（计算机软件与理论专业论文）l2tp下的vpn方案及其群信任传递模型的研究.pdf

硕士学位论文 摘要 v p n 提供了安全、可靠的互联网访问通道，确保了使用公共基础设旋的通信 不是以牺牲数据的安全性为代价。越来越多的商业活动通过v p n 进行管理，全球 化的企业使得v p n 发展极具潜力。其实现主要依靠隧道技术，其中的l 2 t p 技术 结合了l 2 f 和p p t p 的优点，身份认证机制和密钥管理采用简单点到点的隧道验 证和预共享秘密的方法，根本无法扩展，也缺乏相应的信任关系和层次划分，不 能提供更好的隐私保护。 本文综合分析了v p n 的实现办法，重点描述了l 2 t p 的工作过程，介绍了 k a r a 的m e e t i n t h e m i d d l e 方案n a t 穿透解决办法。由于l 2 t p 中断开连接存在 缺陷，阐述了s t o p c c n 和p p p l c p 终止等几种攻击办法。根据l 2 t p 的重发机制， 提出了一种l 2 t p 性能自适应调节算法，其降低了隧道建立的时间，使其传输更 均匀，可以提供更好的q o s 要求。 根据l 2 t p 需要一种不依靠i p s e c 的隧道保护机制，首先使用数字证书来扩充 了l 2 t p 下的v p n ，提出了c a 和对称路由器的方案，解决了l 2 t p 隧道内多路 呼叫各自独立安全的问题，对协议架构和i k e 的密钥协商进行了改进。为了满足 v p n 中的信任问题，形式化描述与定义了该l 2 t p 方案下的群信任模型，给出了 其相应的四条基本安全原则，提出了s s m 中心的概念，设计了信任传递过程把静 态的安全等级和信任度等信息安全地发送到v p n 的各个节点，任意节点都可以验 证与路由器之间的信任关系，从而在我们方案的基础上建立一个可信的v p n 框 架，同其他方案进行了安全性能的比较。 最后对新方案中的l 2 t p 路由器，根据l i 丑u x 下n e t f l i t e r 的特点，进行了架 构的设计，详细阐述了各个模块的功能以及它们之间进行互操作的方法。最后比 较了各开源v p n 方案的操作复杂性、带宽利用和网络延迟，分析了方案的性能特 点。 关键词：v p n ；l 2 t p 路由器；群信任传递模型； l 2 t p 下的v p n 方案及其群信任传递模型的研究 v p np r o v i d e sas e c u r ea n dr e l i a b l ea c c e s st oi n t e r n e t ，a n de n s u r e st h a tt h e c o m m u n i c a t i o n su n d e rp u b l i cj n f a s t r u c t u r ei sn o ts a c r i f l c i n gt h es e c u r i t yo fd a t a m o r ea n dm o r eb u s i n e s sa r em a n a g e dv i av p n ，g l o b a le n t e r p r i s eb r i n gt h eg r e a t p o t e n t i a io fv p nd e v e l o p m e n t i t si m p l e m e n td e p e n d so nt u n n e i i n gm e c h a n i s m ，l 2 t p t u n n e l i n gi n t e g r a t e s t h ev i r t u e so fl 2 fa n dp p t p t h ei d e n t i t y a u 嚏h e n t i c a t i o n m e c h a n i s ma r mk e ym a n a g e m e n to fl 2 t pa d o p tt h ew a yo fs i m p l ep o i n tt op o i n t t u n n e l i n gv a l i d a t ea n dp r e s h a r e ds e c r e t ，a ta l li tc a n te x t e n d t h el 2 t pl a c k so ft h e c o r r e s p o n d i n gc o m p a r t m e n t a l i z e 6 ft r u s t r e l a t i o na n dl e v e l ，i tc a n t o f 艳re n o u g h p r o t e c t i o no fp r i v a c y t h i sp a p e ra n a l y s e st h es o l u t i o no fv p n ，d e s c r i b i n gt h ew o r k i n gc o u r s eo fl 2 t p t h e ni tp l a c e se m p h a s i so nt h ek a r a sm e e t - i n t h e m i d d l es c h e m et h a ts o l v et h en a t p r o b l e m d u et ot h el i m i t a t i o no ft h el 2 t pd i s c o n n e c t i o n ，i te x p a t i a t e 恤ea s s a u l t w a y st h a ti n c l u d es t o p c c n ，p p pl c pa n ds oo n b a s e do nt h er c t r a n s m i s s i o n m e c h a n s m ，t 1 1 el 2 t pa d j u s t i n ga l g o 打h mi sm e n d e d t h es c h e m er e d u c et h et u f m e i i n g t i m e 柚dm a k i n gi t st r a n s m i s s i o nm o r ef l o w i n g i tc a np r o v i d eb e t t e rq o sr e q u i r e m e n t f o rt h a tl 2 t pn e e d sat u n n e l i n gp r o t e c t i n gm e c h a n i s mw h i c hn o td e p e n d so n i p s e c ，t h i sp a p e rf i r s tu s i n gd i g i t a lc e r t i f i c a t es p r e a dv p nu n d e rl 2 t p ，a n dp r o p o s ea s c h e m eu s i n gc ap l u ss y m m e t r i c a ll 2 t pr o u t e r s i ts o l v e st h ep r o b l e mt h a tm u l t i p l e c a l 王si nal 2 t pt u n n e la r ei n d e p e n d e n t l ys e c u r e i tm o d i f i yt h ep r o t o c o lf a m e w o r ka n d t h ei k ek e yn e g o t i a t i o n t os 0 1 v et h et r u s tp f o b l e mi nv p n ，t h i sp a p e rf o r m a l i z e st h e g r o u p t r u s tm o d e iu s i n gl 2 t ps c h e m ea n de s t a b l i s h e st h ef b u rs e c u r i t yp r i n c i p l e i t a d v a n c e st h ec o n c e p t i o no fs s m ，a n dd e s i g nt h et r u s t d e l i v e r yp r o c e s st h a ts a f e l y t r a n s m i t t e dt h es t a t i cs e c u r i t y l e v e la n dt r u s t d e g r e et oe a c hn o d ei nt h ev p n m o d e l ， a n yn o d ec a nv a l i d 乱et h et r u s t r e l a t i o nb e t w e e nl 2 t pr o u t e r i tf o u n da na u t h e n t i c v p nf r a m e w o r k ，a n dc o m p a r et h es c h e m e ss e c u r i t yc a p a b i l i t yw i t ho t h e rs o l u t i o n s a f t e r c o n s i d e “n gt h e 色a t u r eo ft h en e t f l i t e ro fl i n u x，w ed e s i g nt h e a r c h i t e c t u r eo ft h el 2 t pr o u t e r i td e t a i l e d l yd e p i c tt h ef 曲c t i o no fe a c hc o n l p o n e n t a n dt h e i rc 0 1 l a b o r a t i o nw a y s a t1 a s ti t c o m p a r et h er o u t e r sp e r f o r m a n c ew h i c h i n v o l v e ss c a l a b i l i t y ，b a n d w i d t hu t i l i z a t i o na i l d1 a t e n c yw i t ho t h e ro p e ns o u r c ev p n s o l u t i o n s ，a n da n a l y s e st h ef e a t u r eo ft h es c h e m e k e yw o r d s ：v p n ；l 2 t pr o u t e r g r o u p - t r u s td e 断e r ym o d e i i i 硕士学位论文 插图索引 1 1v p n 隧道的协议架构2 1 2 现有v p n 按传输协议分类3 1 3l 2 t p 隧道层5 2 1 控制连接的建立1 0 2 2 入口和出口呼叫的建立1 0 2 3l 2 t p 报文头格式一1 1 2 4m i m 网络1 2 2 5m i m 的地址作用域1 3 2 6t a b l er t t 和t a b l ec o u n t 的结构1 6 2 7 隧道建立时间比较1 9 2 8 隧道各自的吞吐量2 0 3 1 对称路由器的方案2 1 3 2 改进的l 2 t p 协议体系结构2 3 3 3i k e 协议的组成2 3 3 4 主模式中使用数字签名的消息格式2 5 3 5 典型v p n 群信任的领域划分2 6 3 8 信任传递的时序图2 8 3 9 生成信息匣算法的伪代码2 9 3 1 0 打开信息匣算法的伪代码3 0 3 1 1 策略库的层次结构3 l 3 1 2 用户检验信任传递的伪代码3 l 3 1 3 用户判断路由器是否可信的时序图3 2 3 1 4 节点检查路由器信任度的伪代码3 2 4 1l 2 t p 路由器的架构3 6 4 2s a d 的结构3 7 4 3s p d 的结构3 7 4 4 虚拟界面模块的主要结构图3 8 4 5l 2 t p 注册与i k e 协商模块的主要结构图4 0 4 6 加密和完整性认证模块结构4 l 4 7 各方案的带宽和延时比较4 3图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图 l 2 t p 下的v p n 方案及其群信任传递模型的研究 表格索引 表1 1 开源v p n 方案情况比较一 表2 1 隧道建立时间比较 表3 2v p n 方案安全性能情况比较 表4 1 路由器操作复杂性比较o 侈弱轮 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献 的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法 律后果由本人承担。 作者签名： 喜、i 砖 日期：知- 簿j 月沪日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被 查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编 本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密口。 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 砖，诘 辩香 1 日期：扣0 年，月 日 日期：圳l 年r 月【、) 日 硕士学位论文 1 1引言 第1 章绪言 现有互连网上传送的信息对所有人都是公开的，由于缺乏足够的安全保护措 施其上传送的数据一般而言都是有可能被修改或窃听的。当两个或多个用户想要 通过互联网进行某些机密信息的传递时，显然是具有极大风险的。当互联网用于 商业通信的时候，网络安全就更加重要了，商业通信传输的数据都是很敏感的， 特别是企业间的某些商业秘密必须是严格控制的。虚拟专用网( v p n ) 就是在公 众网络上建立私有保密通信的技术办法【l 】。v p n 允许多个不安全的应用同时穿越 它们所在的网络而互相不受影响，为更多企业、个人提供更好的隐私保护。i e t f 理解v p n 为“使用i p 机制仿真出一个私有的广域网”【2 1 。随着电子商务的拓展， v p n 是极具发展潜力的。 v p n 的虚拟性是指两端的专用网络根本感觉不到v p n 的存在，用户不再需 要拥有实际的长途数据线路来完成隐私的通信，而是使用公众网络的数据线路来 进行通信的。但是当用户使用v p n 时，如果他们感觉到网络性能严重下降【3 】，“虚 拟”也就没有任何含义了。v p n 必须提供用户不同的服务质量请求，包括带宽和 延迟【4 1 等等，以满足不同应用的特性。而v p n 的专用性就是指任何用户可以为自 己制定一个最符合自己需求的网络，并且使用公用网络来传输需要的私有通信。 一个团体的内部网络必须是保密的，不允许不属于该团体的其它任何人进行访问。 为了实现专用的目的，v p n 必须支持透明数据报文的传输，在v p n 上传送的数 据报文与公众网络上的报文可能没有任何关系。它们使用不同的协议和寻址机制。 用最合适的办法来提供用户认证、数据加密和完整性验证等安全服务。 v p n 通常使用加密的隧道将两个或多个专用网络连接在一起。l 2 t p 是v p n 隧道技术的一种，其隧道建立在第二层，它可以封装任何第三层的协议，并且对 第三层及其以上各层都是透明的，支持多协议的传输。i e t f 已经制定了l 2 t p 【5 】 的标准，其结合了p p t p 和l 2 f 两个协议的优点，具有更优越的特性，得到了更 多团体和公司的支持，是v p n 今后发展的主要方向，我们着重对其进行方案与信 任模型的研究。 1 2 v p n 方案的研究概况 1 2 。1 n 隧道技术现状 v p n 隧道的协议架构如图1 1 示【6 】。隧道技术实际上是一种封装7 1 。x 协议 l 2 t p 下的n 方案及其群信任传递模型的研究 传输的时候被y 协议封装起来，这样x 协议对于公众网络是不可见的。x 协议称 为被封装协议，y 协议成为封装协议。一般而言，封装时，必须附加特殊的控制 信息和头部信息来确保封装的完整性。一般隧道封装格式为：( y 协议( 隧道附加 头( x 协议) ) ) 。隧道是体系结构上的抽象概念，在隧道里可以重复封装一个或多 个协议层。隧道的虚拟结构是建立在物理拓扑结构之上的。 v p n 设备公众网络路由v p n 设备 圈1 1v p n 隧道的协议架构 隧道技术通常应用在以下几种情况：第一种情况是当一组通信服务被用于一 个或者多个通信流的时候，在提供服务的网关和原始通信的网关之间建立隧道， 这种方法适用于加密等安全服务；第二种情况是当一个域里的地址在另一个域里 无意义的时候，例如在两个内部网络用户之间建立一条隧道必须隐藏其各自的私 有地址；第三种情况为，两个域运行相同的协议，但是它们之间的联接却使用的 是不同的协议，比如互联网使用i p 协议而一些内部网络却使用i p x 协议，为了 通过互联网传输，隧道技术可以将i p x 包封装起来传送至目的地。这些情况使得 隧道技术成为构造v p n 的基本要素。 现有的隧道技术我们根据其在0 s i 模型【8 】中所处的层次来进行分类，对于一 个加密的v p n ，加密发生的那一层决定了通信中将得到多少加密保护，同样也决 定了对于v p n 的终端用户透明度的级别。 ( 1 ) 数据链路层v p n ：这类v p n 的专用网络使用帧中继协议或a t m 【9 】协议 等，在0 s i 模型的第二层进行连接。尽管它们提供了创建v p n 十分合适的方法， 但其的代价通常也非常高，因为它们要求创建专用的第二层路径。帧中继和a t m 协议没有包含固有的加密机制，它们只是隔离通信，这种隔离基于该通信属于哪 一类第二层链接。因此，如果需要更高的数据完整性和的安全性，在恰当的位置 使用加密的机制是十分必要的。 ( 2 ) 网络层v p n ：网络层v p n 采用第三层隧道或加密技术来构建。一般采 用隧道技术和i p s e c 加密协议来构建，其中隧道技术包括g r e 【加1 和l 2 t p 协议等。 尽管l 2 t p 为第二层通信创建了隧道，但它使用的是第3 层，即用i p 层来创建 v p n ，因此它也可被归入网络层的v p n 。网络层本身是个非常适合加密的层次， 其在o s i 模型中层次够低，为上层运行的应用程序提供无缝连接，同时它的层次 又足够高保证通信有足够的粒度。网络层是v p n 扩充i p 地址结构最合适的位置。 ( 3 ) 应用层v p n ：它是为了某些特定的应用程序而构建的。一个非常好的 硕士学位论文 例子就是基于s s l 【“】的v p n ，s s l 在w c b 浏览器与运行s s l 的服务器之间提供 了加密信道。另外还有一个例子就是s s h ，其是作为一种加密机制及各种网络设 备安全登录会话而推出的。s s h 可以加密并为其它应用层协议创建v p n ，如f t p 和h t t p 。s s l 、s s h 等应用层v p n 的一个主要缺点在于它们通常不是无缝连接 的【i2 1 ，用户必须执行一些操作才能使隧道终端为各种应用程序创建v p n 。当添加 新的服务和相应的应用程序时，也要完善对它们的支持。这些恰是网络层和链路 层v p n 的优点，它们在建立了基本的v p n 后为所有的i p 通信提供了无缝的v p n 连接，使得用户感觉不到v p n 存在的同时完成了通信的加密。 1 2 2 开源悄基本状况 近年来，开源的v p n 解决方案得到了更多研究者和开发者的关注，这些软件 很多能提供足够安全性能的v p n 服务，而其源代码的开放性使得任何人都能对其 进行完善和改进。这些方案有些使用特别的硬件来获取更好的性能，例如 s n 印g e a r sl i t e + 和s m e 5 5 0 1 1 3 1 使用运行在“c l i n u x 下的f r e e s w a n l l 4 3 ( 一种开 源的i p s e c 实现) 。因为l i n u x 是一个完全开放的系统，任何人都可以快速得到自 己需要的环境，而一切的技术支持和研究成果都是无偿共享的【l5 1 。l i n u x 下路由 器的长足发展，嵌入式的v p n 解决方案必然有极大潜力可挖。 我们着重研究并且评价一些最流行的开源l i n u x 下的v p n 解决方案，其传输 协议有两类，如图1 2 示。 图】2 现有v p n 按传输协议分类 s s l t l s 1 1 1 由t l s 工作组标准化，最先是由n e t s c a p e 提出用于网络安全处理 l 2 t p 下的，n 方案及其群信任传递模型的研究 ( 包括版本1 、2 ) ，经过几年的发展这个协议已成为安全通信服务的一个标准解 决方案( 版本为s s l v 3 t l s v l ) 。其中s t u n n e l 和a m t i r a v p n 均使用s s l v 3 t l s v l ， 而l i n v p n 使用s s l v 2 。 s s h 【1 2 1 由i e t f 的s e c s h 工作组标准化，可以提供安全登录和安全文件传输。 其中p p p o v e l s s h 是唯一使用s s h 的v p n 解决方案。p p p 、s s h 都是广泛使用 且比较成熟的协议，一个简单的v p n 一条指令就可以建立，十分高效。 表1 1 开源v p n 方案情况比较 标 安装复杂 版本压缩算法加密，认证算法官方网站建立v p n 办法 准度 s s h h t t p ：，w w 砒b u i l d i n g i i n u l p p po v e rs s h有 p p p c c p 。，g z i p$ s s h v p n h t m l b f _ c b c ，m d 5 v p n s n c “s o u r c e c o d e o p c n s s l ， s t u n n e l4 0 4无 p p p 。c c ph t t p ：，w w w s t u n n e i o r g ，$ ，s s 卜v p n t m i 3 d c s ，s h a l a m t i r a v p no 9 6无无 h t t p ：，a i t a m r i t a c d u ， $ ，a m v p n h t m i h n p ：，m r t g p l a n e m i r r o r l i n v p n 2 6 - p r e l 无 p p p c c p $ 川n p n h t m i c o m ，p u b ，l i n p n b f c b c ，( m d 5 i s h a i v p n d 1 1无不完善 h t t p ：，s u n s i t e d - 【，v p n d ，$ p n d h t m l r i p e m d l 6 0 ) h t u n0 9 5无无无 h t t p ：，h t u n r u n s l i n u xn e t ， $ ，h t u n d h t m l h t t p ：，s i t e s i n k a d c ，s i t c s c i p e l5 4 无无( b f - c b c i i d e a ) ，- $ ，c i p c h t m l b i g r e d ，d e v e l ，c i p eh t m l h t t p ：p p t p c l i e n t s o u r c c p p t pi 2 0 有 p p p c c p m p p e $ ，p p t p d _ h t m l f o r g e n e “ l 2 t p d o 6 9 有 p p p - c c p n o n e h t t p ：，w w 砒1 2 t p d o r g ，$ ，1 2 t p d t m i o p e n s s l ， h t t p ：，o p c n p n s o u r c e o p e n v p n 1 4 2 无 i z 0 $ ，o p c n v p n h t m l b f c b c m d 5 如f g e n e t ， v t u n2 6 无 z l i b 1 z ob f - c b c m d 5 h t t p ：v t u n s o u r c e f o r g e n e t ， $ v t u n d h t m i p p p c c p ，z l i b ， v t u np p p2 6无b f c b c ，m d 5 h t t p ：，v t u n s o u r c c f o r g e n e t ，$ ，v t u n d p p p h t m l l z 0 t i n c - o p e n s s l ， t i n c 无 z l i b 1 z o h t t p ：，t i n c n 1 i i n u x o r g s ，t i n c h t m l c a b a lb f c b c ，r n d 5 ( b f _ c b c i d e s - c b c ) h t t p ：，y 8 v i p i n s o u r c e f o r g e y 8 v j p i n 0 9 5 无 z “b $ ，y a v i p i n d h t m l ，m d 5n e “ f r e c s ，w a n2 0 6 有 p p p 。c c p 3 d c s - c b c ， h t t p ：，w w w f r e e s w a n 0 r g $ ，i p s e ch t m l ( 1 c c p ：( 压缩控制协议，h t t p ：，m u l t i m e d i a e c e u i c e d u ，v o l a n s ) i ps e c w e 【1 6 1 ( i p s e c ) 则在网络层延伸了安全性能。，i p s e c 同样支持隧道机制 硕士学位论文 来提供v p n 服务。f f e e s w a n 就是一个比较成熟l i n u x 下i p s e c 的实现。 其余的方案使用各自的办法来提供相应的安全服务。由o p e n s s l 提供加密 的包括o p e n v p n 、v t u n 、t i n c 和y a v i p i n 等，而c i p e 、p p t p 、v p n d ，h t u n 和 l 2 t p d 则各不相同。比较大致如表1 1 所示。 1 2 3l 2 t p 方案的研究概况 l 2 t p 嗍在公共网络上使用i p 来建立隧道传送p p p 协议的。l 2 t p 隧道由一个 控制连接和很多个l 2 t p 会话组成，同一个l a c 和l n s 之间可以建立多个l 2 t p 隧道，会话与呼口q 是一一对应的。用户可以针对不同的服务质量创建不同的隧道， 实施完全不同的o o s 策略。 现有i p 主干网上运行l 2 t p 时，u d p 用作所有l 2 t p 通信的载体，包括为建 立连接l n s 和l a c 之间的隧道而传送的控制通信。l n s 和l a c 需要有i p 连接 以便能建立它们之间的隧道。隧道的初始化要用到u d p 端口1 7 0 1 来发送报文。 l 2 t p 隧道层大致如图1 3 所示。 客户 c c n t 正卫l z l l j 二 p i 甲 。m 圈1 3 l 2 t p 隧道层 l 2 t p 最开始提出来的时候，缺乏坚固的隧道保护机制。其本身虽然支持验 证l a c 和l n s 的两个隧道端点，但它没有提供更加强壮的安全机制，比如控制 和数据报文保护。此外，l 2 t p 不提供密钥管理工具，即隧道端点验证依赖于隧 道口令的分配，对于v p n 最重要的专用性要求是远远不够的。 2 0 0 1 年9 月，用i p s e c 加密l 2 t p 的想法基本成熟。由p a t e l ，b 和b a b o d a 完成了r f c 3 1 9 3 文档“s e c u r i n g l 2 t p u s i n g i p s e e 【1 w ，弥补了l 2 t p 安全性能不足 的问题。然而，i p s e c 加密l 2 t p 是有缺陷的，当n a t 【1 8 1 在两端使用时，因为n a t 会修改i p s e c 包的地址和端口域，终端的n a t 对报文的认证显然是无法通过的。 之后a t s u s h ik a r a 在“p r i v a t e t o p r i v a t ec o m m u n i c a t i o n so v e rt h ei n t e m e t ”文 中提出了一种用m e e t 1 n t h e m i d d l e 的网络模型【1 外，其仍采用i p s e c 做为认证和 加密机制，m i m 网络只负责路由功能，较好的解决了l 2 t p i p s e c 无法进行n a t 转换的问题。 最近t a i 【a h i r os u z u k i 等人提出了l 2 t p 引入i p s e c 后的n a t 虽然可以解决， 但是仍有缺陷【2 0 】。由于l 2 t p 引入i p s e c 后不能一直鉴别控制和数据信息，他们 l 2 t p 下的v p n 方案及其群信任传递模型的研究 提出了两种拒绝服务攻击的方法来断开l 2 t p 连接，第一个方法是传送有正确标 识符的s t o p c c n ( s t o p c o n t r 0 1 c o n n e c t i o n n o t i n c a t i o n 停止控制连接告示) 来终 止一个控制连接。另外一个主要办法是传送有正确标识符的p p pl c p 终止请求。 这几种攻击办法主要都是对l 2 t p 报文的标识符进行窃听以及暴力攻击来断开 l 2 t p 连接。提出了需要有一种完全不依赖于i p s e c 的l 2 t p 隧道保护机制。 本文第2 章将着重分析m e e t i n t h e m i d d l e 的网络模型，描述使得l 2 t p 断 开连接的攻击方法，提出需要种不依赖于i p s e c 的隧道保护机制。 1 2 4 完整的n 方案内容 根据现有v p n 研究与发展的方向，我们总结完整的v p n 应该包括如下内容： 第二层数据链路技术，例如帧中继和异步传输模式( a t m ) ： 进行或不进行加密的隧道协议( 通用路由封装g r e ，2 层隧道协议，l 2 t p ) ： i p s e cv p n ( 包括完整的传输和隧道模式封装种数据的加密认证以及密钥协 商与交换) ； 应用层技术：安全s h e l i ( s s h ) 端口转发，安全套接字层( s s l ) ，传输层 安全( t l s ) v p n ； 符合v p n 要求的x 5 0 9 数字证书【2 1 】和p k i 系统【2 2 2 3 1 来进行统一的身份识 别、密钥管理和基于身份验证的信任传递。 多协议标签交换( m p l s ) 。 现在的v p n 很多都是不是透明的，性能上有一定的影响。互联网基础设施的 进步，尤其是它提供服务质量和安全保证能力的提升，使得虚拟专用网和物理网 之间的界限越来越不明显。采用统一的标准加密和封装协议是以后发展的趋势， 用户同样需要统一的协议将v p n 隧道连接起来，实现私有信息安全和快速的传 递。随着无线通信技术的不断进步，无线领域的v p n 将有更大的发展空间和研究 价值。 硕士学位论文 1 3 本文的主要工作 v p n 正在成为企业网络互联解决方案的关键组成部分，企业网络越来越多地 使用基于互联网的v p n 来作为它们共享的基础设施。v p n 中的实现主要依靠隧 道技术，链路层隧道技术协议l 2 t p 是现今v p n 技术发展的重点方向，使用i p s e c 加密l 2 t p 隧道是现在的主要实现方式，但是其尚存在许多不完善的地方，安全 性能需要更进一步的提升并解决n a t 地址无法穿透的问题，提供更加适合企业需 求的v p n 方案。 本文分析了一个解决n a t 问题的l 2 t p 网络模型m e e t i n t h e - m i d d l e ，但针 对其的攻击方式仍然是比较有效的，其需要有一个完全不依赖于i p s e c 的隧道保 护机制。我们提出使用数字证书来扩充v p n 的解决方案，提出了一个群信任的模 型，设计了信任传递的过程，建立了一个可信的l 2 t p 框架。对l 2 t p 路由器的 架构进行了设计，给出了各个模块的功能和具体实现办法，并同已有方案进行了 性能的比较。 具体工作内容如下： ( 1 ) 描述和分析了现有的v p n 发展概况，搜集了一些比较具有代表性的开 源v p n 解决方案，进了综合情况的比较，提出了l 2 t p 作为今后v p n 发展重点 的优势和概况，并总结了完整v p n 所应具备的内容。 ( 2 ) 分析l 2 t p 的工作细节，重点描述k a r a 的m e e t 1 n t h e m i d d l e 网络模型 解决n a t 穿透的方法，指出l 2 t p i p g e c 抗断开攻击能力的不足，并针对l 2 t p 现有的性能算法提出了一种改进的自适应性能调节算法，并进行实验性能比较。 ( 3 ) 使用数字证书来扩充的l 2 t p 下的v p n ，提出c a 和对称路由器模型的 方案，并给出了修改后的协议框架，以及i k e 使用数字签名之后密钥协商的具体 过程，在我们方案的基础上，形式化分析了较大范围下v p n 的群信任模型，制定 了安全等级与信任度的基本原则，最后设计了信任传递的方案使得静态的安全等 级和信任度安全地传到了v p n 中所有的节点，所有节点都可判断与其它节点间的 安全等级与信任度关系，从而为建立l 2 t p 下可信的v p n 提供了一个完整的管理 框架。 ( 4 ) 对方案中的l 2 t p 路由器进行设计和实现，分具体功能模块阐述，和现 有开源的v p n 方案进行路由器复杂性、带宽利用和网络延时参数的比较。 l 2 t pf 的) n 方案及其群信任传递模型的研究 1 4 本文的内容结构 本章的论文结构为： 第一章比较一些具有代表性的开源v p n 解决方案，提出了l 2 t p 作为今后 v p n 发展重点的优势和概况，并总结了完整v p n 所应具备的内容。 第二章分析l 2 t p 工作细节之后，描述和分析了k a r a 的 m e e t - i n - t h e m i d d l e l 2 t p 网络模型，提出了一种改进的l 2 t p 性能算法。 第三章在我们对称路由器方案的基础上，修改了l 2 t p 的协议架构，提出了 一种群信任模型并完整设计了信任关系的传递。 第四章设计和实现l 2 t p 路由器，并同其它方案进行实验和综合性能的比 较。 结论总结所有的内容，指出现有的不足，描述还需要继续努力的方面和今后 的工作重点。 第2 章l 2 t p 分析与自适应性能调节算法 2 1引言 l 2 t p 协议的思想主要来自于p p t p 协议和l 2 f 协议【2 4 ，它主要由l a c 和l n s 两部分构成。在传统的二层连接中，p p p 协议的连接终点是l a c ( l 2 t pa c c e s s c o n c e m m t o rl 2 t p 接入集中器) ，l 2 t p 使得p p p 协议的终点延伸到l n s ( l 2 t p n e m o r ks e r v e rl 2 t p 网络服务器1 上。 目前l 2 t p 协议主要用来封装网络协议栈中的二层数据包p p p ，暂不支持 f r a m er e l a y ，e t h e m e t ，8 0 2 1 q ( v l a n ) ，h d l c 和a t m 等其他的数据包让”。数 据包首先被l 2 t p 头进行封装，整个被l 2 t p 头封装后的数据包被视为u d p 包的 载荷在信道上传输。所谓的可靠通道和不可靠的通道是一个相对( 控制消息通道 和数据消息通道相对而言) 的概念口”，这其实并不意味着控制消息是通过t c p 协议传输；而数据消息则是通过u d p 协议来传输。如若分组交换网络选定为u d p 协议，实际上控制消息和数据消息都是通过u d p 协议来传输的，不同的是传输控 制消息和数据消息采用的策略不同。因为t c p 的在v p n 路径上将建立多条连接， 而各t c p 定时器之间接口是完全不同的，将造成t c p 的性能急剧下降1 2 ”。 本章首先将分析l 2 t p 的工作机制，然后分析k a r a 的m e e l - i n _ t h e m i d d l e 的 v p n 网络模型，该方案较好解决了i p s e c 的n a t 问题，但是l 2 t p 工作机制中的 容易受断开连接攻击的缺点仍然存在，详细分析了具体的攻击方法，提出隧道需 要一种不依赖于i p s e c 的保护机制，然后在现有l 2 t p 隧道调节算法的基础上提出 了一种改进的l 2 t p 方案，实验结果显示了该方案在一定程度上降低了隧道建立 时间，应用中使得l 2 t p 隧道传输更加流畅， 2 2l 2 t p 工作机制 l 2 t p 隧道的建立通过两个阶段协商【2 b 】： - 阶段l ；在l a c 与l n s 之间建立一个控制连接。 阶段2 ：建立实际传输数据的l 2 t p 隧道( 也称为建立了一个会话) 。 单个隧道可以承载多个会话，在同一l a c 和l n s 之间也可以拥有多个隧道。 1 建立控制连接 控制连接是在l a c 和l n s 建立会话之前必须建立的初始化连接。建立一条 控制连接包括保护对等体的标识，同时确认对方的l 2 t p 版本、成帧以及传送能 力。用一个三消息交换建立控制连接。消息交换如图2 1 所示。 力。用一个三消息交换建立控制连接。消息交换如同2 1 所示。 l 2 t p 下的v p n 方案及其群信任传递模型的研究 l a ci n s s c o q 一2 + s c 僳q s c ( 讯p 一 s o c n ( 4 ) z i ba c k 一二_ 一z l ba c k q u 黜常毗t 擅州n n 峨m 昏坪i 嗷 ( s c c r p ) 鼬叶。删l o i c 删辑田椰- r 印b ( s 0 呻瓢时c 啪州抽鹕d i 帅细哪c 蝴 图2 1 控制连接的建立 当消息对列中再没有从对等体发出的消息时，z l ba c k 被发出。 2 建立会话 在成功建立了控制连接后，将建立单个会话。每一个会话对应一个l a c 和 l n s 之间一个单独的p p p 流。不同于控制连接的建立，会话的建立对l a c 和l n s 是有方向性的。l a c 要求l n s 接受一个入口呼叫的会话，而l n s 要求l a c 接受 放置一个出口呼叫的会话。消息交换过程如图2 2 所示。 坳卿响啦啤中吣瑚峄潲 i a 兰一 i 啄qa 璁q 兰一 o 既硷 r魂r硗 i a 乇p 一二三一l o 啦0 a 诤t_ _ 皇一0 a p 两舟 1 0 c n 一：竺+ 1 0 c n o o a 毕里0 0 ( n 一一一龠一一一一一一一一罱一一一一一一 丑卫a ( x t 二一五ba c k 二一一及卫a c k 匹珊h 咖