（计算机应用技术专业论文）穿越nat的vpn网关的研究和设计.pdf

a b s t r a c t v i r 七u a ip r i v a t en e t w o r k ( v p n ) i san e t w o r kt h a tu s e st h ei n t e r n e to r o t h e rn e t w o r ks e r v i c ea si t sb a c k b o n e ，a n du s e st h es e c u r i t yt u n n ejt o s i m u l a t eo n ee x c l u s i v ei i n ec o m m u n i c a t i o nf r o mp o i n tt op o i n t i nav p n s om a n yf i a i e sc a nc o n n e c 七e a c ho t h e ri ft h ee n t e r p r i s er e n t st h ei o c a i c o n n e c t i o n st oa ni n t e r n e ts e r v i c ep r o v i d e r ( i s p ) o n l y u s i n gav i r t u a i p r i v a t en e t w o r k ( v p n ) t oc o n n e c tt oe n t e r p r i s en e t w o r k sh a so p e n e du p an e ww o r l do ff l e x i b l e ，c h e a p e r , e a s et om a n a g ee t c t h ev p nw i l lb e a d o p t e dt ob u i l dt h ee n t e r p r i s ew a n m o r ea n dm o r ej nf u t u r e n e t w o r ka d d r e s st _ a n s l a t i o nw a sd e v e l o p e dt om a k em o r ee f f i c i e n t u s eo fi n t e r n e tp r o t o c o i ( i p ) a d d r e s s e s n a th a ss u b s e q u e n t l yg a i n e d p o p u l a r i t ya sas e c u r i t ym e c h a n i s ma n da sam e a n so fa | | o w i n gm a n y c o m p u t e r st os h a r et h es a m ei pa d d r e s s y o um a ye n c o u n t e rn a ti n m a n yn e t w o r k i n gd e v i c e ss u c ha sf i r e w a i i s e c u r i t yg a t e w a y s ，r o u t e r s b u tm a n yn e t w o r ka d m i n i s t r a t o r sh a v et r i e dt os e tu pav i r t u a f p r i v a t en e t w o r k ( v p n ) c l i e n t f r o maw o r k s t a t i o nw i t hap r i v a t ei pa d d r e s s o n l yt of i n do u tm u c hf r u s t r a t i o nw i t ht h en e t w o r ka d d r e s st r a n s l a t i o n ( n a t ) o nt h ei n t e r n e tr o u t e rk e e p s t h ev p nc l i e n tf r o mm a k i n gt h e c o n n e c t i o n n a tc a nb r e a kt h ev p nt u n n e i n a tc h a n g e st h en e t w o r ki p a d d r e s so fap a c k e t ( a n dc h e c k s u mv a l u e s ) ，w h e r e a st h et u n n e l i n g ，u s e d b ya ni p s e c o rl 2 t pv p n g a t e w a y ，e n c a p s u l a t e s e n c r y p t st h en e t w o r ki p a d d r e s so fap a c k e tw i t ha n o t h e rn e t w o r ki pa d d r e s s t h i sm a k e sa t r o u b l ei nc o m p a t i b l ev p nw i t hn a t i nt h i sp a p e & ii n t r o d u c e dt h eb a s i cc o n c e p ta b o u tt h et e c h n o l o g yo f v p n ，n a ta n dt h eb a c k g r o u n d ，a n di n t r o d u c e dt h ea p p l i c a t i o nu pt ot h e m i n u t e ，a n a l y s e dt h ev p na n df i r e w a r ep r o d u c t sm a d e db yt h et w o f a m o u sc o m p a n i e s t e s t e dt h ei n c o m p a t i b l ei nv p na n dn a tb yb u i l d i n g av i r t u a is i m u l a t ec i r c u m s t a n c e ，a n df o u n do u tt h er e a s o nf r o mt h e o r y b a s e do nt h a t ，id e v e l o p e dan e wv p n g a t e w a y w h i c hi se a s et om a n a g e a n dc o n f i gt os o l v et h ei n c o m p a t i b l ev p na n dna t ih a v ed i s c u s s e dt h e d e s i g na n di p s e ci nt h i sp a p e ni nt h ee n d ia n a l y s e dt h el n f e c t i o no f i p v 6s t a n d a r da n dd e v e l o p m e n ti nf u t u r e k e yw o r d s ；v p n ，n a t , i p s e c 武汉理工太学铖士学位论文 第一章v p n 产生和应用背景 1 1 v p n 网络背景知识 i n t e r n e t 具有传磐广域嬲络所冤法比拟的广泛幔、通用性彝i 经济性，各个 公司都在考虑怎嚣裁趱 n t e m e t 慕获玫委夫静翥娥剩薤。晕袈，多数企建曼 是萃# 用i n t e r n e t 来鬟搀其形象及产晶，提供w w w 诱闷，或进孬e m a i l 通讯。 现在，随着计算机网绺技术的迅猛发展和企业对信息化的迫切需封苞，也有更多 的企业在探讨如何利用i n t e r n e t 建立内部信息系统。或开展电予商务的业务。 要实淡这望囊翁簧袋裁必矮采羯安垒技寒，蔼建攒专臻羁( v p n ) 技零将是重 要手段之一。 v p n ( 虚拟私有网络) 是一种以开放公共网络( i n t e m e t ) 为糕础，综合 多种湖络技术和安全搜术。为企业的近程雇员、商业台作伙伴、资源供应商以 及企娅客户提供安垒购阏络虚胡和赉源共享静电予商业平台。利用v p n 技术， 叠鼗灵需鬟疆臻本蟪的数摄专线，适接上本逢蕊公菸倍惠震，各魏豹瓿璃载可 以互辅传递信息。同时，企业还可激幂甩公若信息嘲麴拨号接入设铸，诖蠡己 的雇髓、合作伙伴、客户拨号到公凝信息网上，再利用v p n 技术谶接进入企业 网中。使用v p n 有节约成本、提供避程访问、扩聪性强、便于管理和实现全面 控铡等簿照；蓬霾兹秘今嚣金韭季嗣i n t e r n e t 捌构建企盘錾广域网终匏发震 趋势。 观在很多的连接都被称为v p n ，大家经常分不清楚，那么v p n 到底是什 么呢? 顾名思义，廉拟专用网不是舆的专用网络，但能够实现专用网路的功能。 瘦拟专娟羽撸豹是依撩i s p ( i n t e m e ts e r v i c ep r o v i d e r 月务提供商) 和其 蠹n s p n e t w o r ks e r v i c ep r o v i d e r 两终瓣务提镶商) ，在凳菸网络孛建立 专用的数据通信两獬的技术。在盛拙专用嘲中，任意两个节点之阐的连接荠没 有传统专用网所需的端到端的物理镳路，而是利用某种公共网的物理链路资源 动态组成豹。i t f 缎织对基于i p 黝v p n 韵解释为：通过专门姻隧道女1 1 密技 寒在公共鼗蠢两蘩土谚囊一条点裂焦斡专凌按拳。爨谓霪箍，蹩据蹲户不孬嚣 葵攥蒋实际醣长途数据线路，而是去使罐i n t e r n e t 公共数据弼络抟长途数据 线路。所谓专用网络，是指用户可1 2 上为自己指定一个殿符合自已黼求的网络n 早期的虚拟专用网一般指的是电信运营商提供的f r a m er e l a y 或a t m 等 盎拙瓣定线路( p v c 鼹务熬弼终，黢透过运营赢的d d n 专线掰终掬建瑗产 叠a 攘 摈专蘑鼹。 蕊在的v p n 是程i n t e r n e t 上临时建立的安全专用虚拟嚼络，糟户节省了 租用专线的费用，同时除了购买v p n 设备或v p n 软件产品外，企业所付出的 双傻趋翔企业所在她的i s p 支 寸一建的上网费用，对于不同地区的客户联系也 苇省了长途毫诿费。这裁是v p n 赣拱纛寨静蒙西。 武汉理工太学铖士学位论文 第一章v p n 产生和应用背景 1 1 v p n 网络背景知识 i n t e r n e t 具有传磐广域嬲络所冤法比拟的广泛幔、通用性彝i 经济性，各个 公司都在考虑怎嚣裁趱 n t e m e t 慕获玫委夫静翥娥剩薤。晕袈，多数企建曼 是萃# 用i n t e r n e t 来鬟搀其形象及产晶，提供w w w 诱闷，或进孬e m a i l 通讯。 现在，随着计算机网绺技术的迅猛发展和企业对信息化的迫切需封苞，也有更多 的企业在探讨如何利用i n t e r n e t 建立内部信息系统。或开展电予商务的业务。 要实淡这望囊翁簧袋裁必矮采羯安垒技寒，蔼建攒专臻羁( v p n ) 技零将是重 要手段之一。 v p n ( 虚拟私有网络) 是一种以开放公共网络( i n t e m e t ) 为糕础，综合 多种湖络技术和安全搜术。为企业的近程雇员、商业台作伙伴、资源供应商以 及企娅客户提供安垒购阏络虚胡和赉源共享静电予商业平台。利用v p n 技术， 叠鼗灵需鬟疆臻本蟪的数摄专线，适接上本逢蕊公菸倍惠震，各魏豹瓿璃载可 以互辅传递信息。同时，企业还可激幂甩公若信息嘲麴拨号接入设铸，诖蠡己 的雇髓、合作伙伴、客户拨号到公凝信息网上，再利用v p n 技术谶接进入企业 网中。使用v p n 有节约成本、提供避程访问、扩聪性强、便于管理和实现全面 控铡等簿照；蓬霾兹秘今嚣金韭季嗣i n t e r n e t 捌构建企盘錾广域网终匏发震 趋势。 观在很多的连接都被称为v p n ，大家经常分不清楚，那么v p n 到底是什 么呢? 顾名思义，廉拟专用网不是舆的专用网络，但能够实现专用网路的功能。 瘦拟专娟羽撸豹是依撩i s p ( i n t e m e ts e r v i c ep r o v i d e r 月务提供商) 和其 蠹n s p n e t w o r ks e r v i c ep r o v i d e r 两终瓣务提镶商) ，在凳菸网络孛建立 专用的数据通信两獬的技术。在盛拙专用嘲中，任意两个节点之阐的连接荠没 有传统专用网所需的端到端的物理镳路，而是利用某种公共网的物理链路资源 动态组成豹。i t f 缎织对基于i p 黝v p n 韵解释为：通过专门姻隧道女1 1 密技 寒在公共鼗蠢两蘩土谚囊一条点裂焦斡专凌按拳。爨谓霪箍，蹩据蹲户不孬嚣 葵攥蒋实际醣长途数据线路，而是去使罐i n t e r n e t 公共数据弼络抟长途数据 线路。所谓专用网络，是指用户可1 2 上为自己指定一个殿符合自已黼求的网络n 早期的虚拟专用网一般指的是电信运营商提供的f r a m er e l a y 或a t m 等 盎拙瓣定线路( p v c 鼹务熬弼终，黢透过运营赢的d d n 专线掰终掬建瑗产 叠a 攘 摈专蘑鼹。 蕊在的v p n 是程i n t e r n e t 上临时建立的安全专用虚拟嚼络，糟户节省了 租用专线的费用，同时除了购买v p n 设备或v p n 软件产品外，企业所付出的 双傻趋翔企业所在她的i s p 支 寸一建的上网费用，对于不同地区的客户联系也 苇省了长途毫诿费。这裁是v p n 赣拱纛寨静蒙西。 武汉理工大学碳士学位论文 越来越多的用户认识到，随着i n t e r n e t 和电子商务的蓬勃发鼹，经济全 球化的鼹佳途径是发展基于i n t e r n e t 的商务应用。随着商务活动的日益频繁， 各企业歼始允许其生意伙伴、供应商也能够访问本众姚的局域网，从而大大简 纯信息交流豹途径。壤粕巷意交换豹遮发。这些合捧秘联系是动态的，共禳靠 两络来缀持帮加强，予憝各企韭发瑗，这样的僖怠交流不饺带来了弼络的复杂 性还带来了管理和摄全性的问题，因为i n t e r n e t 鼹个全球性和开放性的、 基于t c p i p 技术的、不可管理的国际互联网络，因此，基于i n t e r n e t 的商务 活动就颟惦菲善意的偿息藏胁和安全隐患。 _ ；丕鸯一粪嗣声，溅饕蠡身豹发曩毅夫与跨强纯，企韭戆分支祝秘不援越寒 越多，而且相互间的网络基础设施曩不兼容也更加普遍。因此，用户的信息技 术部门巍连接分支机构方面也感日菔棘手。这些用户的需求正是虚拟专用网技 术诞生的直接原因。 1 。2 骨么怒v p n v p n 是个被加密或封装的通讯过程，该过程把数据安全地由一端传到另 一端，在此过程中避讯端点豹真实性和数据的安全性都是由可靠的加密技术来 保诞鹣，纛数攥是在一个舞薮懿、没凑安垒镶漳数、经遘疼卣传递戆公共弼终 上传输的。 v p n 是一种依托于公共网络的、安全的、经济的、网络通讯方式，其根本 是在原有的公共网络( 如i n t e r n e t ) 通讯服务的撼础上增加了一层加密技术。 基于此静技求，v p n 嘲络可班满是不凰的应用及业务需求。如翻( 圈i 1 ) ： 4 武汉理工大学碳士学位论文 越来越多的用户认识到，随着i n t e r n e t 和电子商务的蓬勃发鼹，经济全 球化的鼹佳途径是发展基于i n t e r n e t 的商务应用。随着商务活动的日益频繁， 各企业歼始允许其生意伙伴、供应商也能够访问本众姚的局域网，从而大大简 纯信息交流豹途径。壤粕巷意交换豹遮发。这些合捧秘联系是动态的，共禳靠 两络来缀持帮加强，予憝各企韭发瑗，这样的僖怠交流不饺带来了弼络的复杂 性还带来了管理和摄全性的问题，因为i n t e r n e t 鼹个全球性和开放性的、 基于t c p i p 技术的、不可管理的国际互联网络，因此，基于i n t e r n e t 的商务 活动就颟惦菲善意的偿息藏胁和安全隐患。 _ ；丕鸯一粪嗣声，溅饕蠡身豹发曩毅夫与跨强纯，企韭戆分支祝秘不援越寒 越多，而且相互间的网络基础设施曩不兼容也更加普遍。因此，用户的信息技 术部门巍连接分支机构方面也感日菔棘手。这些用户的需求正是虚拟专用网技 术诞生的直接原因。 1 。2 骨么怒v p n v p n 是个被加密或封装的通讯过程，该过程把数据安全地由一端传到另 一端，在此过程中避讯端点豹真实性和数据的安全性都是由可靠的加密技术来 保诞鹣，纛数攥是在一个舞薮懿、没凑安垒镶漳数、经遘疼卣传递戆公共弼终 上传输的。 v p n 是一种依托于公共网络的、安全的、经济的、网络通讯方式，其根本 是在原有的公共网络( 如i n t e r n e t ) 通讯服务的撼础上增加了一层加密技术。 基于此静技求，v p n 嘲络可班满是不凰的应用及业务需求。如翻( 圈i 1 ) ： 4 武汉理工大学硕士学位论文 移动用户2 w e b 服务器 ： e m a i l 服务器： 数据库服务器 应用系统 图l1 w e b 服务器 e m a i l 月r 务器 企业使用v p n 服务器保护敏感的服务器系统，任何经过企业授权的用户， 包括远程办公网络用户、移动用户、客户、合作伙伴，均可利用v p n 技术提供 的方便性和安全性通过i n t e r n e t 访问企业内部服务器，形成一个构筑在 i n t e r n e t 上的企业虚拟网络。采用v p n 网络结构，可有效降低企业投资在网 络建设、网络管理以及网络运行方面的成本，同时为企业构建新型的电子商务 模式提供必要的安全网络平台。 根据企业对安全的需要，目前v p n 技术已经能够提供如下方面的能力： 武汉理工大学硕士学位论文 1 3 v p n 网络基本结构 我雷j 搬据v p n 礴络技术蜜瑰的方式和拓扑缭构，总结以下几种v p n 阏络结构 l 。3 。l 网络v p n 豳1 2 网络v p n 如上熙( 豳l 。2 ) 所示，网络a 与网络b 使用内部网络地址，v p n 月务器 需要有固定的i n t e m e t 公共i p 雉址，两个网络间通过v p n 服务器在i n t e m e t 上建立v p n 连接。鍪尉域网中的终端无霰安装饪倪软传，网络a 中的终端在 访阏网络b 中的应用服务器甜，就象在访问其所在局域网内部的务器一样， 反之亦然。 1 3 2 远程访问v p n 圈1 3 远程访勰v p n 如上胬( 图i 。3 ) 所示，髑城网僮蠲内都网络墙址，v p n 服务器需要有固 定的i n t e m e t 公熬i p 地址，远程终端和移动用户可以使用固定的公凝地址或 动态分配地垃与i n t e r n e t 建立连接。移动用户和远程终端可戳使桶v p n 客户 6 武汉理工大学硕士学位论文 1 3 v p n 网络基本结构 我雷j 搬据v p n 礴络技术蜜瑰的方式和拓扑缭构，总结以下几种v p n 阏络结构 l 。3 。l 网络v p n 豳1 2 网络v p n 如上熙( 豳l 。2 ) 所示，网络a 与网络b 使用内部网络地址，v p n 月务器 需要有固定的i n t e m e t 公共i p 雉址，两个网络间通过v p n 服务器在i n t e m e t 上建立v p n 连接。鍪尉域网中的终端无霰安装饪倪软传，网络a 中的终端在 访阏网络b 中的应用服务器甜，就象在访问其所在局域网内部的务器一样， 反之亦然。 1 3 2 远程访问v p n 圈1 3 远程访勰v p n 如上胬( 图i 。3 ) 所示，髑城网僮蠲内都网络墙址，v p n 服务器需要有固 定的i n t e m e t 公熬i p 地址，远程终端和移动用户可以使用固定的公凝地址或 动态分配地垃与i n t e r n e t 建立连接。移动用户和远程终端可戳使桶v p n 客户 6 武汉理工大学硬圭学位论文 臻较捧与v p n 黢务器建立鸯鑫密戆逐逶隧邋，荠谤闫弱域瓣肉受到v p n 驻务器 保护的应用服务器。 l 。4 v p n 网终的应用优势 1 4 1 节约企业网络避营成本 许多调落指出，对于藤在使用专线或远程拨号方式组建企业i n t r a n e t 的企 业，如果使用v p n 产品代替传统豹组网方式，可以节约大量的遮营成本，甚至 达到6 0 “一8 0 。这些节约成本包括： 租用专线所涉及的设备和通讯成本 远程援母掰涉及的设备和通讯成奉 对上述设备的管理和维护成本 1 4 2 实现企业网络的可伸缩性 现代众业的组织结构和商务活动通常是非常灵活的，需要不断适魔新的市 场繇境彝海业规会。使用v p n 可以保持企业工作入员在任何情况下都能够快速 地和安全地完成倍息的内部交换，并适廊企业网络规横的迅速发展。 v p n 是建立在i n t e r n e t 基础上的，企业的商务人员在任何地方都可以 使用v p n 与企啦保持倍感的实时交换 通过对用户使用v p n 的权限授权，企业可以随时建立些虚拟的工作 翻酞，势在任务完痰蓐将其解放 企业只需要在必蔡时扩大其i n t e r n e t 的使用带宽，即可以满足不断发 袋韵瘸终戴搂 l 。4 3 保证企业电予巍务平台的安全积聪靠 企业电子商务平台能够将企业的生产、管理、营销以及客户服务等活动有 效地结合起来，径建立邀子商务平台豹鳝辩磐矮保证辘密蔼意静安全性轻傻矮 人员的可控性，采用v p n 可以保证企业电子商务平台的安全可靠。 7 武汉理工大学硬圭学位论文 臻较捧与v p n 黢务器建立鸯鑫密戆逐逶隧邋，荠谤闫弱域瓣肉受到v p n 驻务器 保护的应用服务器。 l 。4 v p n 网终的应用优势 1 4 1 节约企业网络避营成本 许多调落指出，对于藤在使用专线或远程拨号方式组建企业i n t r a n e t 的企 业，如果使用v p n 产品代替传统豹组网方式，可以节约大量的遮营成本，甚至 达到6 0 “一8 0 。这些节约成本包括： 租用专线所涉及的设备和通讯成本 远程援母掰涉及的设备和通讯成奉 对上述设备的管理和维护成本 1 4 2 实现企业网络的可伸缩性 现代众业的组织结构和商务活动通常是非常灵活的，需要不断适魔新的市 场繇境彝海业规会。使用v p n 可以保持企业工作入员在任何情况下都能够快速 地和安全地完成倍息的内部交换，并适廊企业网络规横的迅速发展。 v p n 是建立在i n t e r n e t 基础上的，企业的商务人员在任何地方都可以 使用v p n 与企啦保持倍感的实时交换 通过对用户使用v p n 的权限授权，企业可以随时建立些虚拟的工作 翻酞，势在任务完痰蓐将其解放 企业只需要在必蔡时扩大其i n t e r n e t 的使用带宽，即可以满足不断发 袋韵瘸终戴搂 l 。4 3 保证企业电予巍务平台的安全积聪靠 企业电子商务平台能够将企业的生产、管理、营销以及客户服务等活动有 效地结合起来，径建立邀子商务平台豹鳝辩磐矮保证辘密蔼意静安全性轻傻矮 人员的可控性，采用v p n 可以保证企业电子商务平台的安全可靠。 7 武汉理工大学硬圭学位论文 臻较捧与v p n 黢务器建立鸯鑫密戆逐逶隧邋，荠谤闫弱域瓣肉受到v p n 驻务器 保护的应用服务器。 l 。4 v p n 网终的应用优势 1 4 1 节约企业网络避营成本 许多调落指出，对于藤在使用专线或远程拨号方式组建企业i n t r a n e t 的企 业，如果使用v p n 产品代替传统豹组网方式，可以节约大量的遮营成本，甚至 达到6 0 “一8 0 。这些节约成本包括： 租用专线所涉及的设备和通讯成本 远程援母掰涉及的设备和通讯成奉 对上述设备的管理和维护成本 1 4 2 实现企业网络的可伸缩性 现代众业的组织结构和商务活动通常是非常灵活的，需要不断适魔新的市 场繇境彝海业规会。使用v p n 可以保持企业工作入员在任何情况下都能够快速 地和安全地完成倍息的内部交换，并适廊企业网络规横的迅速发展。 v p n 是建立在i n t e r n e t 基础上的，企业的商务人员在任何地方都可以 使用v p n 与企啦保持倍感的实时交换 通过对用户使用v p n 的权限授权，企业可以随时建立些虚拟的工作 翻酞，势在任务完痰蓐将其解放 企业只需要在必蔡时扩大其i n t e r n e t 的使用带宽，即可以满足不断发 袋韵瘸终戴搂 l 。4 3 保证企业电予巍务平台的安全积聪靠 企业电子商务平台能够将企业的生产、管理、营销以及客户服务等活动有 效地结合起来，径建立邀子商务平台豹鳝辩磐矮保证辘密蔼意静安全性轻傻矮 人员的可控性，采用v p n 可以保证企业电子商务平台的安全可靠。 7 武汉理工大学硕士学位论文 保证了企业内部机密数据的寂全性 保证了对不同用户使用电子商务平台的权限的可控性 保证用户通过电子商务平台谶行信息交换的囊全和可靠 i 。辱。4 有效陵丘内部失密 使用v p n 之后，众业内部重要的数据可以在不被侵扰的情况下经过加密后 进行线路侍输并被安全存储。同时企般可以有效地对内部资源的使阁者进行权 疆誊壤。势记录掰袁豹茧要豹逶攮过穰。 8 武汉理工大学硕士学位论文 保证了企业内部机密数据的寂全性 保证了对不同用户使用电子商务平台的权限的可控性 保证用户通过电子商务平台谶行信息交换的囊全和可靠 i 。辱。4 有效陵丘内部失密 使用v p n 之后，众业内部重要的数据可以在不被侵扰的情况下经过加密后 进行线路侍输并被安全存储。同时企般可以有效地对内部资源的使阁者进行权 疆誊壤。势记录掰袁豹茧要豹逶攮过穰。 8 武泼理工大学硕士学位论文 篇二章v p n 技术基础 2 iv p n 技术在o s i 模型中实现的层次 v p n 掰采用的基础技术是网络技术和1 影i p 协议鬃，醴o s i 横麓参考 标准，不同的v p n 技术可以在不闷的o s i 协议腰实现。 图2 ，1 如隧所示，v p n 技末实现内容及比较 2 。2 皮翅层s s l 协渡 2 。2 1s s l 协议 到 鬏l 2 f ，l 2 t p 安全套接字层( s e c u r es o c k e tl a y e r ，s s l ) 是n e t s c a p e 公司设计的 主妥褥予w e b 鹣安全镥辕势议，它弱予蹇瑶安全机剖，广泛瘦瑶于w e b 浏燕 糨序和w e b 服务器程序中摄供对等的身份认证和皮用数据的加密a 在s s l 9 武泼理工大学硕士学位论文 篇二章v p n 技术基础 2 iv p n 技术在o s i 模型中实现的层次 v p n 掰采用的基础技术是网络技术和1 影i p 协议鬃，醴o s i 横麓参考 标准，不同的v p n 技术可以在不闷的o s i 协议腰实现。 图2 ，1 如隧所示，v p n 技末实现内容及比较 2 。2 皮翅层s s l 协渡 2 。2 1s s l 协议 到 鬏l 2 f ，l 2 t p 安全套接字层( s e c u r es o c k e tl a y e r ，s s l ) 是n e t s c a p e 公司设计的 主妥褥予w e b 鹣安全镥辕势议，它弱予蹇瑶安全机剖，广泛瘦瑶于w e b 浏燕 糨序和w e b 服务器程序中摄供对等的身份认证和皮用数据的加密a 在s s l 9 武汉理工大学硕士学位论文 中身份认证是基于证书的。从服务器方到客户方的认证是必须的，而s s l 版本 3 中从客户方到服务器方的认证只是可选项，并没有得到广泛的应用。s s l 会 话中包含一个握手阶段，在这个阶段通信双方交换证书，生成会话密钥，协商 以后通信时将使用的加密算法。完成握手以后，应用程序就可以安全地传输数 据而无需做很大修改，在传输数据时要调用s s la p i 而不是传统的套接字a p i 。 s s l 是一个端到端的协议，因而是在处于通信通路端点的机器上实现( 通 常是在客户机和服务器上) ，而不在通信通路的中间节点( 如路由器或防火墙) 上实现。虽然理论上s s l 可以用于保护t c p i p 通信，但事实上s s l 的应用 几乎只限于h t t p 。在s s l 通信中，服务器方使用4 4 3 端口，而客户方的端 口是任选的。 s s l 协议主要提供以下三方面的服务： 用户和服务器的合法性的认证 加密数据以隐藏被传送的数据 保护数据的完整性 2 2 2s s l 整体结构 s s l 是一个介于h t t p 协议与t c p 协议之间的一个可选层，如图2 2 图2 2 如果利用s s l 协议来访问网页，其步骤如下： 用户：在浏览器的地址栏里输入httds：wwwsslmyserver,com h t l _ p 层：将用户需求翻译成h - r r p 请求，如g e t i n d e x h t mh t t p 1 1 ， h o s tw w w s s l m y s e r v e n c o m s s l 层：经过密钥的协商，协商出一份加密密钥，并用此密钥来加密h t t p 请 求。 t c p 层：与w e bs e r v e r 的4 4 3 端口建立连接，传递s s l 处理后的数据。 这样，s s l 在t c p 之上建立了一个加密通道，通过这一层的数据经过了加密， 因此达到保密的效果。 接收端与此过程相反，完成解密的过程。 1 0 武汉理工大学硕士学位论文 中身份认证是基于证书的。从服务器方到客户方的认证是必须的，而s s l 版本 3 中从客户方到服务器方的认证只是可选项，并没有得到广泛的应用。s s l 会 话中包含一个握手阶段，在这个阶段通信双方交换证书，生成会话密钥，协商 以后通信时将使用的加密算法。完成握手以后，应用程序就可以安全地传输数 据而无需做很大修改，在传输数据时要调用s s la p i 而不是传统的套接字a p i 。 s s l 是一个端到端的协议，因而是在处于通信通路端点的机器上实现( 通 常是在客户机和服务器上) ，而不在通信通路的中间节点( 如路由器或防火墙) 上实现。虽然理论上s s l 可以用于保护t c p i p 通信，但事实上s s l 的应用 几乎只限于h t t p 。在s s l 通信中，服务器方使用4 4 3 端口，而客户方的端 口是任选的。 s s l 协议主要提供以下三方面的服务： 用户和服务器的合法性的认证 加密数据以隐藏被传送的数据 保护数据的完整性 2 2 2s s l 整体结构 s s l 是一个介于h t t p 协议与t c p 协议之间的一个可选层，如图2 2 图2 2 如果利用s s l 协议来访问网页，其步骤如下： 用户：在浏览器的地址栏里输入httds：wwwsslmyserver,com h t l _ p 层：将用户需求翻译成h - r r p 请求，如g e t i n d e x h t mh t t p 1 1 ， h o s tw w w s s l m y s e r v e n c o m s s l 层：经过密钥的协商，协商出一份加密密钥，并用此密钥来加密h t t p 请 求。 t c p 层：与w e bs e r v e r 的4 4 3 端口建立连接，传递s s l 处理后的数据。 这样，s s l 在t c p 之上建立了一个加密通道，通过这一层的数据经过了加密， 因此达到保密的效果。 接收端与此过程相反，完成解密的过程。 1 0 武汉理工火学醐士学位论文 2 2 ，3s s l 密锯的协商过程 s s l 缺省只进行s e r v e r 端的认证，客户端的认诞是可选的。以下是其流 程圈： 客户机服务器 c t i e n t h e l l o一 s e r v e r h e l l o c e r t i f l c a t e * s e r v e r k e y e x c h a n g e * c e r t i f i c a t e p , e q u e s t * 【c h a n g e c i p h e r s p e c 】 s e r v e r h e l l o c e r t i f l c a t e * s e r v e r k e y e x c h a n g e * c e r t i f i c a t e p , e q u e s t * 【c h a n g e c i p h e r s p e c 】 - - f i n i s h e d a p p l i c a t i o nd a t a a p p l i c a t i o nd a t a 褥单的说便是；s s l 客户赣( 瞧楚1 p 豹客户端) 在t c p 键接建立之磊， 发出个c l i e n t h e l l o 来发起握手，这个消息里面包含了自己可实现的算法列 表和麒它一些需要的消息，s s l 的服务器端会回威个s e r v e r h e l l o ，这里面 确定了这次通信掰器鼗的算法，然聪发过去自己的诞书( 里面包含了身份和自 己豹公镛) 。c l i e n t 程竣弱这个溥惑嚣会生缓一夺秘密消惠，胡s s l 疆务器蠡冬 公钥加密后传过去，s s l 服务器端用自己的私镶解镪后，会话密铜协商成功， 双方可以用同一份会诺密钥来通信了。 2 。2 。碡s s l 鹃安全蛙 从上面的介绍可知，s s l 的结构是严谨的，问蹶一般出现在实际不严谨的 应用中。常见的攻击就是m i d d l e i n t h e m i d d l e 墩击，它是指襁a 和b 通信 的同时，有第三方c 处于信遭的中阐，可以完全昕剽a 与b 通债的消息，并 霹拦截，替换耪添粕邀些溃惠。 s s l 可以允许多种密钥交换箨法，而有些算法，搬d h ，浚肖诚书的概念， 这样a 便无法验证b 的公钥和身份的真实性，从而c 可以轻易的冒充，用自 己的密钥与双方通信，从而窃听到别人谈话的内容。所以为了防j j ：m i d d l ei n t h em i d d l e 攻击，斑该采用存话稿豌密锈交换冀法。有了证书以聪，如果c 武汉理工大学硕士学位论文 用自己的证书替换掉原有的证书之后，a 的浏览器会弹出一个警告框进行警告， 但是一般人不会注意这个警告。 另外，由于美国密码出口的限制，l e 和n e t s c a p e 等浏览器所支持的加密 强度是很弱的，如果只采用浏览器自带的加密功能的话，理论上存在被破解的 可能。 2 3 会话层s o c k s 协议 2 3 1s o c k sv 5 协议 s o c k sv 5 协议处于o s i 模型的会话层，s o c k sv 5 协议的优势在访问控 制，因此适用于安全性较高的v p n 。s o c k s v 5 现在被i 盯f 建议作为建立v p n 的标准。由于工作在会话层，能同低层协议如i p v 4 、i p s e c 、p p t p 、l 2 t p 一起使用。同时用s o c k sv 5 的代理服务器可隐藏网络地址结构，能为认证、 加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。s o c k sv 5 可根据规则过滤数据流，包括3 a v aa p p l e t 和a c t i v ex 控制。 在s o c k sv 5 协议中，客户程序通常是先链接到防火墙1 0 8 0 端口，然后 由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是不可 见的。s o c k sv 5 协议的问题在于必须对客户端应用程序做修改加入对s o c k s v 5 协议的支持，与i p s e c 协议相比，s o c k sv 5 协议在协议栈中处于较高层， 因而效率相对比i p s e c 低一些，必须制定更复杂的安全管理策略，但另一方面 较高层协议对于会话控制可以提供更大的灵活性。 2 4 网络层i p s e c 协议 2 4 1i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) 协议 i p s e c 是一组开发协议的总称，在特定的通信方之间提供数据的私有性、 完整性保护，并能对数据源进行验证。i p s e c 由i e t f 的i p s e c 工作组制订， 是一个开放性的标准框架。该工作组已经定义了1 2 个r f c ( r e q u e s tf o r c o m m e n t ) ，这些标准文档对i p s e c 的方方面面都进行了定义。它不仅为因 特网提供了基本的安全功能，丽且为创建健壮安全的v p n 提供了灵活的手段。 i p s e c 使用i k e ( i n t e r n e tk e ye x c h a n g e ) 进行协议及算法的协商，并 采用由i k e 生成的密码来加密和验证。i p s e c 用来保证数据包在i n t e r n e t 网 上传输时的私有性、完整性和真实性。i p s e c 在i p 层提供这些安全服务，对 i p 及所承载的数据提供保护。这些服务是通过两个安全协议a h 和e s p ，通过 加密等过程来实现的。这些机制的实现不会对用户、主机或其他i n t e r n e t 组 件造成影响。用户可以选择不同的加密算法，而不会对实现的其它部分造成影 响。 武汉理工大学硕士学位论文 用自己的证书替换掉原有的证书之后，a 的浏览器会弹出一个警告框进行警告， 但是一般人不会注意这个警告。 另外，由于美国密码出口的限制，l e 和n e t s c a p e 等浏览器所支持的加密 强度是很弱的，如果只采用浏览器自带的加密功能的话，理论上存在被破解的 可能。 2 3 会话层s o c k s 协议 2 3 1s o c k sv 5 协议 s o c k sv 5 协议处于o s i 模型的会话层，s o c k sv 5 协议的优势在访问控 制，因此适用于安全性较高的v p n 。s o c k s v 5 现在被i 盯f 建议作为建立v p n 的标准。由于工作在会话层，能同低层协议如i p v 4 、i p s e c 、p p t p 、l 2 t p 一起使用。同时用s o c k sv 5 的代理服务器可隐藏网络地址结构，能为认证、 加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。s o c k sv 5 可根据规则过滤数据流，包括3 a v aa p p l e t 和a c t i v ex 控制。 在s o c k sv 5 协议中，客户程序通常是先链接到防火墙1 0 8 0 端口，然后 由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是不可 见的。s o c k sv 5 协议的问题在于必须对客户端应用程序做修改加入对s o c k s v 5 协议的支持，与i p s e c 协议相比，s o c k sv 5 协议在协议栈中处于较高层， 因而效率相对比i p s e c 低一些，必须制定更复杂的安全管理策略，但另一方面 较高层协议对于会话控制可以提供更大的灵活性。 2 4 网络层i p s e c 协议 2 4 1i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) 协议 i p s e c 是一组开发协议的总称，在特定的通信方之间提供数据的私有性、 完整性保护，并能对数据源进行验证。i p s e c 由i e t f 的i p s e c 工作组制订， 是一个开放性的标准框架。该工作组已经定义了1 2 个r f c ( r e q u e s tf o r c o m m e n t ) ，这些标准文档对i p s e c 的方方面面都进行了定义。它不仅为因 特网提供了基本的安全功能，丽且为创建健壮安全的v p n 提供了灵活的手段。 i p s e c 使用i k e (