（计算机应用技术专业论文）远程接入ipsec+vpn的增强型设计方案与实现.pdf

远程接入i p s e c v p n 的增强型设计方案与实现摘要 远程接入i p s e cv p n 的增强型设计方案与实现 摘要 本文对远程接入i p s e cv p n 进行了深入研究分析，针对实际的应用场景，实现了 一种更具可用性、健壮性和安全性的远程接入方案，论文的具体研究和实现工作包括 以下几个方面： 分析了现有i p s e cv p n 体系结构中存在的不足，基于新的i p s e c v 2 框架，提出了 p a d 增强型设计方案，并在此基础上提出了扩展设计，增设p a d 服务器以进行 集中式管理，从安全和管理的角度对原有的体系结构进行了增强； 夺分析了i k e v l 下远程自动配置方案的不足，本文提出了一种新的改进型自动配置 方案，在l p s e cv p n 网关中实现了d h c p 客户端的功能，能够根据用户及其所在 组的信息发起d h c p 请求，d h c p 服务器端配置了用户组的匹配规则和建立地址 池，能根据d h c p 请求选择合适的地址池分配内部口地址和其他内部配置信息； 夺基于课题组实现的i p s e c v 2 框架下的一体化防火墙和本课题完成的基于用户组的 远程自动配置方案，实现了对远程用户的访问控制，提高了系统的效率和安全性； 针对远程用户和i p s e cv p n 网关之间可能存在n a t 设备的情况，研究了i k e v 2 协议中n a t 探测和穿越的方案，实现n a t 探测功能，当探测到n a t 设备的存在 后，通过n e t l i n k 套接口通知i p s e c 内核启用n a t 穿越功能，提高了系统的通 用性； 将d p d 协议应用在i p s e c v p n 系统中，弥补了i k e 协议本身对状态检测的不足， 提高了系统的健壮性； 在设计中，充分考虑到i k e v l 和i k e v 2 的融合，支持i k e v l 和i k e v 2 的客户端， 提高了系统的兼容性； 对课题的原型系统进行掼i 试。测试结果表明，原型系统各个模块可以正常工作， 在可用性、健壮性和安全性等方面均达到了设计要求。 本文的研究工作是江苏省自然科学基金项目“基于p k i 、e c c 的高强度v p n 安全网关技术与核心系统的研究”( 编号b k 2 0 0 4 0 3 9 ) 的延续和扩展。 关键词：远程接入，i p s e cv p n ，p a d ，远程自动配置。n a t 穿越，d p d 作者：周晓东 指导老师：陆建德 熊塑璺! 坠墅型! 整墼趔! 塑! 竺型鲤竺垡垦! 罂坚墅! 璧苎垫里竺! 型 t h ee n h a n c e dd e s i g na n di m p l e m e n t a t i o no f r e m o t ea c c e s st oi p s e cv p n a b s t r a c t t h i sp a p e rh a sm a d et h o r o u g hr e s e a r c h 锄da n a l y s i st oi p s e cv p nr e m o t ea c c e s s a n d r e a l i z e dar e m o t ea c c e b $ s c h e m ew h i c hi sm o r ca v a i l a b l e , r o b u s ta n ds e c u r e i t ss p e c i f i c r e s e a r c ha n di m p l e m e n t a t i o ni n c l u d e s ： a n a i y 2 i n gt h el i m i t a t i o n so fi p s e cv p ns y s t e m 蚰加r e ，o f f e r i n gap a de n h a n c e d s c h e m eb a s e d t h en e w e s ti p s e c v 2f r a m e w o r ka n di n c r e a s i n gap a ds c r 、惯t o s u p p o r tc e n w a l i z e dm a n a g e m e n ta n dan e w l yd e s i g n e dp a d8 e t v c r t os u p p o r t c e n t r a l i z e da n t h o d z 撕o nm a n a g e m e n t8 0 a st oe n h a n c et h es y s t e ms e c u r i t ya n d m a n a g e m e n tc o n t z v l ； a n a j y 血gt h e 幽研t c i 谢n g so fr e m o t ea u t o m a t i cc o n f i g u r a t i o ni ni k e v l ，o f f e r i n ga n 倒i m p r o v e ds c h e m ea n dr e a l i z i n gt h ed h c p c l i e n ti ni p s e cv p n g a t e w a yt h a ts e n d s d h c pr e q u e s tb a s e do nt h eu s e ri d e n t i t ya n dt h eg r o u pt h eu s 盯b e l o n g st o ，i nt h e m e a n w h i l e , t h ed h c p s a v c rh a sm a d eu 鲥g r o u pm a t c hr u l e sa n db u i l ta d d r e s sp o o l s , t h e nc h o o s ep r o p e ra d d r e s sp o o l st oa s s i g ni n t e r n a l 碑a n do t h e r m 幢m a lc o n f i g i 】r a t i o n s t ot h er e m o t eu s e r s ； i m p l e m e n t i n gt h er e m o t eu s e r s 剐秘船c o n t r o lb a s e d o nt h ei n t e g r a 土e df i 托砌i ni p s e c a n dt h er e m o t ea u t o m a t i cc o n f i g u r a t i o ns c h e m eb a s e do nt h eu s e fg r o u p e n h a n c i n gt h e s y s t e m se f f i c i e n c ya n ds e c u r i t y ； i t l 跚缸c h j | 培o nn a t 曲t c l c t i o na n dt r a v e r s e lp r o c e s s i n gw h e nt h en a td e v i l i e s b d 1 】煳t h er e m o t eu s e ra n dt h ei p s e cv p ng a t e w a y e m b e d d i n gn a td e t e c t i o ni n t o e w h i c hw i l ti n f o r mi p s e ck e m e ! t os t a r tn a tt r a v e s a lp r o c e s s i n gt h r o u g h n e t l i n ks o c k e ti n t h a tc a s o ，e n h a n c i n gt h es y s t e m su n i v e r s a l i t y ； 夺r e s e a r c h i n go nt h ed p dp r o t o c o la p p l i e dt ot h er e m o t ea c c 瞄si ni p s e cv p n t os o l v e t h ep e e rd e t e 施o l lp r o b l e mi n e e n h a n c i n gt h es y s t e m sr o b u s t n e s s ； s u p p o r t i n gb o t hi k e v la n di k e v 2c l i e n t , a n df u l l yc o n s i d e r i n gt h ei n t e g r a t i o no f i k e v la n di k e v 2i nt h ed e s i g n , s o 嬲t oi m p r o v et h es y s t e m sc o m p a t i b i l i t y ； t e s t i n gt h ep r o t o t y p ew i t hr e s e l l st h a tt h ep r o t o t y p ec o u l dw o r ks m o o t h l ya n di t s c o m p a t i b i l i t y , r o b u s t n e s sa n ds e c u r i t yh a sg o t i t si n i t i a ld e s i g ng o a l t h er e s e a r c ho f t h i sp a p e ri ss p o n s o r e db yt h en a t u r a ls c i e n c 世f o u n d a t i o no f j i a n g s u p r o v i c e ( p r o j e c tn u m b e r ：b k 2 0 0 4 0 3 9 ) k e y w o r d s ：r e m o t ea c c e s s ，i p s e e 、t n ，p a d ，r e m o t ea u t o m a t i cc o n f i g u r a t i o n ，n a t t r a v e l s a ld p d m w r i t t e nb y ：z h o ux i a o - d o n g s u p e r v i s e db y ：l uj i a n - d e 苏州大学学位论文独创性声明及使用授权的声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 其他个人或集体已经发表或撰写过的研究成果，也不含为获得苏州大学 或其它教育机构的学位证书而使用过的材料。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本人承担本声明的法律 责任。 研究生签名：! 蛰! 塾垄：日期：盘1 2 ：竺：鉴 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文 合作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本 人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 ，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分 容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 研究生签名： 塾煎垫2 日 导师签名：妞日 期： 塑1 2 翌! 迨 期：螂眨矿 远程接入i p s m v p n 的增强型设计方案与实现 第一章绪论 第一章绪论 本章介绍了远程接入i p s e c v p n 技术的研究背景，介绍了国内外目前研究现状， 分析了课题的选题意义，然后概述了本文所做的主要工作和贡献，在本章最后介绍了 本文的组织结构 1 1 研究背景 随着计算机网络的发展，网络安全也越来越受到人们的关注。进入2 1 世纪以后， 电子商务、虚拟企业、电子政务等信息系统得到迅猛发展，企业或单位对数据安全传 输的要求日益提高，要求能够获得方便快捷、经济高效的网络支持，但直接通过 i i i t e r n e t 传输数据存在诸多安全隐患。大型企业利用专门租用的卫星线路将企业内部 通信和外部隔离开来，解决了安全问题，但投资过于巨大。虚拟专用网v p n 利用在 公共通信网络基础设施中“虚拟”出一组织机构内或某种共同体内通信的某些部分， 使通信的部分或全部在外部观察者看来是“不可见的” i p s e c 【2 j 是网络层的安全技术，它独立于应用程序。i p s e x 以自己的封包封装原始 m 信息，因此可隐藏所有应用协议的信息一旦i p s e c 建立加密隧道后，就可以实现 各种类型的一对多连接，如w e b 、电子邮件、文件传输、v o m 等连接，并且，每个 传输必然对应到v p n 网关之后的相关服务器上。i p s e 圮体系结构包括a l l 协议网、e s p 协议1 4 】、安全关联、安全数据库和i n t e m d 密钥交换i k e 协议，以及上述协议采用的 密码学算法嘲嘲川。 远程移动用户闱通过v p n 技术可以在任何时间、任何地点采用拨号、i s d n 、d s l 、 移动口和电缆技术与公司总部、公司内联网的琳设备建立起隧道，实现加密的访 问连接。但是，由于球s 体系结构在多协议封装、用户级身份鉴别、授权以及穿越 n a t 等方面存在着不足，因此需要对原有的m s 体系结构进行扩展和补充才能解决 远程用户接入i p s e c v p n 的问题。随着网络的复杂化，网络攻击的日益频繁，如何设 计i p s e 沁v p n 的服务器和m $ v p n 的远程接入客户端，才能使得远程接入具有更强 的可用性和安全性，已成为当今业界在口s c c 实施方案中关注的焦点。 第一章绪论 远程接ai p s e cv p n 的增强型设计方案与实现 1 2 研究现状与存在的问题 动态密钥交换协议i k e 以受保护的方式协商安全关联s a 并提供经认证的密钥信 息，为v p n 中的通信双方协商i p s e c 通信所需的相关信息i e t f 于2 0 0 5 年1 2 月推 出了正式的r f c 9 j 标准。国外对i k e v 2 t l o j 的研究起步较早，一些著名公司如c i s c o i n j 、 s a f e n e t 1 2 1 、i n t o t o f l 3 1 、c r e e k s i d e 【1 4 j 等正逐渐在各自的v p n 产品中加入对i k e v 2 的支 持，但是目前这些产品仅支持位于各自安全网关保护下的内部主机通信，对于远程主 机接入安全网关访问内部主机的支持还存在很多不足，这些问题表现在以下几个方 面： ( 1 ) 现有i k e 协议( 包括i k e v l 和i k e v 2 ) 和i p s e c 协议本身对远程接入的支 持较弱，在i k e 协议中没有一个完整的远程主机自动配置方案，远程主机不能获取 内部口地址和d n s 等内部配置信息，导致一些内部资源不能正确访问( 如不能解析 内部域名等) ，同时由于远程主机不能获取内部口地址，i p s e c 网关在i p s e c 隧道建立 后的数据传输阶段很难识别远程主机的身份，完成相应盼访问控制，由此带来安全闯 题； ( 2 ) 现有的i p s e c 协议和n a t 协议不兼容，由于i p s e c 协议对m 包实施机密性 或完整性保护，而n a t 协议需要对口包中的地址域或传输头域进行映射和修改，导 致位于n a t 路由器或n a t 网关之后的远程主机不能和i p s e c v p n 网关完成i k e 交互： ( 3 ) 现有的i k e 协议缺乏状态检测机制，当远程主机由于意外重启或路由故障 等原因，导致s a 失效，l p s e c 网关也不能主动发现和对方建立的s a 已经失效，而继 续使用原有的s a 试图和对方通信，即使双方在通信链路上恢复了正常，依旧不能正 常通信，导致“黑洞”现象的产生。而传统的状态检验机制采取定时间隔的方法显然 不太适用于远程接入i p s e cv p n 的情况； ( 4 ) 新一代的i p s e c v 2 框架中虽然提出了端授权数据库以解决欺骗攻击，并且 为i k e 交互提供配置信息，以简化用户的配置，提高安全性，但目前的i p s e c v 2 框架 中各个用户的相关配置信息分开存放会带来不一致的隐患，因此，p a d 的设计需要 进行改进，才能更好的适应用户的需要。 综上所述，在目前的i k e 协议和p s e c 框架下，远程接入 s v p n 系统还存在 许多闯题，国内对于i p s e c v 2 和i k e v 2 的研究还处于起步阶段，对远程接入i p s e c v p n 的研究较少，因此，针对上文对现有i p s e c 和i k e 分析的缺陷和不足之处，在现有i p s e c v p n 系统的基础上进行改进和增强设计，设计一个高可用性、健壮性和安全性的远 程接入方案，使其能更好的满足远程用户的需要，有助于增进国内对i p s e c v p n 关键 2 远程接入i p s e cv i n 的增强型设计方案与实现 第一章绪论 技术的研究，缩小与国外同类产品的差距，对国内同类产品的研究和开发也具有借鉴 意义。 1 3 论文内容与相关工作 本文研究的内容是江苏省自然科学基金项目“基于p k i 、e c c 的高强度v p n 安 全网关技术与核心系统的研究”的延续和扩展。课题组之前深入研究和探索i k e v 2 相关技术，基于l i n u x2 6 内核和i k e v 2 设计了一个基于p k i e c c 的增强型i p s e cv p n 原型系统，但仅限于对i k e v 2 最小化支持，适用于位于各个网关之后的内部主机的 相互通信，而对于远程主机的接入尚不提供支持。 本课题研究的意义在于：对远程接入i p s e cv p n ，以及r f c 4 3 0 1 及r f c 4 3 0 6 中 提出的i p s e c v 2 框架和i k e v 2 协议进行深入研究，分析了现有的i p s e c v 2 框架和i k e v 2 协议在远程接入方式下的关键问题的切入点：包括；对p a d 的支持和扩展设谗对 远程主机自动配置方案的研究和探讨、对n a t 探测和穿越的设计与实现、对状态检 测机制的探讨，针对现有i p s e c 框架和i k e 分析了缺陷和不足之处，在其基础上进行 改进和增强设计，最终设计了一个具有较高可用性、健壮性和安全性的远程接入方案， 能更好的满足远程接入的需要 本文的研究和设计工作包括如下几个方面： 分析了现有的i p s e c 体系结构，总结其存在的一些缺陷和不足： 研究r f c 4 3 0 1 中提出的i p s e c v 2 体系结构，对其中新增的端授权数据库p a d 进行了深入的研究，并做了进一步扩展设计，从管理及安全的角度对原有 i p s e c v p n 体系结构进行了p a d 增强设计，提出了集中式管理方案，解决了 原i p s e c 体系结构中的管理和安全缺陷； 基于i k e v 2 协议，在课题组之前实现的最小化i k e v 2 的基础上，实现了创建 子s a ( c r e a t ec h i l ds a ) 交互，c p 载荷的交互，为远程用户创建子 s a 提供支持； 深入分析了i k e v l 下远程用户自动配置的缺陷和不足，提出了一种改进的基 于用户组的自动配置方案，将其应用到i k e v 2 协议中，提高了效率和安全性， 增加了对用户身份的识别以及基于用户组的分配策略，为进一步的访问控制 提供了支持； 对i p s e c 和n a t 之间的矛盾以及常用的解决方案进行了分析，研究了在 i k e v 2 协议框架中设计实现n a t 探测的方法，实现了n a t 探测和穿越，提 高了系统可用性； 3 第一章绪论 远程接入i p 9 v p n 的增强型设计方案与实现 对d p d 协议进行了研究，对i k e v 2 进行了d p d 增强设计，有效的解决了原 i k e v 2 方案中出现断连故障后对方状态检测的问题，并能根据本地策略自动 重新协商或者删除无效的s a ，提高了原i k e v 2 系统的健壮性和效率； 对原型系统进行测试和分析。测试结果表明，原型系统可以正常工作，并且 在i k e v 2 下远程接入的可用性、健壮性以及安全性上均有了明显的提高，达 到了最初设计所要实现的具有高可用性、健壮性和安全性的i p s e cv p n 系统 的目标。 论文涉及的对原i p s e c 框架和i k e 的改进和增强设计包括： ( 1 ) 分析了目前的i p s e c v 2 框架中各个用户的相关配置信息分开存放会带来不 一致的隐患，进行了p a d 扩展设计，以更好的适应应用需要； ( 2 ) 分析了m e 协议缺乏远程自动配置方案的不足，提出了一种基于用户组的 远程自动配置方案，解决了远程用户的内部配置获取问题； ( 3 ) 分析了i k e 协议缺乏状态检测机制的不足，对i k e v 2 进行了d p d 增强设 计，解决了状态检测的问题。 1 4 论文贡献 论文的贡献主要有以下几个方面； ( 1 ) 研究了基于r f c a 3 0 i 的下一代i p s e c 框架，详细分析了该框架下的端授权 数据库，并从管理和安全的角度进行了改进和扩展，提出增设p a d 服务器，对p a d 进行集中式管理，解决了管理缺陷。国内此方面的研究工作未见报导，本文对p a d 服务器的研究对从事下一代i p s e c 的研究和v p n 开发的同行有一定参考价值； ( 2 ) 针对i k e v 2 协议缺乏远程自动配置方案的不足，本文分析了原i k e v l 协议 中的远程主机自动配置方案，在此基础上提出了一种改进的基于用户组的远程主机自 动配置方案，提高了安全性，增加了对用户身份的识别以及基于用户组的地址分配策 略，简化了i p s e c v p n 网关和主机的配置，以适应大规模的应用，同时对远程用户的 访问控制提供了一种安全、高效、便利的方式； ( 3 ) 针对现有的i k e v 2 只支持位于各个i p s e cv p n 网关保护下的子网之间的内 部通信，位于c a t 设备之后的主机会由于校验和失败导致无法连接的缺陷，本文研 究并设计了i k e v 2 框架下的n a t 探测和穿越机制，使得远程接入更加具有可用性， 同时，分析了在l i n u x 内核中如何完成n a t 穿越的处理逻辑，对于研究v p n - n a t 的同行也有很好的借鉴意义； ( 4 ) 对i k e v 2 进行了d p d 增强设计，弥补了原i k e 协议对状态检测的不足， 远程接入i p s e cv i n 的增强型设计方案与实现 第一章绪论 可以高效地发现通信对方是否在线，如果对方已经不在线，则及时清除内存中与之相 关的i k es a 和c l l i l ds a 等信息，或调用i k e 重新协商，恢复正常通信，减少了不必 要的通信损耗和黑洞现象的产生，提高了远程接入的可靠性和通信效率。 1 5 论文结构 本文的总体结构大致分为四个部分：第一部分为论文的概要介绍和总体设计，包 括第一、第二章；第二部分为i p s e cv p n 体系结构，在第三章中讲述。第三部分为增 强型i p s e cv p n 网关和远程接入客户端的改进和设计实现，包括第四至第七章；第四 部分为系统的分析和测试，包括第八、第九章。具体内容安排如下： 第一章，介绍课题研究背景、发展现状，以及本课题所要研究的内容和意义。 第= 章，简要介绍了目前常用的远程接入v p n 的两种技术，分析远程接入i p s e c v p n 的关键问题，然后给出本文的解决方案和总体设计。 第三章，分析了新一代i p s e cv p n 体系结构的各个组成部分 第四章，分析原有i p s e c 体系结构的缺陷，研究了r f c a 3 0 1 中的p a d 增强型i p s e c v p n 网关，并在此基础上进行扩展设计，提出了集中式管理的方案，解决了i p s e c 系 统的管理缺陷和安全漏洞 第五章，分析研究了i k e v l 下远程主机自动配置方案的缺陷和不足，提出了一 种改进的远程主机自动配置方案，应用到i k e v 2 中，简化了i p s e cv p n 网关和主机的 配置，完成了访问控制，提高了系统的安全性和效率。 第六章，分析研究了i p s e c 和n a t 的矛盾，基于k e y 2 协议和i p s e c 协议，在原 有的i p s e cv p n 网关和远程接入客户端中实现了n a t 探测和穿越功能，增强了系统 的通用性。 第七章，分析研究了传统的对方状态检测方法以及在远程接入情况下的弊端，在 i k e v 2 中进行d p d 增强设计来检测对方的状态，解决了“黑洞”问题。 第八章：原型系统的测试，包括通用性测试，性能测试和保密性测试，最后进行 分析和评价，得出结论，原型系统在可用性、健壮性、安全性和效率均达到了最初的 设计要求。 第九章；对整篇论文作出总结，并对未来的工作进行展望。 第二章远程接k i p s e c v p n 的总体设计 远程接a , l p s e c v p n 的增强型设计方寨与实现 第二章远程接入i p s e cv p n 的总体设计 本章首先分析7 远程接入v 黯的两种关键技术，提出7 本文的实现方棠，分析了 这一方案中需要解决的关键问题，给出了整个系统的总体设计和模块划分，最后分析 了各个模块解决远程接入关键问题的方法 2 1 基于p k i 和扩展认证的远程接入方案 目前远程主机接入v p n 主要有两种方式嘲；基于l 2 t p i p s e c 1 碰1 刀方案以及基于 p i g 和扩展认证【埘的方案。l 2 t p i p s e c 方案虽然不需要在客户端配置i p s e c 软件，但 是依赖于i s p 的网络接入服务器n a s 充当l 2 1 1 p 的隧道点，并且需要在n a s 上安装 i p s e c 软件，因此，这种接入方式需要i s p 的支持，受地域和i s p 的限制 高线传输 v l ，n 冈关 的公钥 一，一一一一一一j 图2 1 基于p k i 和扩展认证的远程接入方案 本文采用基于p i c a 和扩展认证的方案，使用r o a dw a r r i o r 配置，在远程主机上配 置相应的i p s e c 处理程序，然后由用户通过t n t e m e tp o p 方式接入i n t e r n e t ，远程接入 v p n 网关，这种方式对于i s p 是透明的，不受地域限制i p s e c 的认证过程由i k e 协议 完成在i k e 中定义了两种认证方式：预共享密钥认证、数字签名认证预共享密 钥认证需要口地址配对，在远程接入方式下是不- j - 用的。因此，在远程接入方式下 主要采用数字签名认证，这种方式对于远程主机的要求比较高，要求通信双方对等认 6 远程接a 1 p s w 的增强型设计方案与实现第二章远程接入i p s c c v p n 的总体设计 证，这就要求远程主机也必须部署公钥基础设施p k i 随着w i n d o w s2 0 0 0 及其更高 版本以及目前的l i n u x 发行版都可以很方便的部署p i g ，而数字签名认证又可以提供 更高的安全强度，所以本文采用这种方式来完成远程主机和i p s e c 网关之间的双向认 证。在i k e v 2 的制定中提出了支持e a p ! 1 9 】的认证方式，从而实现远程主机与i p s e c 网关之间的非对称认证，这种方式由本课题组另外的成员完成。 图2 1 是课题组实现豹远程接入认证方案。在这种方案中，远程主机分成了两种 不同的情况：已部署和未部署p k i 。当远程客户端已经部署了p k i 时，既可以采用 传统的i k e 模式也可以采用混合认证的i k e 模式。v p n 网关将表明自己身份的证书 传递给用户，用户收到后通过p k i 服务器进行验证。远程客户则使用自己的证书( 传 统i k e 进程) 或使用e a p 认证( 混合认证进程) 来表明身份。当远程客户端还没有 部署p k i 时，采用混合认证的1 k e 模式。客户认证服务器时可以使用v p n 网关的公 钥( 通过离线的方式获得) 验证它的签名，而v p n 网关使用e a p 来验证用户的身份。 2 2 远程接入关键问题分析 图2 2 所示的是基于p k i 和扩展认证的远程客户接入i p s e cv p n ，在这种方式下， 存在以下一些问题： 图2 2 远程接入i p s e c v p n i p s e c 协议通常使用地址信息来标识不同的网络节点，从而进行访问控制，但是 不可能通过这种方式来标识远程接入节点。若给每个远程客户赋予相同的权限，显然 又是不合理的。 在1 k e 协商期间，双方需要相互的认证，当双方认证通过后，建立相应的s a ， 并根据对方的地址信息，协议类型和端口号匹配s p d 中的条目，匹配成功后添加s a 的指针。当通信双方都位于i p s e c 安全网关的保护下通信时，口地址就代表了主机的 位置信息，从而能正确地匹配s p d 项。但是，远程接入i p s e cv p n 时，远程主机的 m 地址随着接入点的变化而变化，这样就无法找到合适的s p d 项，从而导致s a 建 7 第二章远程接入口s 悄的总体设计 远程接入m s ，n 的增强型设计方案与实现 立失败。 为了解决p 地址耗尽的问题，i e t f 提出了n a t 协议 2 0 i ，允许位予n a t 后的主 机分配内部p 地址，当主机需要与外部网络进行通讯时，就在n a t 路由器处将内部 口地址转换成合法地址，这在小区宽带和校园网中被广泛地使用。位于n a t 设备之 后的主机建立i p s e c 连接会带来一些问题1 2 1 1 ，如在传输模式中，弹地址的改变导致校 验和失败；在隧道模式中，由于n a t 中对a h 和e s p 数据包的透明地址翻译需要特 殊规则，所以会产生路由问题。 i p s e c 远程接入方式下，i p s e c 远程客户和网关之间的连接会因些异常而中断， 导致一些无用的s a 不能够及时删除，产生“黑洞”现象。由于远程接入节点和i p s e c 网关通信线路的带宽，传输的距离以及时延是不固定的，因此采用传统的定时间隔来 检测对方生存状态的方法是低效的和不切实际的。 2 3 远程接入总体设计与模块划分 ：一。一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一- i 图2 3i p s e cv p n 网关总体结构设计 图2 3 和图2 4 分别为本课题组基于l i n u x 2 6 1 0 内核开发设计的i p s e cv p n 网 关及远程接入客户端的总体设计结构图。课题组在开源代码s t r o n g s w a w 4 0 的基础上 已经完成了i k e 的最小化交互以及基于i p s e c v 2 的一体化防火墙，完成了位予两个 0 远程接入坤s v p n 的增强型设计方案与实现 第二章远程接入3 v n j 的总体设计 口s c c 网关保护下的内部主机之问的i f s e 虻保密通信。本文主要完成远程接入功能，即 远程主机接入到i p s e 圮网关，从而和网关保护下的内部主机进行口s 通信。 i - 一 圈2 4i p s e c 远程接入客户端总体结构设计 进一步细化系统各个模块，系统的详细模块结构图如图2 5 所示，系统实现涉及 到应用层的i k e 协议和内核层两大部分。 图2 5 系统详细模块结构图 9 第二章远程接k i p s e e v p n 的总体设计远程接a i p s e c v p n 的增强型设计方案与实现 i k e 的主要模块由核心守护进程统一控制调度，各模块之同相互协作，自动在参 与通信的远程客户端和l p s e e 网关之间协商s a ，并将协商好的s a 安装到内核。课题 组在i k e 核心处理部分已经完成了配置解析模块、证书处理模块、i k e 初始交互模块， i k e 状态库模块，在内核中增加了基于l p s e c v 2 的一体化防火墙，本课题在l i c e 核心 处理中增加p a d 模块、远程自动配置模块、n a t 探测模块、d p d 消息处理模块，在 内核中增加n a t 穿越模块以及在一体化防火墙中增加对远程用户的访问控制，和本 课题相关的各模块功能如下： p a d 模块：在原r f c 4 3 0 1 的基础上进行了扩展设计，增加了集中式管理，模 块分为p a d 配置模块和p a d 检查模块，在i k e 交互开始时，p a d 配置模块为i k e 提供配置信息，增强系统的集中式管理并降低配置的复杂性；在建立s a 的过程中， p a d 检查模块完成对p a d 安全性检查，提高系统的安全性，抵御欺骗攻击； 远程自动配置模块：本文提出的一种改进方案，在远程客户端和i p s e c 网关 之间交互配置信息，远程客户端发出获取内部配置信息请求，在获取到内部配置信息 后，建立虚拟接口并增加相应路由，以选择正确的隧道点：i p s e c 网关根据远程客户 端的请求，向d h c p 获取内部配置信息，然后将d h c p 配置信息解析出来封装在i k e 消息中返回给客户端； n a t 探测模块：基于i k e v 2 协议，在i k e 初始交互阶段，双方完成n a t 探 测请求和应答，以判断远程接入客户端和i p s e c 网关之间是否有n a t 设备的存在； d p d 模块：替代传统的定时间隔检测对方生存状态的方法，采用更为合理的 d p d 服务模块加入到i k e 协议中，当探测到对方不能正常进行i p s e c 通信时，自动调 用r e k e y i n g 模块，重新协商i k es a 和c h i l ds a 或者删除相关的c h i l ds a ，清理相关 的结构； 身份认证模块；身份认证模块包括以数字证书方式进行身份认证的数字证书 处理模块，以预共享密钥方式进行认证的p s i ( 处理模块和基于e a p 的混合认证处理 模块在远程接入方式下，只支持数字证书认证和混合认证。数字证书认证方式下， 双方完成对等认证，这部分已经由课题组完成在混合认证方式下，双方完成不对称 认证，客户认证服务器时使用v p n 网关的公钥( 通过离线的方式获得) 验证它的签 名，而v p n 网关使用e a p 来验证用户的身份，这部分由课题组其他成员来完成； r e k e y i n g 处理模块：处理重协商的请求。可以在一个已存在的i k e _ s a 上协 商一个新的c h i l ds a ，并删除旧的c h i l d _ s a ；也可以与通信另一方共同重新协 商一个新的i k e _ s a ，继承一切以旧i k e _ s a 为基础创建的c i - l 几t ) s a ，这部分由课 远程接入i p 螂v p n 的增强型设计方案与实现第二章远程接入，c v p n 的总体设计 题组其他成员完成； n a t 穿越模块：分析口s 中n a t 穿越的方法，在内核中增加对n a ：r 穿越 的支持，当检测到在远程客户和m s 网关之间存在n a t 设备后，通信双方对原有的 i k e 包和e s p 包完成u d p 封装和解封装，从而穿越n a t 设备； 访问控制模块：基于课题组实现的i p s e c v 2 一体化防火墙和本课题完成的基 于用户组的内部地址分配策略，根据安全性的要求，i p s e 圮v p n 网关静态或动态添加 用户组策略项，从而完成对远程客户的访问控制。 第= - - ti p s e c v p n 体系结构综述 远程接入i p s e e v p n 的增强型设计方案与实现 第三章i p s e cv p n 体系结构综述 本章介绍了新一代i p s e c 框架盼体系结构，筒要地分析了其中鲢两个安全协议： a h ，e s p 协议i p s e c 工作模式，安全关联s a ，安全数据库，i p s e c 对进出包的处理 以及新一代的密钥交换协议i k e v 2 协议，并分析了i p s e c 的工作原理 3 1i p s e c 协议简介 i p s e c 协议即口安全协议，其第一版由i e t f 于1 9 9 8 年1 1 月公布2 0 0 5 年1 1 月，i e t f 公布i p s e c 的第二个版本i p s e c v 2 ，对第一版进行了修正和补充，是新一代 的口安全标准i p s e c 协议在i p 层上对数据包进行高强度的安全处理，提供访问控 制、无连接数据完整性，数据源认证，检测和抵制重放攻击以及有限数据流机密性等 安全服务。i p s e c 协议是一组协议套件，主要包含以下几个方面圈； ( 1 ) 认证头( a h ) 协议：定义了a h 认证处理的相关包格式和处理规则； ( 2 ) 封装安全载荷( e s p ) 协议：定义了e s p 加密及认证处理的相关包格式和 处理规则； ， ( 3 ) 操作模式：定义了i p s e c 协议的操作模式：传输模式和隧道模式； ( 4 ) 安全关联s a ：通信双方之间对某些要素的一种协定，包括：加密算法， 密钥，采用何种协议( a h 或e s p ) ，工作模式等等； ( 5 ) s p d 、s a d 和p a d ：s p d 和s a d 是i p s e c 体系结构中必不可少的数据库。 s p d 用于保存应用于进出数据流的策略，s a d 保存安全关联s a ，p a d 是 i p s e c v 2 框架下新增的端授权数据库，用于在s p d 和i k e 协议之间提供连 接，弥补i p s e c 框架的一些缺陷： ( 6 ) 密钥管理协议i k e ：认证通信双方的身份，动态地协商双方所使用的参数， 从而建立安全关联。 3 2 a h 协议 m 协议缺乏安全性，用来提供m 数据报完整性的认证机制是非常初级的例。a h 协议的目的是用来增加口数据报的安全性。a l l 协议提供无连接的完整性、数据源认 证和抗重放保护服务a i i 不提供任何保密性服务，它不加密所保护的数据包 远程接入慨v p n 的增强型设计方案与实现 第三章i p s e c v p n 体系结构综述 a h 包的格式如图3 i 所示，包括了安全索引s p i ，序列号域和认证数据，s p i 是 一个3 2 比特的整数，用于和源地址或目的地址以及i p s e c 所使用的安全协议( a h 或 e s p ) 共同惟一标识一个数据报所属的安全关联s a 。序列号是一个作为单调增加计 数器的3 2 位无符号整数，通信双方每使用一个特定的s a 发出一个数据报就将它们 的序列号加l ，用于防止重放攻击。认证数据是一个变长域，包含数据报的认证数据， 该认证数据被称为数据报的完整性校验值( i c y ) 。用来生成i c v 的算法由s a 指定。 a h 验证的是整个口包，因此，a h 协议对i p v 4 及i p v 6 那些不定的字段进行了 说明。在对验证数据进行计算之前，这些字段首先必须置零 o7 31 5 1 63 l 下一个头袭荷长度保留 安全参数素引( s p l ) 序列号域 一。“f 。- ：4 。、= 5 。 7 ，。“+ + 9 v ，i 。， 6 _ 6 7 ：。试征箍据( 交谘。 ? 季，- i 蠢去一。一一，。+ 。篓。羹 图3 1a h 头格式 3 3 e s p 协议 和a h 一样，e s p 的目的是用于提高m 协议的安全性。e s p 提供数据保密、数据 源认证、无连接完整性、抗重放服务和有限的数据流保密 1 广 保密覆 盖范围 上 o7 l1 5 1 63 i 安全参数索引( s p i ) 序列号域 譬- i - t ”、4 二- 一。、_ j 一一t 一一一。j 一。、! ” 。：+ 二 3 。：一，一。变长载荷数据。，+ 一，一”“譬。； 。 ， y 。? 。 一 。 、 + + t “。， ，一=f。一+ 蝴个填充字节 填充长度下一十头 擎- 。 j 1、。0t ? 二j “。 ”、“。“一变长认证数据。”4 。r 7“4 。 i “。| 。 ，一。+ 、。t 丁 认证覆 盖范围 图3 2e s p 数据包格式 如图3 2 所示，e s p 数据包有头部还有尾部，其甸封装了要保护的数据，其中s p i 和序列号域的功能同a h 的一样，尾部包含了填充数据( 如果有的话) ，与填充数据 第三章i e s e c v i n 体系结构综述 远程按入口，v p n 的增强型设计方案与实现 的长度有关的一个指示符，e s p 后的数据采用的协议以及相关的验证数据。e s p 保护 的数据包含在载荷字段中，不包含位于e s p 上层的口头信息 e s p 可以单独应用、以嵌套的方式