（计算机软件与理论专业论文）虚拟专用网研究与系统实现.pdf

虚拟专用网研究与系统实现：摘要 摘要 丁7 ) ；弘口 v p n 是i n t e m e t 技术发展与商业需求共同促进的产物，用于在不安全的公用网络 上建立虚拟的安全的专用网络。v p n 是一种网络服务方式，并没有规定具体实现的方 式。通常的实施方案是采用隧道技术封装专用网数据，利用公共网络传输封装后的内 容( 利用密码学手段保证通讯内容的安全性，并结合身份认证、源确认、完整性校验、 q o s 等技术提供更进一步的服务) ，然后在终点上取出被封装数据继续转发。 当前存在大量可用于创建v p n 的协议，分布在t c p i p 协议的各个层次。其中i p s e c ( i n t e m e tp r o t o c o ls e c u r i t y ) 是被公认为最有优势的种，已成为i p 网络上实现v p n 的主流方式。另外，m p l s ( 多协议标志交换) 也成为另一种实现v p n 的主流方式， 主要为一些电信网络服务商所支持。 本文介绍了虚拟专用网的理论，实现虚拟专用网的不同协议的分析比较，重点介 绍了i p s e c 。针对国内的现状，研究了w i n d o w s 平台的基于i p s e c 的v p n 系统的关键 技术。通过对i p s e c 协议的系统研究，针对w i n d o w $ 操作系统网络驱动的特点，设计 了系统实现方案，在此基础上，实现了个实际可用的系统。测试表明，利用本文所 提方法实现的v p n 系统，在w i n d o w s9 8 ，m e ，2 0 0 0 平台上运行稳定，性能良好，由于i p s e c 协议支持模块完全为自主开发，可以自由增加支持的加密、认证算法，完全满足实现 特定需要的安全环境下的可靠v p n 系统。 关键词：网络安全，虚拟专用网，因特网安全协议，a h ，e s p ，i k e 虚拟专用嘲研究与系统实现：a b s t r a c t r e s e a r c ho nv i r t u a lp r i v a t en e t w o r k a n di m p l e m e n to ft h es y s t e m w a n gw e i ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d i r e c t e db yb a is h u o t h i sd i s s e r t a t i o na d d r e s s e st h et e c h n i q u e so fv i r t u a lp r i v a t en e t w o r k ，a n dp r o p o s e sa w a y t oi m p l e m e n tav p n s y s t e m b a s e do ni p s e co nw 7 i n d o w s p l a t f o t i n v p n ( v i r t u a lp r i v a t en e t w o r k 、i st h er e s u l to fd e v e l o p i n go fi n t e r n e tt e c h n o l o g ya n d r e q u i r e m e n t o f c o m m e r c e ，w h i c hi su s e dt ob u i l das e c u r i t yv i r t u a lp r i v a t en e t w o r kb e y o n da n i n s e c u r i t yp u b l i cn e t w o r k v p ni saw a yt op r o v i d es e r v i c e ，a n dd o e s n tp r e s c r i b eh o wt o i m p l e m e n t i t t h en o r m a lw a yi st oe n c a p s u l a t e o r i g i n a ld a t af r o mp r i v a t en e t w o r kw i t ht u n n e l p r o t o c o l ，t r a n s f e r t h et u n n e l e dd a t ao n p u b l i cn e t w o r k ( s u c h a s i n t e m e t ) ，p r o v i d e c o n f i d e n t i a l i t yt oe n s u r et h es e c u r i t yo f t h ec o m m u n i c a t i o n b yt h ee n c r y p t i o nt e c h n i q u e sa n d i n d e p t hs e r v i c e ，s u c h a sq o s ，i d e n t i t ya u t h e n t i c a t i o n ，o r i g i na u t h e n t i c a t i o n ，a c c e s sc o n t r 0 1 t h e r ea r ea1 0 to fp r o t o c o l st ob u i l dv p n s y s t e m w h i c hl o c a t ei ns e v e r a ll a y so ft h e t c p i ps t a c k s a m o n gt h o s ep r o t o c o l s i p s e ci sk n o w na st h eb e s to n ea n dh a sb e c o m et h e p r i m a r yw a yt oi m p l e m e n tv p ns y s t e m a tt h es a n l et i m e ，m p l sh a sb e e nd e v e l o p e da n d c o m e st ob ea n o t h e r p r i m a r yp r o t o c o lt oi m p l e m e n t v p n b y t e l e c o m ms e r v i c e p r o v i d e r i nt l l i sd i s s e r t a t i o n w ei n t r o d u c et h et h e o r yo fv i r t u a lp r i v a t en e t w o r k ，a n a l y z es e v e r a l l e a d i n gp r o t o c o l s a n dc h o o s ei p s e ca sam o d e l a i m a tt h en a t i o n a ls i t u a t i o n ，w er e s e a r c h0 n k e yt e c h n i q u e st oi m p l e m e n tv p ns y s t e mb a s e do ni p s e c o nw i n d o w s w i t ht h er e s e a r c ho n i p s e cp r o t o c o l s ，w ep r o p o s eas c h e m ea n di m p l e m e n t e dt h es y s t e mb a s e do nt h er e s e a r c h t h et e s ts h o w st h e s y s t e m r u n s s t e a d y o nw i n d o w s9 8 ，m e ，2 0 0 0 ，a n d g e t sg r e a t e m c i e n c y b e c a u s et h es y s t e m i s i m p l e m e n tb yo u r s e l v e s ，w e c a na d de n c r y p t i o na n d a u t h e n t i c a t i o na r i t h m e t i ct om a i m a i nt h er e q u i r e m e n to ft h es p e c i f i c a l l ye n v i r o n r n e n t k e y w o r d s ：n e t w o r ks e c u r i t y , v i r t u a lp r i v a t en e t w o r k ，i p s e c ，a h ，e s p , i k e i l 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工 作及取褥憋磺究成果。裁我所知，除了文中特剐加以标涟和致谢 的邋方外，论文中不包含其继入已经发表或撰写过麴研究成果。 与我同工作的同志对本研究所做的任何贡献均已在论文中 乍了 明确的说姨并表示了谢意。 作者签名： 荔l 荛疆期：、，。，毒 关于论文使用授权的说明 中圜科学院计算技术璎究赓有投处理、保露送交论文的复印 件，允许论文被查阕秘僧阕；并霹级公布论文酶金藤或部分悫容， 可以采用影印、缩印或其它复制手段保存该论文。 作者签名：引耖 导师签名：么乏 日期：。帅。- 一一 璺二里! 堕 1 1应用背景 第一章引言 随着i n t e m e t 的迅速发展，利用已有的i n t e m e t 设施来提供更广泛深入的服务的呼 声越来越高。除了原始的服务方式如w w w , f t p , e m a i l 等，人们还希望可以更多更 好的利用已经深入人们生活的i n t e m e t 。 在全球经济一体化的发展趋势下，越来越多的公司在全球各地拥有多个分部。在 每个分部的内部，通常具备一定规模的专用网络或内部网( i n t r a n e 0 。这些分部之间经常 需要以安全的方式交流内部机密信息，同时作为公司的整体管理，也需要以某种方式 把这些分布于世界各地的子网有效的联系到一起。以往在跨地区的企业内部网络之间 的互连是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，以往 不得不采用长途拨号的方式连接到企业所在地的内部网。这些互连方式价格非常昂贵， 同时造成网络的重复建设和投资。众多企业为了节省费用，在寻求更好的连接方式。 在电脑价格的降低和i n t e r a c t 的普及的共同促进下，越来越多的家庭联入了 i n t e m e t ，预计到2 0 0 3 年，有9 0 以上的美国家庭都将联上互联网【张颖2 0 0 0 】。很多 人不再想以去公司上班的传统方式工作，而是希望留在家里，通过利用随处可见的 i n t e m e t 的信息传递方式来交流必要的信息，达到在家里工作的方式，即所谓的s o h o 一族。 由于i n t e m e t 起源于实验室中，所以在i n t e m e t 协议的设计上，对安全性考虑很少， 随着i n t e m e t 的发展，安全性问题日益严重起来。人们在使用互联网传递消息的时候， 不得不担忧信息是否会泄漏，是否会被恶意篡改。1 9 9 4 年，互联网体系机构理事会 ( i n t e m e ta r c h i t e c t u r eb o a r di a b ) 曾发表了一篇关于互联网体系结构中的安全问题 的报告。报告中陈述了人们对安全的渴望，并阐述了安全机制的关键技术。其中包括 保护网络架构免受非法监视及控制、以及保证终端用户之间使用认证和加密技术进行 安全交易等。计算机紧急事件响应队( c e r t ) 在1 9 9 6 年的年终报告中列举了影响近l l ， 0 0 0 个站点的2 ，5 0 0 多起安全事件。其中最严重的攻击包括i p 哄骗( 入侵者伪造假的 i p 地址，并对基于i p 认证的应用程序进行哄骗) 和各种的窃听和嗅探网包( 攻击者在 信息传输过程中非法截取如登录口令或数据库内容一类的敏感信息) 【启明2 0 0 0 】。 i n t e r a c t 上存在的安全性问题，使得企业不敢直接利用互联网传递内部信息，同时 又希望利用已经广泛存在的互联网来提供服务，虚拟专用网技术便在这种情况下应运 而生。 通过采用专用的网络加密和通信协议，虚拟专用网可以在公共网络上建立虚拟的 加密隧道，构筑虚拟的安全的专用网络。企业的跨地区的部门或出差人员可以从远程 经过公共网络，通过虚拟的加密隧道与企业内部的网络连接，而公共网络上的用户则 无法穿过虚拟隧道访问企业的内部网络。希望在家里办公的人可以通过虚拟专用网技 术，利用现有的 n t e m e t 接入公司的专用网，就仿佛身处办公室一般的利用公司内部的 资源，从而有效的达到了家庭办公的目的。 v p n 综合了传统专用数据网络的性能优点一安全和q o s ( q u a l i t yo fs e r v i c e ) 和共享公共数据网络结构的优点一简单和低成本，允许有多个站点的公司拥有一个假 二型里壁兰垦堡! ：垡堡苎= 生型童塑塑塞! 墨竺兰型 想的完全专有的网络，而使用公用网络作为其站点之问交流的线路，能够提供远程访 问，外部网和内部网的连接，价格比采用专线或者帧中继网络的方式要低得多。根据 l n f o n e t i c sr e s e a r c h 公司1 9 9 7 年的个虚拟专用网络研究报告，将租用线路替换成虚拟 专用网来连接远程站点可以节约2 0 4 7 的费用。对于远程访问虚拟专用网络，节 约下来的开支设置可以达到公司远程拨号费用的6 0 8 0 f i b m1 9 9 9 。除了降低成 本，v p n 还同时满足了对网络带宽、接入和服务不断增加的需求，因此，v p n 必将成 为未来企业传输业务的主要工具。 1 2 相关研究与应用现状 v p n 是网络技术发展和商业需求共同促进下的产物。鉴于v p n 技术有广泛的应用 前景，已有大量的公司和研究机构投入这个领域，推出了一系列支持实现v p n 的网络 通讯协议。 以a s c e n d ，m i c r o s o f t ，3 c o m 为主推出了p p t p 协议，用于帮助远程登录用户在 i n t e m e t 上建立虚拟专用网 p p t p1 9 9 6 。作为第一个广泛使用的v p n 隧道协议，p p t p 在大量的系统中被支持，尤其是微软公司的w i n d o w s 系列操作系统。以c i s c o 公司为 主推出了l 2 f 协议 f i e2 3 4 1 1 ，用于在因特网接入设备上实现虚拟专用网系统。由于p p t p 和l 2 f 协议各有起优缺点，且具有互补性，微软和c i s c o 等公司联合起来提出了l 2 t p 协议 f i e2 6 6 1 1 。l 2 t p 协议结合了p p t p 和l 2 f 协议的优势，即可用于远程登录用户， 也可以用在接入设备上实现虚拟专用网。 1 9 9 5 年起，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，因特网工程任务组) 的 一个安全工程组着力考虑i p 协议的安全性问题 i i w o1 9 9 5 ，提出了i ps e c u r i t y 协议族， 简称i p s e c 。1 9 9 8 年i p s e c 工程组提出了目前通用的i p s e c 规范，由于i p s e c 提供了隧 道技术，同时也被用来实现虚拟专用网。 在一些数据链路层技术，如p a c k e t - o v e r s o n e t ，f r a m er e l a y , a t m 等的基础上，i t e f 组织又提出了m p l s 协议 f i e3 0 3 1 1 ，用于在高速骨干网络设备上实现虚拟专用网。 为了更好的促进v p n 技术的发展，尤其是v p n 标准化的进展，以微软、c i s c o 等 公司为主组成了虚拟专用网联盟( v p n c ) v p n c2 0 0 1 】，提供v p n 产品的标准化认证工 作以及v p n 基本协议的推广和普及。 利用i p s e c 或m p l s 实现虚拟专用网，成为v p n 技术的主流发展趋势。在电信或 网络运营商集团里，利用m p l s 技术提供v p n 服务成为流行的服务。在网络接入设备 和网络安全软件提供商阵营里，以支持i p s e c ，提供以i p s e c 为基础的v p n 系统也成 为时尚。 2 塑兰! ! 型里堡苎型 第二章v p n 理论基础 虚拟专用网( v p n ) 被定义为利用隧道技术把两个或多个专用网络通过公共网( 通 常指i n t e m e t ) 安全的连接到一起，组成虚拟的统一的专用网的技术 d c2 0 0 1 1 。 总体来看，虚拟专用网主要提供如下功能： 1 数据保密，传输的信息利用加密算法处理过，窃听者无法解密。 2 信息验证，保证信息在传输中的完整性与发送方的真实性。 3 身份认证，只有容许的用户才能够加入虚拟专用网。 4 访问控制，不同的用户有不同的访问权限。 2 1t c p i p 协议栈的安全屡次 安全性是当今的i n t e r n e t 最引人瞩目的问题，为了解决这个问题，长期以来，已陆 续开发出大量从不同角度，以不同方式来维护通讯安全的协议。这些协议是对t c p i p 原始协议的补充和完善，通过与原来流行于网络上的各种通信协议的合作，共同保障 了数据在i n t e m e t 上的通讯安全。 t c p 1 p 是一个复杂的协议栈，按照实际的使用效果，分为5 层：应用层、传输层、 网络层、数据链路层和物理层 w r s2 0 0 0 。除了物理层外，每个层次都有若干不同的 安全协议。每一种安全协议都有其针对的环境，在不同的使用需求下，需要考虑到具 体的网络环境和应用目的而采用最合适的安全措施。 不同的安全协议的实施方式和安全基础各有其特色，但有几种基本的安全服务是 各种安全协议都会提供的g w c1 9 9 8 1 ，包括： 密钥管理 数据保密 不可抵赖 完整性校验 身份验证 访问控制 按照t c p i p 协议栈的分层方式，每种安全协议都处于一定的层次。事实上，也有 很多安全协议同时包括几个层次的服务。t c p i p 协议栈的每一层都有特定的任务，同 时也拥有不同的权利。在不同的协议栈层次实施安全措施，也有相应的优势和劣势 i p s e c 2 0 0 0 1 。下面具体分析在协议栈各层提供安全保障的整体考虑。 曼塑童旦旦塑塞! 墨堕塞墨 2 _ 1 1 应用层 应用层位于t c p i p 协议栈的最上层，在应用层实施安全协议，是针对具体的应用 服务采取专门的安全措施。应嗣瀑翦安全接施必须在漩主极上实藏。在应鼹鼹实撬安 全措施有下述几方面的优势： 针对舆体的应用程序，对数据有着充分的理解，可据此采取相应的安全措旅。 矗接嚣对其髂魏嗣户，霹方後静访i ；- j n p 熬个人信惑，蠡鬻户名、麓户证书、私人 密钥等。 拥有霞标数撼的完整访阅权，簿化了提供一媸特殊的服务鲍经务，比如不霹抵赖。 一个巍雳可裔宙扩展，不必依赣搡律系统来提供这魏服务，易于在不同的操作系统 间移植，有良好的适应性。 在应用层实施安全措旌的缺点在于针对每个应用，都要单独设计一套安龛机制。 这意味着对现有的应用来说，必须对其进行改进，才目提供安全保障。由于每个应用 郡必矮定义鑫己豹安全税镧，聪潋工 窜瀵狠大，同时器致犯错误的枫率大增，为黑窖 打开了更多的安全漏洞。 在应阕屡实撼安全毫毽制时，废鼹穆痔要秽令特殊的系绫集成到一起，建立起最 终的安全机制。j l ：类系统的例予包括s s h 、p g p 等。这些系统均属应用艨的协议，可提 供密钥协商以及其它安全服务。应用程序通过改进，可调用这种系统，以使用它们的 安全莰割。一个爨型豹铡予是t e l n e t 客户螭较释露臻s s n 采傈跨通诹秘安全。 在这种情况下，t e l n e t 客户端通过扩展，调用s s h 来提供下面这贱安全服务 s s u 2 0 0 1 ： 协商双方通讯的密钥。 通过加密通讯的数据，保证其他人无法得知通讯的内容。 只骞知遴密锶毂瓣户才黢够建立连接，扶瑟可淡完整数援源验涯，戬及不可羝 赖等服务。 当只黼要针对系统中的某种应用来提供安全措施的时候，虚用层安全协议是很好 鹃选择。 嚣置，必有褒翔绥安全狯浚才髓方便的访蠲捌用户私久数蠢鞠瘟用耩序豹安 全场景。对于某然服务，比如不可抵赖，这些数据是必须的，所以要达到不可抵赖的 安全骞鲍，在应嬲层采取播照是景会逶懿。 如栗爱保证系统的整体通讯安全，成用层就不适合了，需簧向下层寻求服务。 2 1 2 传输罄 与盛矮层柽滋，在传狻层撵供安全服务苓会强割要求每令应建都在安全方瑟疼波 相应的改进。即使现有的应用本身没有掇供安全服务，通过在传输层提供相应的措施， 也能自然、“无缝”地获得安全保障。 港予在提谈菜些安全辍务麴醚候髓要裁蕉弼户豹瓢久数据释盘溺程穿鹄应焉蠲 景，所以传输层的措施对比应用层，显得额外复杂。 与应翔缀懿蜜全类 戥，传输鼷的安全也只逡月予端主枫的情况。 具体的传输朦安全措施要取决于具体的协议。最著名的传输层安全协议t l s 在tcp 的基础上提供了如身份验证、完整性检骏以及机密性保证这样的安全服务 r f c2 2 4 6 。 密予u d p 憝不嚣露连接数浚议，著不维持连接熬汤景，艨羧t l s 鬻无锌辩u d p 提供暇务a t 第一二章v p n 理论基础 目前，t l s 主要应用于w w w 服务，丽且也有利用t l s 实现的v p n 系统问世 n s l2 0 0 1 。 根据目前的定义，传输层安全的另个限制是很多情况下，应用程序仍需进行修 改，j 能请求传输层提供安全服务，如浏览器在调用t l s 的时候，需要在应用程序中有 相应的动作。 2 1 3 网络层 对于构造主机通讯安全的情况下，在网络层实施安全措施有明显的优势： 1 网络层安全最有用的一项特性是能够构建v p n ，例如i p s e c 协议。i p s e c 是目前 唯一一种能为任何形式的i n t e r n e t 通信提供安全保障的协议。此外，i p s e c 也 允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。 2 由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，可显著减 少密钥协商的开销。 3 网络层独立于应用程序，只要采用网络层实施安全措施，保障通讯数据的安全 性，应用程序可方便的利用网络层提供的安全服务，而不必额外针对每种应用 采取特定的措旌，这样可减少安全漏洞产生的概率。另外，对于任何传送协议， 都可为其“无缝”地提供安全保障。 网络层独立于应用程序同时也带来了某些安全服务的困难，如不可抵赖等。网络 层难以取得具体用户或应用程序的信息，很难在一部多用户的机器上实现逐用户的控 制。为了实现这些服务，需要在应用层实施特定的辅助措施，如i p s e c 协议，除了在网 络层提供以a h 、e s p 协议保证的通讯安全外，还需要在应用层以i k e 协议提供辅助的密 钥交换等服务 r f c2 4 0 1 。 对于路由器来说，由于其功能主要服务于网络层，而且不存在用户场景，所以实 施网络层安全是最合适的。 2 1 4 数据链路层 假定两个主机或路由器之间存在一条专用通信链路，而且为避免有人“窥视”，所 有通信都需加密，便可用硬件设备来进行数据加密。 这样做最大的好处在于速度。然而，该方案不易扩展，而且仅在专用链路上才能 很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。 这种安全模型在自动柜员机( a 丁m ) 上得到了广泛的应用。所有机器均通过专用线 路连接到中心办公室。假如a t m 连接到一个i p n 络，而不是采用专用的安全链路，那么 数据链路层的安全并不足以保证通信的安全，必须向上移动到网络层，以提供安全服 务。 2 2 隧道协议 v p n 技术诞生以后，已经出现了多种实现v p n 的方式 c p2 0 0 0 3 。利用i n t e r n e t 作为 公共网络来：靶, e v p n ，主要的核心技术是隧道技术，即采用哪种方式来封装原始数据， 不同的隧道协议的区别主要在于所处的位于t c p i p 协议的层次和封装的方式。按照位 于t c p i p 协议层的区别，实现v p n 的隧道协议大致可分为： 生i 鲨望塑丛壅：! 墨竺壅墨 1 。在数据链路层实现，女 j p p t p ，l 2 f ，l 2 t p ，m p l s 2 。在网络层实现，如i p s e c ，g r e ： 3 。在传输层实现，女i i s s l t l s ，s o c k sv 5 。 这些不同的实现方式，都有一定数量的产品问世，同时也有大量的研究人员在进 行研究与改进。下文对这些协议进行简单介绍。 2 2 1 p p t p ( 点到点隧道协议) 1 9 9 6 年，m i c r o s o f t 和a s c e n d 等在p p p 协议的基础上开发了p p t p p p t p1 9 9 6 。p p t p 支持多种网络协议，可把i p 、i p x 、a p p l e t a l k 或n e t b e u i 的数据包封装在p p p 包中，再 将整个报文封装在p p t p 隧道协议包中，最后，再嵌入i p 报文或帧中继或a t m 中进行传输。 p p t p 提供流量控制，减少拥塞的可能性，避免由包丢弃而引发包重传的数量。p p t p 的 加密方法采用m i c r o s o f t 点对点加密( m p p e ：m i c r o s o f tp o i n t - t o p o i n te n c r y p t i o n ) r f c 3 0 7 8 算法，可以选用较弱的4 0 位密钥或强度较大的1 2 8 位密钥。r f c 草案“点对 点隧道协议”对p p t p 协议进行了说明和介绍 r f c2 6 3 7 。除了微软公司把p p t p 协议的 支持做进w i n d o w s9 x ，w i n d o w sn t ，w i n d o w s2 0 0 0 ，w i n d o w sx p 等系列操作系统外， 在其他平台也有大量p p t p 的支持，如p o p t o p ，开放代码p p t p n e 务器项目 p t2 0 0 2 ，不 仅在l i n u x 平台支持p p t p 的服务器和客户端外，还移植到了s o l a r i s2 6 ，o p e n b s d ， f r e e b s d 和m a co s 上。 p p t p 协议产生较早，在使用过程中，已被发现存在安全漏洞 b m1 9 9 9 ，利用畸形 数据包对p p t p b 匣务器进行d o s 攻击的方法 c m2 0 0 1 m w2 0 0 1 也已出现于网络上，更有 甚至，针对p p t p 的监听工具也被黑客开发出来了 a o2 0 0 1 。 2 22l 2 f ( 第二层转发协议) l 2 f ( l a y e r2f o r w a r d i n g ) 是由c i s c o 公司提出的，可以在多种介质( 女f l a t m 、帧 中继、i p ) 上建立多协议的安全v p n 的通信方式。它位于t c p i p 的数据链路层，将链路 层的协议( 女f l h d l c 、p p p 、a s y n c 等) 封装起来传送，因此使网络的链路层完全独立于 用户 r f c 2 3 4 1 。 l 2 f 远端用户能够通过任何拨号方式接入公共i p 网络。首先，按常规方式拨号到i s p 的接人服务器( n a s ) ，建立p p p 连接：n a s 根据用户名等信息发起第二次连接，呼叫用 户网络的服务器。这种方式下，隧道的配置和建立对用户是完全透明的。 l 2 f 允许拨号服务器发送p p p 帧，并通过w a n 连接到l 2 f 服务器。l 2 f 服务器将包去封 装后，把它们接入到企业自己的网络中。与p p t p 和p p p 所不同的是，l 2 f 没有定义客户。 l 2 f 需要有路由器以及服务器的硬件配合实施。所以利用l 2 f 实现v p n 系统必须有能 够支持该标准的硬件设备，尽管能够达到一定的安全性，却严重丧失了灵活性。 2 2 3l 2 t p ( 第二层隧道协议) p p t p 车h l 2 f 两种协议各有其优缺点，同时又具有互补的特点，于是由i e t f 起草， 微软、a s c e n d 、c i s c o 、3 c o m 等公司参与发布了l 2 t p ( l a y e r 2t u n n e li n gp r o t o c o l ， 第二层隧道协议) r f c2 6 6 1 。l 2 t p 结合了上述两个协议的优点，很快地成为i e t f 有 一笙= 翌! 型些堡苎些 天_ 二层隧道协议的工业标准。 l 2 t p 可以让用户从客户端或接入服务器端发起v p n 连接。l 2 t p 定义了利用公共网络 设施封装传输链路层p p p 帧的方法。目前用户拨号访问因特网时，必须使用i p 协议，并 且其动态得到的i p 地址也是合法的。l 2 t p 的好处就在于支持多种协议，用户可以保留 原来的i p x 、a p p l e t a l k 等协议或企业原有的i p 地址，企业在原来非i p 网上的投资不致 于浪费。另外，l 2 t p 还解决了多个p p t p 链路的捆绑问题。 l 2 t p 具有适用于v p n 服务的以下几个特性： 灵活的身份验证机制以及高度的安 全性。l 2 t p 可以选择多种身份验证机制( c h a p 、p a p 等) ，继承了p p t p 的所有安全 特性，l 2 t p 还可以对隧道端点进行验证，这使得通过l 2 t p 所传输的数据更加难以被 攻击。l 2 t p 主要由l a c ( 接入集中器) 年i l n s ( l 2 t p 网络服务器) 构成。l a c 支持客户端 的l 2 t p ，用于发起呼叫，接收呼叫和建立隧道。l n s 是所有隧道的终点。在传统的p p p 连接中，用户拨号连接的终点是l a c ，l 2 t p 使得p p p 协议的终点延僻垤i j l n s 。 在安全性考虑上，l 2 t p 仅仅定义了控制包的加密传输方式，对传输中的数据并不 加密。根据特定的网络安全要求可以在l 2 t p 之上采用隧道加密、端对端数据加密或 应用层数据加密等方案来提高数据的安全性。单独的l 2 t p 并不能满足用户对安全性的 需求。在实际使用中，通常是利用i p s e c 协议作为隧道协议封装传送l 2 t p 数据。 2 24m p l s ( 多协议标记交换) m p l s 属于第三代网络架构，是新一代的i p 高速骨干网络交换标准，由i e t f 所提出， 由c i s c o 、a s c e n d 、3 c o m 等网络设备大厂所主导 r f c3 0 3 1 。 m p l s 是集成式的i po v e ra t m 技术，即在f r a m er e a y 及a t ms w i t c h 上结合路由功 能，数据包通过虚拟电路来传送，只须在数据链结层执行硬件式交换( 取代网络层软 件式r o u t i n g ) ，它整合了i p 选径与第二层标记交换为单一的系统，因此可以解决 i n t e r n e t 路由的问题，使数据包传送的延迟时间减短，增加网络传输的速度，更适合 多媒体讯息的传送。因此，m p l s 最大技术特色为可以指定数据包传送的先后顺序。m p l s 使用标记交换( l a b e s w i t c h i n g ) ，网络路由器只需要判别标记后即可进行转送处理。 m p l s 的运作原理是提供每个i p 数据包一个标记，并由此决定数据包的路径以及优 先级。与m p l s 兼容的路由器，在将数据包转送到其路径前，仅读取数据包标记，无须 读取每个数据包的i p 地址以及标头( 因此网络速度便会加快) ，然后将所传送的数据包 置于f r a m er e l a y 或a t m 的虚拟电路上，并迅速将数据包传送至终点的路由器，进而减 少数据包的延迟，同时由f r a m er e l a y 及a t m 交换器所提供的q o s 对所传送的数据包加以 分级，因而大幅提升网络服务品质提供更多样化的服务。 m p l s 技术将3 层网络层技术和2 层交换技术完美地结合在一起，使网络既具有3 层的 智能，又具有2 层的快速交换特性，与其他解决方案相比较，m p l s 技术将第3 层( 路由层) 的智能、灵活性和可扩展性与第二层的交换机制( 不包括它面向连接的服务) 结合起来， 具有高效、节约资源、配置简单、减少单点故障等优点。 m p l s 技术是一种创造性的高性能包发送新技术，它将”标签”分配给多协议的数据 帧，以便在基于包或信元的网络中传输。m p l s 是建立在”标签交换”概念的基础之上的。 数据单位( 例如包或信元) 携带一固定长度的短标签来告诉交换节点如何处理该数据。 m p l s f 毙识别不同种类的应用的数据包这点，保证了q o s 的实现，而且实现方法比i p 隧道和基于v c ( v i r t u a lc i r c u i t ，虚电路) 的网络简单。因为在i p 网络上建设v p n 需要 隧道或加密，而基于v c 的网络( 如a t m 和帧中继) 所建的v p n 是点对点的，需要为每个c p e ( c u s t o m e rp r e m i s ee q u i p m e n t ，用户前端设备) 进行单独的配置。另外因为在这种 遣塑童堕蹩堕塑! ! 墨堕塞塑 嘲络上静l p 数据镪躺传输是在v e 髓道内进行的，所以整个v p n 并不知道通信的内容和种 类。这种方式f ，需要锗能化和商策略配置的边界设备，可以给每个通信最大的v c 带 窝。惩且这秘方式是以连接为中心浆，不其各霹扩震瞧。瑟盈还与i p 豹亵监斑蠲是洚 突的，因为i p 的商务应用是围绕无连接的t c p i p 协议的。v p n 还威当能识别通信的类型， 从而将通信根据应用分类。而且v p n 应当对v p n 的整个网络的存在有了解，这样服务巅 露 冀将不目耀户霹鼹务分缝f l j i n t r a n e t v p n 或e x t r a n e t v p n 。 m p l s 完全可以隔离光关用户的通信，使得无关用户的通信不会混杂，从而提高了 安全性。这是在z ：必使用隧道和龆密的翦提下就能完成的。m p l s 根据缀务类烫区分的 传输方法和完全的如s 策酶使得服务商酌原来瑟向传输的旅务模型转变成为重点集中予 服务变化的模型。 基予女p 醛魏潮络戆够姆数攒滤分开，无零建立隧道残热蜜帮霉撵供保密戆，基予 m p l s 的网络，以网络到嘲络的方式提供保密性，为用户提供服务。这将支持服务供应 商实现从酾向传输的模式到恧向服务的模式转交。基于m p l s 的v p n 提供了逻辑上最大的 安全往，溺络的安全缝楚由b o p 、i p 遗聚方案、珂选豹i p s e c 加密三方瑟缩合丽成的。 m p l sv p n 不仅满足v p n 用户对安全性的要求还减少了网络方和用户方的工作量， 霹以建立任意的逡接，且其有缀壹孑的网终霹扩葳健。v p n 耀户可以延鼹爨鸯粒专惩遮蛙， 不需要作任何修敬，在骨于网络采用v p n - i d ，可以保持全网的唯一性。m p l sv p n 还易 于提供增值业务，如不同的c o s ( c h i po ns y s t e m ) 等。 m p l s 狯议本身豹蠲定爨未宠残，疆p l sv p n 巍正处予研究、开发和蜜验之中氇藏不 足为奇。目前使闱m p l sv p n 还面临着许多问题，首先就是m p l s 技术的不成熟性，m p l s 技术本身还嚣临嚣不少阉题，比如信令协议的选择闻题等；其次，m p 淤v p n f 酵决方案 需骚两络中所有的节点都要支持m p l s ，遮将需要对网络中所有的节点进行功能的升级； 第三，虽然m p l s 本身利用已经能够提供一定的安全机制。m p l sv p n 可以将不同用户的 数握浚分殍，霹以联用撂记来判羧分组黪覆效￥烈，麸孬霹羧防壹数据爨谟蒋，愆是辩p 璐 中并没有描述对予用户数据的加密机制以及用户的认证过程，所以，肖对于数据的加 密以及用户的认 正有较高的要求时，需要将m p l s 与i p s e c 等安全协议结食起来馒用。在 安全能力上鹃欠缺也是m p l s 有待完善的方面。 2 2 5g r e ( 逶霸路壶封装渗浚) g r e ：愚蠢n e t s m i t h s 秘c i s c o 镣公霉1 9 9 4 年l o 弼提交l e t f 载，在r f c l 7 0 1 和r f c l 7 0 2 考 所定义 r f c1 7 0 1 r f e1 7 0 2 。g r e ( g e n e r i cr o u t i n ge n c a p s u l a t i o n ) 规定了怎样 用一种网络层协议去封装另一种阏络层协议的方法。g r e 的隧道由两端的源i p 地址和目 的i p 遮聚来定义，宅允许羽户使用i p 毽瓣装i p 、i p x 、a p p l e t a l k 龟，努支持全部静路 由协议( 如r i p 、o s p f 、i g r p 、e l g r p ) 。通过g r e ，用户可以利用公共i p 网络连接i p x 网 终、a p p i e t a l k 网络，还砸以使用保蟹媳蛙进行网终互联，或者砖公网隐藏企渡网的i p 地匀上。 g r e 规定了如何用一种网络协议去封装另一种网络协议的方法。g r e 的隧道由两端 翁源 这疆襄强钓l p 缝聚寒定义，允诲蠲户镬怒l p 毽羹装i p 、i p x 、a p p l e t a l k 毽，并 支持全部的路由协议( 如r i p 2 、o s p f 等) 。通过g r e ，用户可以利用公共i p 网络连接i p x 网络、a p p l e t a l k 网络，还可以使用保罄地址进纷网络曩连，或者对公喇隐藏企业网鲍 j p 拖圭i ：。g r e 只提供了数籀包的封装，并没有热密功能采轿止髓络偾断和攻击，所以在 实际环境中经常与i p s e c 在一起使用，由i p s e c 撮供用户数据的加密，从而给用户提供 更好数安全经。 笙= 皇! 望里笙苎壁 g r e 协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由_ 企 业网几乎全部采用的是t c p i p 协议，因此在中国建立隧道时没有对企业内部协议封装 的市场需求。企业使用g r e 的唯一理由应该是对内部地址的封装。当运营商向多个用户 提供这种方式的v p n 、j k 务时会存在地址冲突的可能性。 2 26 s o c k sv 5 & s s l t l s s o c k sv 5 是一个需要认证的代理协议。s s l ( s e c u r es o c k e t l a y e r ) 是b e t s c a p e 公 司设计的主要用于w e b 的安全传输协议 i s1 9 9 6 。 e t f 将s s l 作了标准化，l i l j r f c 2 2 4 6 并将其称为t l s ( t r a n s p o r tl a y e rs e c u r i t y ) r f c2 2 4 6 。当s o c k s 同s s l t l s 协议配 合使用时，可作为建立高度安全的v p n 的基础。s o c k s 协议的优势在访问控制，因此适 用于安全性较高的v p n 。s o c k s 现在被i e t f 建议作为建立v p n 的标准之一，得到了一些 著名的公司如m i c r o s o f t 、n e t s c a p e 、i b m 等的支持。 s o c k sv 5 在t c p i p 协议栈的传输层控制数据流，它定义了非常详细的访问控制。 在网络层只能根据源目的的i p 地址允许或拒绝被通过，在传输层控制手段要更多一些。 s o x k sv 5 在客户机和主机之间建立了一条虚电路，可根据对用户的认证进行监视和访 问控制。s o c k sv 5 和s s l t l s 工作在传输层，因此能同低层协议如i pv 4 、i p s e c 、p p t p 、 l 2 t p 一起使用。它能提供非常复杂的方法来保证信息安全传输。用s o c k sv 5 的代理服 务器可隐藏网络地址结构。如果s o c k sv 5 同放火墙结合起来使用，数据包经唯一的放 火墙端口( 缺省的是1 0 8 0 ) 到代理服务器，由代理服务器过滤发往目的计算机的数据， 这样可以防止防火墙上存在的漏洞。s o c k sv 5 能为认证、加密和密钥管理提供“插件” 模块，可让用户很自由地采用他们所需要的技术。s o c k sv 5 可根据规则过滤数据流， 包括j a v a a p p l e t 和a c t i v e x 控制。 因为s o c k s