原有的i p 地址，企业在原来非i p 网上的投资不致于 浪费。另外，l 2 t p 还解决了多个p p p 链路的捆绑问题。p p p 链路捆绑要求其成员均 指向同一个网络访问服务器n a s ( n e t w o r k a c c e s ss e r v e o ，l 2 t p 则允许在物理上连接 到不同n a s 的p p p 链路，在逻辑上的终点为同一个物理设备。同时，l 2 t p 作为p p p 的扩充提供了更强大的功能，允许第2 层连接的终点和p p p 会话的终点分别设在不 同的设备上。 l 2 t p 主要由l 2 t p 接入集中器l a c ( l 2 t p a c c e s sc o n c e n t r a t o r ) 和l 2 t p 网络服 务器l n s ( l 2 t pn e t w o r ks e r v e r ) 构成。l a c 支持客户端的l 2 t p ，用于发起呼叫、 接收呼叫和建立隧道。l n s 是所有隧道的终点。在传统的p p p 连接中，用户拨号连 接的终点是l a c ，l 2 t p 使得p p p 协议的终点延伸到l n s 。 l 2 t p 方式给服务提供商和用户带来了许多方便。用户不需要在p c 机上安装专门 10 南京抗空航犬入寻：硕k 学俺论文 的客户端软件，企业网可以使用未注册的i p 地址，并在本地管理认证数据库，从而降 低了应用成本和培训维护费用。同时，l 2 t p 提供了差错和流量控制。在安全性考虑 上，l 2 t p 与p p t p - - 样，借助于p p p 协议提供的认证：c h a p 、p a p n i m s c h a p 1 引。 i 旦l 2 t p 仅仅定义了控制包的加密传输方式，对传输中的数据并不加密。因此，l 2 t p 并不能满足用户对安全性的需求，如果需要安全的v p n ，则依然需要i p s e c 。 2 3 3i p s e e 虽然p p t p 和l 2 t p 都有它们各自的优点，但是都没有很好地解决隧道加密和数 据加密的问题。而i p s e c 安全体系结构把多种安全技术集合到一起，可以建立一个安 全、可靠的隧道。i p s e c 由i e t f 的i p s e c 工作组制订，是一个开放性的标准框架。该 工作组已经定义了1 2 个r f c ( r e q u e s tf o rc o m m e n t ) ，这些标准文档对i p s e c 的方方 面面都进行了定义。它不仅为因特网提供了基本的安全功能，而且为创建健壮安全的 v p n 提供了灵活的手段。 i p s e c 提供了一种标准的、健壮的以及包容广泛的机制，可用它为i p 协议及上层 协议提供以下几种安全服务：数据源验证，确保收到的数据分组的发送者为实际的发 送者；数据完整性，确保数据分组在传输过程中未被非法篡改；抗重播保护，防止数 据分组被假冒者复制存储并重复发送：信息机密性，确保数据分组在传输过程中不被 偷看。i p s e c 定义了一套默认的、强制实施的算法，以确保不同的实旋方案可以共通。 而且假若想增加新的算法，其过程也是非常直接的，不会对共通性造成破坏。 i p s e c 为保障i p 数据包的安全，定义了一个特殊的方法，它规定了要保护什么通 信、如何保护它以及通信数据发给何人。i p s e c 可保障主机之间、网络安全网关( 如 路由器或防火墙) 之间或主机与安全网关之间的数据包的安全。由于受i p s e c 保护的 数据报本身是另一种形式的i p 包，所以完全可以嵌套提供安全服务，同时在主机之 间提供端到端验证，并通过一个通道，将那些受i p s e c 保护的数据传送出去( 通道本 身也通过i p s e c 受到安全网关的保护) 。口叫 i p s e c 的工作原理类似于包过滤防火墙【5 0 1 。i p s e c 是通过查询安全策略数据库s p d ( s e c u r i t yp o l i c yd a t a b a s e ) 来决定对接收到的i p 包的处理，但不同于包过滤防火墙的 是，i p s e c 对i p 数据包的处理方法除了丢弃、直接转发( 绕过i p s e c ) 外，还有对i p s e c 的处理。进行i p s e c 处理意味着对i p 数据包进行加密和认证，保证了在外部网络传 输的数据包的机密性、真实性、完整性，使通过i n t e m e t 进行安全的通信成为可能。 p s e c 也存在一些缺点：i p s e c 需要已知或固定范围的i p 地址，因此在动态分配 地址时不太适合于i p s e c ；除了t c p i p 协议以外，i p s e c 不支持其它协议；除了包过 滤外，它没有指定其它访问控制方法；对于采用n a t 方式访问公共网络的情况难以 处理；i p s e c 目前还仅支持单播的( u n i c a s t ) i p 数据包，不支持多播( m u l t i c a s t ) 和 广播( b r o a d c a s t ) 的i p 数据包。 1 1 旗丁i p s e c 协议的v p n 网络安全技术的研究与实现 i p s c c 叭议卜一巫山三个部分组成：验证头胁议a h ( a u t h e n t i c a t i o nh e a d e r ) 、封装 安全载简协议e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 、i n t e r n e t 密钥交换协议i k e ( i n t e r n e tk e ye x c h a n g e ) 。 下一章将对1 p s e c 协议进行更为详细的讨论。 2 3 4p p t p l 2 t p i p s e c 的比较 前面三个小节对p p t p 、l 2 t p 、i p s e c 分别作了介绍，表2 1 对这三种协议在工 作方式、使用方式、工作层次、上层协议支持、包认证力口密、密钥管理及隧道服务 等方面进行比较： 表2 - 1p p t p l 2 t p i p s e c 的比较1 4 2 选择p p t pl 2 t pi p s e c 工作方式客户机一服务器客户机一服务器主机一主机、l a n - l a n i n t r a n e t 、e x t r a n e t 和通 使用方式通过隧道的远程操作通过隧道的远程操作 过隧道的远程操作 工作层次第二层第二层第三层 。 上层协议支持i p 、i p x 等i p 、i p x 等 i p 包认证无标准使用i p s e ca h ，e s p 包加密厂商指定使用i p s e ce s p 密钥管理无使用i p s e ci k e 单个点对点隧道，不能单个点对点隧道，不能多点的隧道，可以同时 隧道服务 同时访问公网同时访问公网访问v p n 和公网 p p t p 和l 2 t p 都是以客户机一服务器方式工作，并通过隧道进行远程的拨号访 问，它们的隧道一般终止在用户终端设备上，这就对用户网的安全