（计算机应用技术专业论文）分布式vpn技术研究—管理模块的设计与实现.pdf

电子科技大学硕士论文 摘要 随着i n t e r n e t 的快速发展，网络安全问题日益突出，v p n 为解决这一实 际问题提出了一整套解决方案。基于课题的论文目标是实现功能完备的分布 式v p n 系统原型。 管理模块是其中重要的功能模块。而这其中，安全策略与c a 子模块又 是最为核心的模块。安全策略库( s p d ) 中的每个条目都定义了了要保护的 是什么通信、怎样保护它以及和谁共享这种保护。对于进入或离开ip 堆栈 的每个包，都必须检索s p d 数据库，调查可能的安全应用。对一个s p d 条 目来说，它可能定义了下述几种行为：丢弃、绕过以及应用。c a 的主要功 能是身份认证。首先，必须建立一个大家都信任的根c a ，然后由它来负责 签发数字证书。当两个用户需要进行v p n 通信并且需要验证身份时，就可 以向对方出示自己的证书，如果发现双方证书均由同一跟c a 签发，则认为 是可以相互信赖的。 本文详细分析了安全策略s p d 和p k ic a 的技术原理，深入分析了 o p e n s s l 库，并论述了s p d 和c a 在作者承担的分布式v p n 系统中的设 计与实现。从冗余性以及查找效率等方面考虑设计出了一个相对完整的s p d 系统，可以方便地进行查找、删除、添加、修改等操作。同时，在全面了解 c a 的框架及深入研究o p e n s s l 的基础上，灵活运用o p e n s s l 和实现的 函数以及加密算法等，结合本系统的实际情况，设计并实现了一个相对简单 的c a 系统。该系统可以签发、吊销x 5 0 9v 3 格式的证书，同时可以为用户 生成r s a 密钥。 联调结果显示，作者参与开发的分布式v p n 系统已经具备基本的功能， 达到了原型所要求的设计目标。 【关键词】v p n ，s p d ，p k ic a ，o p e n s s l ，数字证书 电子科技大学硕士论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ei n t e r n e t ，t h ep r o b l e mo fn e t w o r ks e c u r i t y i so u t s t a n d i n gi n c r e a s i n g l y v p nt e c h n o l o g yp r o v i d e sa no v e r a l ls o l u t i o nt ot h i s p r o b l e m o u rg o a li st of i n i s hap r o d u c tp r o t o t y p ew i t h f u l lf u n c t i o n s t h em a n a g e m e n tm o d u l ei sa nv e r yi m p o r t a n tf u n c t i o n a lm o d u l eo fav p n s y s t e m a m o n gt h i s ，s p da n dc a a r et h em o s t i m p o r t a n t as p de n t r yd e f i n e s t h e f o l l o w i n gt h i n g s ：t h ec o m m u n i c a t i o n t op r o t e c t ，h o wt op r o t e c ta n dw i t hw h o m t o s h a r et h i s p r o t e c t i o n e v e r yp a c k e t m u s tc h e c kt h es p dt o p r o v i d ep o s s i b l e s e c u r i t ya p p l i c a t i o nb e f o r ei tg e t si no rg e t so u tt h ei ps t a c k as p d e n t r ym a y d e f i n et h e f o l l o w i n g s e v e r a l a c t i o n s ：d i s c a r d ，b y p a s s a n d a p p l y t h e m a i n f u n c t i o no fc ai sa u t h e n t i c a t i o n w h e nt w ou s e r sw a n tt oc o m m u n i c a t eu s i n g v p na n dn e e dt o a u t h e n t i c a t e ，a n y o n e s h o u l d p r o v i d e i t sc e r t i f i c a t et ot h e o t h e r i ft h et w oc e r t i f i c a t e sa r es i g n e db yt h es a m ec a ，t h e yc a nt r u s tw i t he a c h o t h e r t h i s p a p e re x p a t i a t e s t h et h e o r i e so fs p da n dp k ic a ，a n a l y z e st h e o p e n s s l l i b r a r yt h o r o u g h l y a n dd i s c u s st h ed e s i g na n d i m p l e m e n t a t i o n o fs p d a n dc ai nt h ed i s t r i b u t e dv p ns y s t e m f r o mt h ea s p e c to fr e d u n d a n c ya n d e f f i c i e n c y , w ed e s i g n ar e l a t i v e l y i n t e g r a l l t y s p ds y s t e mt ow h i c hw ec a n a d d ，d e l e t ea n de d i ts p de n t r y m e a n w h i l e ，a f t e rw h o l l yu n d e r s t a n d i n gt h ef r a m e o fc aa n de n t i r e l ya n a l y z i n go p e n s s l ，a c c o r d i n gt ot h ep r a c t i c a ls i t u a t i o no f o u rs y s t e m ，w ed e s i g na n d i m p l e m e n t a r e l a t i v e l ys i m p l ec as y s t e mb yu s i n g t h e f u n c t i o n sa n de n c r y p t i o n a l g o r i t h m s o fo p e n s s l i tc a n s i g n a n dr e v o k e c e r t i f i c a t e so fx 5 0 9f o r m a t i tc a na l s op r o d u c er s a s e c r e tk e y sf o ru s e r s t h et e s t i n gr e s u l t ss h o wt h a tt h ed i s t r i b u t e dv p n s y s t e mh a sg o o df u n c t i o n s a n dt h a tw eh a v ea c h i e v e do u r e x p e c t a n tg o a l s 【k e y w o r d s 】v p n ，s p d ，p k ic a ，o p e n s s l ，d i g i t a l c e r t i f i c a t e i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：拯缒五日期：扣。伊年a 月矽日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 躲也阻翩虢链 日期：加呼年。月巧日 电子科技大学硕士论文 1 1v p n 技术出现背景 第一章引言 随着企业网应用的不断发展，企业网的范围也不断扩大，从一个本地网络 发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展， i n t e r n e t 已经遍布世界各地，从物理上讲i n t e r n e t 把世界各地的资源相互连通。 正因为i n t e r n e t 是对全世界开放的，如果企业的信息要通过i n t e r n e t 进行传输， 在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网，往往需要 租用昂贵的跨地区数据专线。如何能够利用现有的i n t e r n e t 来建立企业的安全 的专有网络呢? 虚拟专用网( v p n ) 技术就成为一个很好的解决方案。虚拟专用 网( v p n ) 是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公 共网络中传播。企业只需要租用本地的数据专线，连接上本地的i n t e r n e t ，各 地的机构就可以互相传递信息；同时，企业还可以利用i n t e r n e t 的拨号接入设 备，让自己的用户拨号到i n t e r n e t 上，就可以连接进入企业网中。使用v p n 有 节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，将会成 为今后企业网络发展的趋势。 虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安 全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种 行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到 我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火 墙支持对其他密码体制的支持，支持提供a p i 来调用第三方的加密算法和密码， 非常重要。 1 2 课题来源及意义 v p n 技术目的是为通信双方在公共网络上提供一条安全的通道，在保障安全 的前提下，不影响通信的效率。对于国外已有的安全产品，有关法律、法规已经 明确了它的应用范围，而且解决国内信息安全问题归根到底还是要靠本国自己的 技术和管理，而国内的v p n 产品情况稀少且不尽如人意。我们本着依靠自己的技 术和力量的设想，参考国际相关领域的技术标准，提出了开发v p n 产品的可行的 解决方案，希望能够在国内的信息安全领域作出应有的贡献。 本课题源于成都国腾信息安全技术公司和电子科技大学计算机学院合作研 制g t l 型分布式v p n 系统的项目，合同要求最终形成产品原型。本课题的开展， 电子科技大学硕士论文 在跟踪国际上先进网络安全技术的同时，对于积极开展企业与高校间产学研结 合，推进科研成果产品化的进程也具有一定意义。与此同时，若本项目开发完成 付诸生产将直接产生经济效益和社会效益。 1 3 课题的内容和目标 根据对国内v p n 研发状况的了解及对所开发产品市场前景和市场占有率的 估计，同时注意到双方当前不持有自身专有硬件平台和操作系统这一现实情况， 以及考虑到投入的研发经费和时间要求等诸多因素的关系。经协商，双方达成了 共识，以实现基于p c 的分布式硬软结合型v p n 系统产品原型为开发目标，暂 定名国腾i 型( g t _ 一1 ) v p n 系统，力求最终使整体性能指标达到国内领先水 平。 1 3 1g t - 1 型v p n 系统的功能 本产品的功能是：在跨越不可信公共网络( 如因特网) 通信的两台子网主机 ( 服务器) 之间建立安全通道，提供数据完整性，身份认证，实现数据加密传输 安全服务的功能。 1 3 2 主要性能与技术指标 采用国际标准的安全协议簇i p s e c ( s a ，a h ，e s p 等) 选用国家保密办的加密算法芯片，并实现a e s ，3 d e s 加密算法( 可选) 实现h m a c - - m d 5 、 m a c s h a l 认证h a s h 算法 支持密钥交换协议i k e 、d h 密钥交换算法 支持p i gx 5 0 9 标准的c a 认证和共享密钥认证。 支持t c p 、u d p 、i c m p 、f t p 、t e l n e t 、h t r p 等上层通信协议，并提供 安全服务。 产品以p c 插卡为主体的软硬件结合的形式提供，加密速率适应 1 0 1 0 0 m b p s 自适应网卡的需求。 8 系统基于w i n d o w s 9 8 、w i n d o w s 2 0 0 0 操作系统上实现。 9 全中文用户界面。 1 3 3g t - 1 型v p n 的方案框图 ( 一) g t 一1v p n 的应用示例。 g t 一1v p n 的应用示例如图1 所示。 2 1 2 3 4 5 6 7 电子科技大学硕士论文 图1 - 1g t 一1v p n 应用示例之一 示例一系针对内网用户，即企业内部实现的v p n 图1 - 2 g t _ 一lv p n 应用示例之二 示例之二系针对企业内部与移动用户形式的v p n ，它保证了数据在内网及 外网传输的安全( 需要c o n s o l e 具有公网地址，c o n s o l e 可以安装在内部或网关 上) 。 电子科技大学硕士论文 示例之三是针对i s p 用户的方案。c o n s o l e 用作管理服务器，可以管理这组 v p n ，为i s p 提供了一种增值服务方案。 图1 4g t - 一1v p n 应用示例之四 示例之四表示了本地部门与远地部门间的v p n 应用解决方案( 要求主机具 有公网地址) 。 ( 二) g 卜1 v p n 系统结构 g 卜1v p n 的系统结构如图1 5 所示。它是课题组根据i p s e c 协议簇对i p 包实施加解密，以实现安全通信的解决方案原理而设计的。 图l 一5 描述了构成v p n 系统的c o n s o l e 和c l i e n t 所含的各个模块， 它们相互之间的关系以及信息流向。 电子科技大学硕士论文 数字证书申请7 餐掏p 图1 - 5g t l v p n 系统的框图 图中有关符号含义： i k e _ 一密钥交换协议，i p s e c 双方提供用于生成加密密钥和认证密钥的密钥 信息。 p k 卜公开密钥基础，其客户端与c a 通讯完成数字证书的申请、查询。 c a 证书机构，对用户进行身份认证，1 2 令认证，发放证书等。 s a d 一安全关联数据库，用于存储通讯双方隧道的协议，使用的加密，认证 算法，相关的密钥信息等参数。 s p d 一安全策略数据库，用于存储各端与本主机端之间的策略信息，由 c o n s o l e 端远程管理。 系统的工作流程 配置系统参数及v p n 策略。 通过p k i 客户端和c a 通信，完成p k i 用户证书的申请、认证、发放等工 作。 由i k e 根据策略完成会话密钥及参数的协商( 即s a 安全关联的协商) 建 立v p n 。 管理模块与用户端的管理代理进行通信，完成用户端的配置管理。 i p s e c 处理 发送方：根据策略构造隧道，根据s a 插入a h ( 认证头) 、e s p ( 封装安全 载荷) 包头，根据s a 产生认证数据，采用加密算法加密数据包，交i p 层发送。 接收方：从i p 层获取数据包，根据策略确定是否进行i p s e c 处理，查找s a 拆解a h 、e s p 包，根据s a 进行认证，解密数据包交t c p p 的上一层处理或者 电子科技大学硕士论文 转发。 本人承担的任务是设计与实现本系统中的c o n s o l e 管理模块，具体包括以下 几个子模块： ( 1 ) 安全策略配置子模块：完成为v p n 系统中的所有用户配置安全策略， 实现对s p d 的修改、添加、删除、存储等功能。 ( 2 ) r l o g i n 用户登录子模块：主要完成用户登录的验证工作。 ( 3 ) 日志管理和信息统计子模块：通过客户端的管理代理向c o n s o l e 报告 各种出错情况及统计信息，如流量。 ( 4 ) v p n 组管理子模块：完成为所有的用户分组，添加，删除用户等功能。 ( 5 ) c a 子模块：完成用户的数字证书的申请、审批、更新、查询及报废等 管理工作，并为i k e 进程的认证提供对方的公开密钥。 ( 6 ) 系统和用户界面子模块：实现界面的设计 6 电子科技大学硕士论文 2 1 v p n 基本理论 2 1 1 v p n 概念及作用 第二章相关技术基础 目前，我国各级政府、企业都在建设自己的内部网以提高自身的工作效率和 竞争力。随着工作业务的不断扩大，网络规模也在扩大，有些甚至于超过了城域 网而真正成为了广域网。如果按照传统的方式来建造自己的专用广域网或城域 网，昂贵的费用是任何一个单位都无法承受的。因此，通常都采用通过公众信息 网进行内部网络互连的。 公众信息网是对整个社会开放的公众基础网络，具有覆盖范围广、速度快、 费用低、使用方便等特点，但同时也存在着安全性差的问题。用户通过公众信息 网传输的信息，在传输过程中随时可能被偷看、修改和伪造，使信息的安全性和 可靠性降低。因此通过公众信息网进行内部网络互连尽管能够大幅地降低组网的 成本，但也带来了重大的安全隐患。解决这一矛盾的方法之一就是采用v p n ( v i r t u a lp r i v a t en e t w o r k 虚拟专用网) 技术。 v p n 技术是指采用隧道技术以及加密、身份认证等方法，在公众网络上构建 专用网络的技术，数据通过安全的”加密管道”在公众网络中传播。 v p n 技术实现了内部网信息在公众信息网中的传输，就如同在茫茫的广域网 中为用户拉出一条专线。对于用户来讲，公众网络起到了“虚拟专用”的效果。 通过v p n ，网络对每个使用者也是专用的。也就是说，v p n 根据使用者的身份和 权限，直接将使用者接入他所应该接触的信息中。所以v p n 对于每个用户，也是 “专用”的，这一点应该是v p n 给用户带来的最明显的变化。 2 1 2 虚拟专用网分类 实际工作中，有各种各样的v p n 实现方案，每种实现方案都满足特定的实际 需求，总的来讲，v p n 的实现方法可以归纳成以下三类： 1 、 内部v p n ：指企业、政府内部各个部门、分支之间的v p n 实现； 2 、远端接入v p n ：企业、政府网络和远端或移动用户之间的v p n 实现方案： 3 、外部v p n ：指企业、政府相互之间或和他们的合作者、客户之间的v p n 实现方案。 内部v p n s 保证企业、政府内部部门或他们的分支机构之间安全通讯。主要 采用数据加密手段来保护内部的敏感信息，重要数据库的安全以及对新的用户、 电子科技大学硕士论文 新的部门、新的应用的可扩展性等。 远端接入v p n s 是为企业、政府部门与他们的远端机构或移动用户提供安全 服务的技术，对远端和移动用户身份的强制认证是关键因素。远端接入v p n s 需 要集中管理，并且随着用户的增加能提供很好的扩展性。 外部v p n s 为企业、政府部门和他们的合作伙伴、客户之间的信息交流提供 安全保护。为了有效的兼容性，必须实现一开放式，基于国际标准的解决方案。 目前，广为接受的标准是i n t e r n e ts e c u r i t yp r o t o c o l ( i p s e c ) 。 2 i 3 国内外基于i p s e o 的产品和技术情况介绍 作为网络层的安全标准，i p s e c 一经提出，就引起计算机网络界的注意，几 乎世界上所有的计算机公司都宣布支持这个标准，并且不断推出自已的产品。但 是由于标准提出的时间很短，而且其中又有一个重要组成部分没有标准化，因此 尽管产品种类很多，但真正合格的产品却很少。 国内外产品分析： 目前世界上最权威的i p s e c 产品评测中心为i c s a ( 国际计算机安全协会) 实验室，至2 0 0 1 年5 月2 5 日，只有3 5 个产品通过了它的测评。这3 5 个产品都 是国外的产品，没有我国的产品。 国内计算机安全产品检测有两个机构：中国国家信息安全测评认证中心计算 机测评中心和公安部计算机信息安全产品质量监督检验中心。从介绍来看，这两 个都没有专门的i p s e c 功能评测。一些通过评测的产品，只是说明自己的产品具 有i p s e c 功能。 对国外通过i c s a 测评的产品和国内通过中国国家信息安全测评认证中心计 算机测评中心和公安部计算机信息安全产品质量监督检验中心测评的产品的分 析、比较，基本情况如下： 国外的产品在安全性、可扩展性、使用简单和性能价格比、协议实现的完整 性、系统的配置、系统的管理、日志及报表、系统自身的安全性、性能、c a 认 证等许多方面要成熟和优于国内产品。 国外的产品主要存在以下问题： 操作系统的安全问题，这些产品所基于的操作系统都是国外的产品( 这更是 国内产品存在的主要问题) ；基于i k e 动态密钥管理并没有很好的实现，大部分 产品没有实现动态安全关联密钥交换；安全策略系统实现并不完善。 国内产品存在的问题： 所基于的核心操作系统都是国外的操作系统，其安全性完全控制在他人手 电子科技大学硕士论文 中；管理与配置方面都比较复杂，缺乏友好、方便的配置管理界面；大多是与防 火墙整合在一起，重在防火墙功能，而对i p s e c 的实现相对较为简单和不完善； 因此几乎无法作为真正的v p n 网关使用；密钥管理几乎都是手工注入，而没有实 现动态密钥交换( i k e ) ：安全策略系统实现并不完善。 由于协议标准提出的时间还比较短，而且一部份还没有标准，因此从分析理 解协议到推出符合协议标准的产品，必然有一个过程。从以上分析可以得出以下 个结论，如果构建一个v p n ，国内的任何产品都无法使用，只有使用国外的产 品。但我们知道，v p n 的安全性，主要由它的密码算法强度、密钥的长度以及v p n 网关所基于的操作系统的安全性所决定，而西方国家严格限制对我国的密码产品 的出品，因此真正能够在我国使用的国外产品，安全性几乎为零。因此，我们可 以说到目前为止，还没有一个能够适合我国使用的v p n 网关。 2 ，1 4 国内外现有的v p n 解决方案 国外v p n 技术的发展非常迅速，由于国外在网络发展和协议的设计上的领先 地位，使得他们的产品在技术上和产品的成熟性方面均有优势。但随着我国网络 的发展和相关科技人员的努力探索，使得我们对网络技术和专业知识有了很大程 度的提高。目前国内外现有的v p n 技术解决方案根据其在网络中所处的层次可分 为以下几种方式： 1 链路层加密方式：在每条通信信道的两端，配置和使用相同的加解密设 备。这些加解密设备为与该通信链路上的所有业务数据提供加密保护。此方法的 缺点是在每个中间结点都要进行加密和解密运算，消息有泄密的可能，同时由于 其加解密设备发展速度远远滞后于网络及相关设备的发展速度，影响网络传输的 效率。 2 基于会话层( s o c k e tl a y e r ) 上的安全套接层s s l ( s e c u r es o c k e tl a y e r ) 方式。s s l 协议是1 9 9 4 年底由n e t s c a p e 公司服务。s s l 采用t c p 作为传输协议 提供数据的可靠传证、和加密和消息完整性供安全服务。理论上，s s l 可以为几 乎所有应用程序提供安全接口，但实际中s s l 代码常被嵌入到某一应用程序( 如 w e b 浏览器送接收，s s l 工作在会话层上，独立于更高的应用层，可为更高层协 议如t e l n e t 、f t p 、h t t p 提提出的，旨在为客户和服务器之间的安全通信提供认 n e t s c a p e ) 中。s s l 的主要缺点有以下方面： a 认证功能比较弱： b 由于s s l 是建立在面向连接的i c p 协议之上，因此对建立在无连接u d p 之 上的应用程序( 如i p 电话) 无法提供安全保护： 9 电子科技大学硕士论文 c 由于s s l 经常与浏览器捆绑使用，因此修改s s l 的源代码可能会影响现有 应用程序的正常运行，无法继续与现有的浏览器捆绑使用。 3 应用层的安全协议方式：应用层的安全协议一般包括包括s - h t t p 、h t t p s 和e m a i1 的安全( p g p p e m 、s m i m e ) 。s - h t t p 在1 9 9 4 年由c o m m e r c en e t 建议， 首先用于电子商务，后被i e t fw e bt r a n s a c t i o n 安全工作组考虑采用。s - h t t p 可提供数据的机密性、完整性及服务器和客户机的识别、认证功能。它在h t t p 协议框架上增加了安全功能。其安全协议的实现过程中对现有加密算法和安全机 制的支持上比s s l 要灵活。p g p p e m 、s m i m e 用于保护电子邮件的安全，包括邮 件的认证性、保密性、数据完整性和不可否认性，有时还要求匿名性。s - h t t p 和 p g p p e m 、s m i m e 均是基于消息机制( w i n d o w s 驱动机制，如支持鼠标驱动) 的安 全协议，适合于商业场合的安全应用。s - h t t p 和p g p p e m 、s m i m e 的缺点是： 对用户不够透明，缺乏通用性和广泛可用的实现，必须对每个应用程序单独开发 相应的安全协议。 4 基于网络层的安全加密方式：i n t e r n e t 的网络层的安全结构的开发工作 在1 9 9 3 年就已经开始，首先对i n t e r n e t 上的通信提供密码保护。1 9 9 6 年公布 了i p v 6 协议，i p v 6 强制执行r f c 的安全标准，是下一代的网络安全协议标准。 i p 层的安全包括两个功能：即认证和加密。认证机制保证接收的数据包就是由 该包报头中所标识出的、作为该分组的源所发送的，同时还要保证该数据包在传 送过程中没有被篡改；加密保证通信节点对所传送信息进行加密，防止第三方窃 听。 2 1 5 目前v p n 解决方案实例 1 c i s c o 的v p n 解决方案 c is c o 公司与路由器集成的v p n 解决方案是一种较为常见的基于硬件的构建 策略。各种用户，从电信运营商、小型分支机构到家庭和小型办公环境，都可以 找到适合自己需求的解决方案。其中7 1 0 0 系列v p n 路由器是一款集成了高性能 路由和v p n 服务功能的产品，其硬件配置特别针对v p n 应用及拓扑结构作了全面 优化，内置有适应不同连接要求的多种网络端口，并具有v p n 隧道交换、数据加 密、安全服务、防火墙、带宽管理等多种功能和服务。利用7 1 0 0 系列v p n 路由 器，用户能够将v p n 服务扩展至远程访问、远程办公、e x t r a n e t 连接及公共数 据服务网络。借助7 1 0 0 的v p n 解决方案的周边安全机制、侵入检测及先进的带 宽管理和服务身份确认等功能，还有先进的带宽管理性能，可以保证用户的实时 交易数据等高优先级数据流优先通过，满足了电子商务等活动的需要。对于用户 电子科技大学硕士论文 要求的安全性能，7 1 0 0 系列v p n 路由器则提供了身份验证、完整性检验及实时 检测等多种防护措施；对远程访问用户，也可以实行身份验证、授权访问资源及 账号等”a a a ”( a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 及a c c o u n t i n g ) 控制。 2 华为的v p n 解决方案 华为的v p n 解决方案包括a c c e s s v p n 、i n t r a n e t v p n 、e x t r a n e t y p n 及结合防 火墙的v p n 解决方案。各方案中，o u i d w a y 系列路由器具有v p n 网关功能，是组 建v p n 的重要设备。因为q u i d w a y 系列路由器支持各种v p n 技术，包括隧道技术、 i p s e c 、密钥交换技术、防火墙技术、q o s 与配置管理等，并可继续发展，支持 越来越多的先进技术，所以为用户提供了很好的选择和性价比。 3 网际先进( i n t e r n e ta p p l l a n c e ) 公司的v p n 解决方案 利用网际先进公司的v p n 产品，用户能够自己建立和发起v p n ，其灵活性和 安全性完全由用户自己掌握。因为网际先进的v p n 产品是c p e 端设备，也就是说 不依赖于i s p 提供v p n 服务。这些产品可以提供目前国际上加密位数最高的三重 d e s ( 1 6 8 位) 加密算法，其动态变换会话密钥的功能允许管理者定义多长时间 必须修改一次会话密钥( s e s s i o nk e y ) ，完全保证了用户的数据的安全性。 网际先进目前提供三种v p n 应用解决方案，分别是远程访问v p n 、i n t r a n e t v p n 和e x t r a n e tv p n 。 4 川i 大能士的v p n 解决方案 作为国家的要害部门，国家部委、金融、证券等单位通常使用专线而不是通 过互联网和下属单位或分支机构进行连接并传输数据。之所以采用这样的连接方 式，是因为互联网安全性不高，即使加密之后，受攻击的机会仍然高。使用专线 之后，受攻击的机会大大减少。使用专线，价格虽然很贵，但能够保证安全性， 用户以高成本获得了高安全性。 这样的连接不是i p v p n ，但它仍然可以算是v p n 的一种。v p n 的概念介乎专 用网和公用网之间，比起专用网，v p n 中使用了部分公用网做承载；比起公用网， v p n 有专用网安全、专用和服务有保证的特点。v p n 并不是i n t e r n e t 上的新概念， 因为无论是在电话网上，还是在x 2 5 、帧中继或a t m 网上，都可以构建v p n 。 针对国家部委、金融、证券单位对安全的特殊需求和网络连接情况，四) l lj l i 大能士公司提出了安全v p n ( s v p n s e c u r i t yv p n ) 的概念，以区别于其他的v p n 。 s v p n 构建在x 2 5 、帧中继或a t m 网上，它更强调v p n 的安全性，对安全要求更 高。s v p n 和i p - v p n 面对的是不同的客户。能士公司的李焱先生认为，s v p n 应该 电子科技大学硕士论文 包含以下的特性： 1 ) 连接的真实性，即用户身份的鉴别； 2 ) 连接的边界安全，即合法用户的授权问题。边界数据的安全性，即数据的 保护。边界的可用性： 3 ) 连接的完整性，连接本身的完整性以及在连接中传输的数据的完整性； 4 ) 连接机密性，过程和存在都不让外人知道。即使知道了，也无法破戒其中 的数据； 5 ) 报警功能： 6 ) 整体的概念，要实现集中管理，也就是可控性，才能保证实现用户需要； 7 ) 安全设备自身的安全性，如防撬、抗高温等，操作平台的安全，没有体系 结构漏洞。 使用能士公司的s v p n 产品，用户可以自主地管理v p n ，从设备管理、安全 策略到配置，都能够自己控制。 2 2i p s e c 基础 2 2 v p n 的关键技术及协议 实现v p n 的关键技术主要包括： ( 1 ) 安全隧道技术( s e c u r et u n n e l i n gt e c h n o l o g y ) 。 通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协 议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源 端和宿端的用户对隧道中的嵌套信息进行解释和处理，而对于其他用户而言只是 无意义的信息。这里采用的是加密和信息结构变换相结合的方式，而非单纯的加 密技术。 ( 2 ) 用户认证技术( u s e ra u t h e n t i c a t i o nt e c h n o l o g y ) 。 在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源 访问控制或用户授权( a u t h o r i z a t i o n ) 。用户认证技术是相对比较成熟的一类技 术。因此可以考虑对现有技术的集成。 ( 3 ) 访问控制技术( a c c e s sc o n t r o lt e c h n o lo g y ) 。 由v p n 服务的提供者与最终网络信息资源的提供者共同协商确定特定用户 对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资 源的最大限度的保护。 在v p n 的关键技术中，最重要的是安全隧道技术，属于i pt u n n e l i n g 的协 电子科技大学硕士论文 议有很多，主要有： 1 二层隧道协议 l 2 f l 2 t p 是p p p ( p o i n tt op o i n tp r o t o c 0 1 ) 协议的扩展，它综合了其他 两个隧道协议：c i s c o 的二层转发协议( l 2 f ，l a y e r2f o r w a r d i n g ) 和m i c r o s o f t 的点对点隧道协议( p p t p ，p o i n t t o p o i n tt u n n e l i n g ) 的优良特点。它是由 i n t e r n e te n g i n e e r i n gt a s kf o r c e ( i e t f ) 管理的，目前由c i s c o 、m i c r o s o f t 、 a s c e n d 、3 c o m 和其他网络设备供应商联合开发并认可。 些结构都严格通过点对点方式连接，所以很难在大规模的i pv p n 下使用。 同时这种方式还要求额外的计划及人力来准备和管理，对网络结构的任意改动都 将花费数天甚至数周的时间。而在点对点平面结构网络上添加任意节点都必须承 担刷新通信矩阵的巨大工作量，且要为所有配置增加新站点后的拓扑信息，以便 让其他站点知其存在。这样高的工作负担使得这类v p n 异常昂贵，也使大量需要 此类服务的中小型企业和部门望而却步。 2 三层隧道的协议 最重要的是i p s e c 协议。i p s e c 是i e t f ( 因特网工程任务组) 于1 9 9 8 年1 1 月公布的i p 安全标准。其目标是为i p v 4 和i p v 6 提供具有较强的互操作能力、 高质量和基于密码的安全。i p s e c 对于i p v 4 是可选的，对于i p v 6 是强制性的。 i p s e c 在i p 层上对数据包进行高强度的安全处理，提供数据源地验证、无连接 数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程 序可以享用i p 层提供的安全服务和密钥管理，而不必设计和实现自己的安全机 制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。i p s e c 可连续 或递归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端安全、虚 拟专用网络( v p n ) 和安全隧道技术。 i p s e c 规范中包含大量的文档。其中最重要的是在1 9 9 8 年i1 月发布的，它 们是r f c 2 4 0 1 、2 4 0 2 、2 4 0 6 和2 4 0 8 ： r f c 2 4 0 1 ：安全体系结构概述； r f c 2 4 0 2 ：包身份验证扩展到i p v 4 和i p v 6 的描述； r f c 2 4 0 6 ：包加密扩展到i p v 4 和i p v 6 的描述： r f c 2 4 0 8 ：密钥管理能力规范。 对于这些特征的支持，i p v 6 是强制性的，i p v 4 为可选的。在这两种情况下， 安全特征作为扩展报头实现，它跟在主i p 报头后面。身份验证的扩展报头称作 身份验证报头( a h 头) ，加密报头称e s p ( 封装安全性有效载荷) 报头。 除了上面四个r f c 文档之外，其他许多标准也已经陆续公布。到目前为止， 在i p s e c 协议族中，只有策略还没有正式r f c 文档。 电子科技大学硕士论文 安全体系结构：包含了一般的概念、安全需求、定义和定义i p s e c 的技术机 制； 封装安全有效载荷( e s p ) ：覆盖了为了包加密( 可选身份验i f ) 与e s p 的使 用相关的包格式和常规问题； 验证头( a h ) ：包含使用a h 进行包身份验证相关的包格式和一般问题； 加密算法：描述各种加密算法如何用于e s p 中； 验证算法：描述各种身份验证算法如何用于a h 中和e s p 身份验证选项； 密钥管理：密钥管理的一组方案，其中i k e ( i n t e r n e t 密钥交换协议) 是默 认的密钥自动交换协议； 解释域：彼此相关各部分的标识符及运作参数； 策略：决定两个实体之间能否通信，以及如何进行通信。策略的核心由三部 分组成：s a 、s a d 、s p d 。s a ( 安全关联) 表示了策略实施的具体细节，包括源 目的地址、应用协议、s p i ( 安全策略索引) 、所用算法密钥长度：s a d 为进 入和外出包处理维持一个活动的s a 列表；s p d 决定了整个v p n 的安全需求。策 略部分是唯一尚未成为标准的组件。 2 2 2 验证头( a h ) 验证头( a u t h e n t i c a t i o nh e a d e r ，a h ) 是一种i p s e c 协议，用于为i p 提供 数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。它定义在r f c 2 4 0 2 中。除了机密性之外，a h 提供e s p 能够提供的一切东西。但要注意的是，a h 不对受保护的i p 数据报的任何部分进行加密。 由于a h 不提供机密性保证，所以它也不需要加密算法( 加密器) 。尽管如此， 仍然需要一个验证器( 身份验证器) 。a h 定义保护方法、头的位置、身份验证的 覆盖范围以及输出和输入处理规则，但没有对所用的身份验证算法进行定义。像 其兄弟协议e s p 一样，a h 没有硬性规定抗重播保护。使用抗重播服务由接收端自 行处理，发送端无法得知接收端是否会检查其序列号。其结果是，发送端必须一 直认定接收端正在采用抗重播服务。 a h 可用来保护一个上层协议( 传输模式) 或一个完整的i p 数据报( 通道模式) ， 就像e s p n 样。其间的差别根据受保护的数据报如何应用a h 来定。任何一种情况 下， a h 头都会紧跟在一个i p 头之后。a h 是一个i p 协议，而受a h 保护的i p 包只是 另一个i p 包而已。因此，a h 可单独使用，或和e s p 连合使用。它可保护一个通道 传输协议，l 的n l 2 t p 或g r e ，或者，可用于通道包本身。和e s p 一样，a h 是i p 的一 个万用型安全服务协议。 1 4 电子科技大学硕士论文 a h 提供的数据完整性与e s p 提供的数据完整性稍有不同；a h 对外部i p 头各部 分进行身份验证。 1 。a h 头 a h 是另一个i p 协议，它分配到的数是5 1 。这意味着a h 保护的一个i p v 4 数据报 的协议字段将是5 l ，同时表明i p 头之后是一个a h 头。在i p v 6 的情况下，下一个头 字段的值由扩展头的存在来决定。如果没有扩展头，i p v 6 头中的下一个头字段 将是5 1 。如果a h 头之前有扩展头，紧靠在a h 头前面的扩展头中的下一个头字段就 会被设成5 1 。将a h 头插入i p v 6 的规则与e s p 插入规则类似。a h 和e s p 保护的数据相 同时，a h 头会一直插在e s p 头之后。a h 头比e s p 头简单得多，因为它没有提供机 密性。由于不需要填充和一个填充长度指示器，因此也不存在尾。另外，也不需 要一个初始化向量。a h 头如图2 一l 所示。 图2 1a h 头 下一个头字段表示a h 头之后是什么。在传送模式下，将是处于保护中的上层 协议的值，比如u d p 或t c p 协议的值。在通道模式下，将是值4 ，表示i p i n i p ( i p v 4 ) 封装或i p v 6 封装的4 1 这个值。 载荷长度字段表示采用3 2 位的字减2 表示头本身的长度。a h 头是一个i p v 6 扩 展头，按照r f c 2 4 6 0 ，它的长度是从6 4