（计算机应用技术专业论文）路由技术在vpn客户端中的应用研究.pdf

一 一_ _ 一 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集 体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集体，均 已在文中以明确方式标明。本声明的法律责任由本人承担。 学位敝作者：隔弓垃 只期：知7p 年，月彦衫同 学位论文使用授权声明 本人在导师指导下完成的论文及相关的职务作品，知识产权归属郑州大学。 根据郑州大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部门 或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权郑州大学 可以将本学位论文的全部或部分编入有关数据库进行检索，可以采用影印、缩印 或者其他复制手段保存论文和汇编本学位论文。本人离校后发表、使用学位论文 或与该学位论文直接相关的学术论文或成果时，第一署名单位仍然为郑州大学。 保密论文在解密后应遵守此规定。 学位做作者：际酝 醐：沙捭，月洲日 摘要 摘要 v p n 是一种利用开放的公共网络建立私有专用网络的技术，它利用加密和 认证鉴别技术使v p n 用户像使用专线一样在公共网络中安全地传输私有信息， 目前已经广泛应用到各个领域。v p n 客户端是用户使用v p n 网络的起点，具有 发起并维持连接、隧道配置、用户认证、访问控制等功能。v p n 客户端的性能 直接影响着用户访问网络的速度和数据安全，因此对客户端软件的优化显得至 关重要。 本论文分析了v p n 系统的体系结构，针对v p n 客户端访问公共网络资源 时存在的数据包传输路径不合理问题，提出了一种在v p n 客户端中增加路由功 能的方法，并利用中间层编程技术进行了实现，最后讨论了具有路由功能的v p n 客户端的安全性。论文的主要工作体现在以下几个方面： 1 分析了现有v p n 客户端的不足，提出了一种在v p n 客户端中增加路由 功能的方法。具有路由功能的v p n 客户端根据数据包最终目的地址不同为其选 择不同的路由，以减轻v p n 服务器的负荷，提高v p n 客户端访问网络的速度。 2 基于w i n d o w sx p 平台和w i n d o w sd d k 开发包，利用n d i s 中间层编程 技术，通过扩展p a s s t h r u 框架，截取v p n 客户端发送的数据包，解析数据包的 最终目的地址，进而对数据包进行路由选择。 3 对比分析了具有路由功能的v p n 客户端和传统的v p n 客户端，讨论了 具有路由功能的v p n 客户端的安全性。 关键词：v p n ；v p n 客户端；访问控制；中间层编程；网络安全 a b s t r a c t a b s t r a c t v p ni sat e c h n o l o g yo fb u i l d i n gp r i v a t en e t w o r kw h i c hu s i n go p e np u b l i c n e t w o r k i ta l l o w sv p nu s e r st ot r a n s m i tp r i v a t ei n f o r m a t i o ni nt h ep u b l i cn e t w o r k , t h es a m ea s u s i n g o fd e d i c a t e d l i n e ， w h i c h u s i n ge n c r y p t i o n a n d a u t h e n t i c a t i o n i d e n t i f i c a t i o nt e c h n o l o g y , a n di sn o ww i d e l ya p p l i e dt ov a r i o u sf i e l d s v p nc l i e n ti st h es t a r t i n gp o i n tf o ru s e r st ou s ev p nn e t w o r k ，a n di ti n c l u d e ss o m e f u n c t i o n s ，s u c ha si n i t i a t ea n dm a i n t a i nc o n n e c t i o n ，t u n n e lc o n f i g u r a t i o n ，u s e r a u t h e n t i c a t i o n ，a c c e s sc o n t r o l ，a n ds oo n t h ep e r f o r m a n c eo fv p n c l i e n th a sd i r e c t i m p a c to nt h es p e e da n dd a t as e c u r i t yo fu s e r sa c c e s st h en e t w o r k ，s ot h eo p t i m i z a t i o n o fc l i e n ts o f t w a r ei sc r u c i a l i nt h i sp a p e r , am e t h o do fi n c r e a s em u t i n gf u n c t i o ni nt h ev p nc l i e n ti sp r o p o s e d b ya n a l y z i n gt h ev p ns y s t e ma r c h i t e c t u r et or e s o l v et h ei r r a t i o n a l d a t a p a c k e t t r a n s m i s s i o np a t h sw h e nv p nc l i e n ta c c e s st h ep u b l i cn e t w o r kr e s o u r c e s i tw a s a c h i e v e db ym i d d l el a y e rp r o g r a m m i n gt e c h n i q u e s h n a l l yi ti sd i s c u s s e dt h es e c u r i t y o fv p nc l i e n tw i t hm u t i n gf u n c t i o n t h em a i nw o r ki sp r e s e n ti nt h ef o l l o w i n g ： 1 am e t h o do fi n c r e a s er o u t i n gf u n c t i o ni nt h ev p nc l i e n ti sp r o p o s e db y a n a l y z i n gt h ed e f e c t so fe x i s t i n gv p n c l i e n t v p nc l i e n tw i t ht h er o u t i n gc o u l ds e l e c t d i f f e r e n tr o u t ef o rd a t ap a c k e t sa c c o r d i n gt ot h e i rd i f f e r e n tf i n a ld e s t i n a t i o na d d r e s s ， a n di tc o u l dr e d u c et h el o a do fv p ns e r v e rt oi m p r o v et h es p e e do fv p nc l i e n ta c c e s s n e t w o r k s 2 b a s e do nw i n d o w sx pp l a t f o r ma n dt h ew i n d o w sd d kd e v e l o p m e n tk i t s ， u s i n gn d i si n t e r m e d i a t el a y e rp r o g r a m m i n gt e c h n o l o g y i tc a nb er o u t i n gs e l e c t e d f o rd a t ap a c k e t sb ye x t e n d i n gt h e p a s s t h m f r a m e w o r k ，i n t e r c e p t i n gt h ed a t ap a c k e t s s e n d i n gf r o mv p nc l i e n t ，a n dp a r s i n gt h eu l t i m a t ed e s t i n a t i o na d d r e s sf o rd a t ap a c k e t 3 t h ev p nc l i e n tw i t hr o u t i n gf u n c t i o n sa n dt h et r a d i t i o n a lv p nc l i e n ta r e c o m p a r e d ；t h es e c u r i t i e so fv p n c l i e n tw i t hr o u t i n gf u n c t i o n sa r ed i s c u s s e d k e yw o r d s ：v p n ；v p nc l i e n t ；a c c e s sc o n t r o l ；i mp r o g r a m ；n e t w o r ks e c u r i t y i i 目录 目录 1 绪论1 1 1 课题背景1 1 2 v p n 及其客户端技术现状2 1 3 研究内容3 1 4 论文结构3 1 5 本章小结一4 2 v p n 体系结构5 2 1 v p n 的概述与分类5 2 1 1 v p n 概述5 2 1 2 v p n 的分类。6 2 2 隧道协议8 2 2 1 隧道技术基础。8 2 2 2 隧道协议分析。9 2 3 v p n 安全技术。1 2 2 3 1 安全攻击1 2 2 3 2 安全服务。1 3 2 3 3 安全机制1 4 2 3 4 i p s e c 协议1 5 2 4 鉴别协议1 9 2 4 1 c h a p 协议。1 9 2 4 2 r a d i u s 协议2 0 2 5 本章小结2 1 3 v p n 客户端路由技术。2 2 i i i 目录 3 1 3 2 3 3 3 4 3 5 v p n 客户端技术 。2 2 v p n 客户端的种类2 2 传统v p n 客户端数据发送过程2 3 路由技术解决方案2 4 3 4 1 v i n 客户端路由技术2 4 3 4 2 数据封装过程解析2 5 3 4 3 数据包处理流程o 2 7 本章小结2 8 4v p n 客户端中路由技术的实现2 9 4 1 开发环境2 9 4 1 1 开发平台2 9 4 1 2w i n d o w s 内核模式下的网络数据包过滤2 9 4 1 3n d i s 中间层网络数据拦截3 2 4 2 中间层网络驱动程序p a s s t h m 3 3 4 2 1p a s s t h r u 的主要函数3 3 4 2 2p a s s t h m 中数据发送和接收的流程3 5 4 3 路由程序实现3 6 4 4 具有路由功能的v p n 客户端安全性分析。3 7 4 5 本章小结3 8 5 总结和展望。4 1 5 1 本文总结4 1 5 2 下一步的工作展望4 1 参考文献4 3 致谢4 6 个人简历及在研究生期间发表的论文情况4 7 i v 图表清单 图表清单 图2 。1v p n 网络拓扑图6 图2 2a c c e s sv p n 拓扑结构图6 图2 3i n t r a n e tv p n 拓扑结构图7 图2 4e x t r a n e tv p n 拓扑结构图7 幽2 5l 2 t p 隧道协议的封装过程。9 图2 6 隧道协议与网络分层结构对应图9 图2 7p p t p 分组封装结构图1 0 图2 8p p p 帧的l 2 t p 封装过程1 0 图2 9l 2 f 封装在协议栈中的位置1 1 图2 1 0s s l 协议的位置：1 1 图2 1 1 对称密钥机制的基本原理1 4 图2 1 2i p s e c 体系结构1 6 图2 1 3 传输模式的a h 封装1 7 图2 1 4 隧道模式的a l l 封装1 7 图2 1 5 传输模式的e s p 封装1 7 图2 1 6 隧道模式的e s p 封装1 8 图2 1 7 密钥协商和密钥管理关系1 8 图2 1 8c h a p 分组格式2 0 图2 1 9r a d i u s 数据传输格式2 0 图2 2 0r a d i u s 鉴别用户的网络图2 1 图3 1v p n 客户端远程访问网络示意图2 4 图3 2 客户端远程访问网络示意图( 加入路由功能后) 2 5 图3 3 传统v p n 客户端数据封装过程2 6 图3 4 具有路由功能的v p n 客户端数据封装过程2 6 图3 5 技术路线图2 7 图4 1w i n d o w s 网络体系结构3 0 图4 2o s i 七层协议与w i n d o w s 结构的映射。3 l 图4 3n d i s 中间层驱动程序拓扑结构3 2 图4 4p a s s t h r u 程序发送数据的流程图3 5 图4 5 传统v p n 客户端的安全性分析。3 8 图4 6 具有路由功能的v p n 客户端的安全性分析3 9 v 1 绪论 1 绪论 1 1课题背景 随着计算机网络技术的快速发展，v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用 网) 技术已经得到了广泛应用。企业规模在不断扩大的同时，分支机构也越来 越多，这些分支机构可以通过公共网络连接起来。但公共网络( 如i n t e r n e t ) 本 身就存在着安全隐患，传统的专线技术需要大量的投资且缺乏灵活性，v p n 技 术的成功引入从根本上解决了这些问题【。近年来各大网络设备商如c i s c o 、华 为、3 c o r n 和l u c e n t 等都把v p n 设备的开发作为企业的研发和业务重点。其中 i p v p n 发展迅速，是目前国际数据业务增长最快的领域。诺达咨询公司最新的 中国i pv p n 服务市场分析及服务商能力评估报告2 0 0 9 中的数据显示，尽管 受到金融危机的影响，预计2 0 0 9 年市场收入将达到2 7 8 亿元，比2 0 0 8 年增长 3 0 以上；用户规模方面，2 0 0 6 年国内i p v p n 的用户数量为1 5 0 0 0 户，2 0 0 8 年则达到了3 5 0 0 0 户。i p v i n 的市场收入和用户数量将随着经济发展和社会对 信息化需求的增长而继续快速增长。v p n 技术的研究必将对中国信息技术产业 的发展产生深远的影响。 v p n 有多种解决方案1 2 , 3 , 4 1 ，常见的有： p p ”v p n ( p o i n t - t o p o i n tt u n n e l i n gp r o t o c o lv p n ) 、l 2 t pv p n ( l a y e r2 t u n n e l i n gp r o t o c o lv p n ) 、s s lv p n ( s e c u r es o c k e t sl a y e rv p n ) 、i p s e cv p n ( i n t e m e tp r o t o c o ls e c u r i t yv p n ) 以及针对骨干网的m p l sv p n ( m u l t i p r o t o c o l l a b e ls w i t c h i n gv p n ) 。其中i p s e ev p n 技术提供了高强度的安全机制，能够作 为l 2 t p ，p p t p 等安全辅助，本身也可以构建v p r n ，技术比较成熟，已经被广 泛应用。 s s l v p n 是近年来发展十分迅速的一种v p n ，w e b 浏览器即可作为其客户 端。常用的浏览器如微软的i e x p l o r e 等都支持s s l 协议，因此s s lv p n 具有简 单易用的特性。 p p 耶v p n 集成于微软的操作系统中，目前已经被广泛应用【引。也t p 与p p 口 类似，它们的内层协议都是p p p 协议，常用于组建远程接入型v p n ，具有连接 建立简单、配置方便等特点，适合于用户位置分散且数量众多的单位。 1 绪论 用户在使用v p n 系统远程访问内网时，通常都要依赖v p n 客户端来建立 并维持与v p n 网关之间的连接，还负责配置隧道等，在v p n 系统中客户端与 服务器都是不可或缺的。v p n 客户端可以根据隧道协议的不同进行分类，不同 的隧道协议在安全性、访问速度和认证方法都各不相同。在v p n 网络技术快速 发展的同时，v p n 客户端技术也在不断进步，员工出差时通过v t n 客户端远程 接入单位内部网络，如同在本地一样使用单位内部的网络资源。v p n 客户端是 用户访问v p n 网络的起点，它的性能直接影响着整个v p n 系统的安全性，网 络速度，甚至v p n 服务器端的负荷。v p n 客户端软件的性能要求已经越来越高， 对其的优化也显得至关重要，这也是本课题所要做的工作。 1 2v p n 及其客户端技术现状 v p n 不仅具有结构简单和成本低等优点，而且能够实现企业内外网的连接 1 2 】。它为企事业单位、党政机关、金融机构等提供了一种成本低且相对安全的组 建自己“专用网络 的技术手段。另外，v p n 还可以满足用户对网络的扩展性 需求，以及用户对网络带宽和不断增添服务的要求。v p n 正是企业等单位努力 寻找的远程访问网络解决方案，近年来其市场需求一直在持续增长，这也是v p n 不断发展的推动力。 p p t p 和l 2 t p 协议是2 0 世纪9 0 年代中期以前主要的v p n 构建方案，今天 仍然广泛被应用于远程接入型v p n 网络中。其中p p t p 是微软于1 9 9 6 年设计的， 而l 2 t p 则是c i s c o 在p p t p 和l 2 f 的基础上设计的。p p t p 和1 2 t p 都是o s i 七层网络分层模型中的第二层协议，总体上，第二层协议是在p p p 协议封装的 基础上重新进行的协议封装，如p p t p 是将用户的p p p 帧进行g r e 封装，最后 封装成口报文i 。 i p s e c 协议的v p n 构建方案在2 0 世纪9 0 年代中期以后逐渐被人们所重视， 也是目前支持比较广泛的一个v p n 协议。它把数据加密、认证以及完整性检查 结合在一起，以实现对数据传输的可靠性、完整性和机密性的保护。 m p l sv p n 是一个介于第二层和第三层之间的一个网络传输协议，由i e t f 制定，已经广泛用于i s p 向v p n 客户提供专线v p n 的业务。 目前，p p 耶v p n 的应用非常广泛，常被用来组建远程接入型v p n 。常用的 v p n 客户端软件有w i n d o w sx p 或v i s t a 系统自带的客户端和c i s c o 公司的v p n 2 1 绪论 客户端等。国内方面的有联想、天融信、深信服等公司也开发出了安全性高、 协议支持全面的v p n 客户端。上述v p n 客户端软件功能基本相同，都支持p p t p 协议。多数客户端都是先将远程用户的数据包发送到v p n 服务器，内部网络根 据i p 分组访问的是单位内部网络还是公共网络，再进一步处理。因此使用v p n 客户端上网时，有时会增加一些不必要的开销。如果访问的不是单位内部的电 子资源而是公共网络如新浪、y a h o o 等，计算机的i p 分组仍会先发送到单位的 v p n 网关，再转发到公共网络，从而降低了v p n 客户端访问网络的速度，也增 加了隧道和v p n 服务器的负荷。 1 3 研究内容 本论文主要是研究路由技术在v p n 客户端中的应用。介绍了v p n 的分类、 隧道技术以及v p n 安全技术，分析了v p n 客户端的功能需求和现有v p n 客户 端软件中存在的不足，提出了相应的技术路线。因为p p 口v p n 应用广泛，而且 w i n d o w s 系统中已经带有p p l p 协议，所以本文主要是指p p t p v p n 客户端为基 础进行开发。研究内容主要有如下几个方面： ( 1 ) 分析了国内外相关的研究现状，介绍了v p n 的体系结构及其关键技 术。v p n 建立在公共网络的基础之上，分析了v p n 系统存在的安全隐患，同时 对v p n 客户端的安全问题进行了分析。在传统v p n 客户端中加入路由功能后， 数据包相关的安全处理也产生了一定的变化，本文对具有路由功能的v p n 客户 端的安全性也进行了分析。 ( 2 ) 在分析现有v p n 客户端不足的基础上，提出v p n 客户端路由技术。 根据客户端发送数据包最终目的地址不同为其选择不同的访问路径。以减轻 v p n 服务器的负荷，提高v p n 客户端访问网络的速度。 ( 3 ) 基于w i n d o w s 平台，以d d k 开发包为工具，利用n d i s 中间层编程 技术，对p a s s t h r u 框架进行扩展，截取并解析发送数据封包，判断封包的最 终目的地址并对其进行分类，为不同类型的封包选择不同的访问路径。 ( 4 ) 对比分析了具有路由功能的v p n 客户端和传统的v p n 客户端，讨论 了具有路由功能的v p n 客户端的安全性。 1 4 论文结构 3 1 绪论 本论文的结构安排如下： 第一章介绍了本课题提出的背景，分析了课题研究的必要性，概括了国内 v p n 及其客户端技术的发展现状，描述了本文所要研究的主要内容以及本论文 的结构安排。 第二章介绍了v p n 的体系结构及其安全机制，从不同的角度对v p n 进行 了分类，重点论述了v p n 关键技术中的隧道技术，分析了隧道的工作原理，对 主要的隧道协议进行了分析和比较。介绍了v p n 网络中存在的安全隐患和可以 使用的安全机制，如加密和认证机制，分析了v p n 客户端中通常使用到的两种 鉴别协议：c h a p 协议和黜如i u s 协议。 第三章介绍了v p n 客户端的分类，分析了传统p p t pv p n 客户端在数据发 送方面的缺点，并提出了在v p n 客户端中加入路由技术的方法；对比分析了传 统v p n 客户端和具有路由功能的v p n 客户端的功能特点。 第四章介绍了开发平台和相关开发工具；分析了开发过程中所使用到的相 关技术；对比分析了w i n d o w s 环境下不同的网络数据封包过滤方法及它们的优 缺点；深入研究了p a s s t h r u 框架程序中网络数据的处理流程，并以其为基础实 现了v p n 客户端的路由技术；最后对增加路由功能的客户端的安全性进行了分 析。 第五章是全文总结，重点概括了本论文所做的工作，同时也指出了本课题 下一步的研究工作。 1 5 小结 本章首先阐述了本课题提出的背景，分析了v p n 技术的应用现状和市场状 况，从国外和国内两个方面分析了v p n 客户端技术的发展现状，详细介绍了论 文所做的主要研究工作，从整体上叙述了论文的内容，最后给出了本论文的结 构安排。 4 2 v p n 体系结构 2 v p n 体系结构 2 1 v p n 的概述与分类 2 1 1v p n 概述 v p n 技术是一种利用开放的公共网络如i n t e m e t 建立私有专用数据通信网络 的技术。虚拟是指v p n 使用的并不是专线，没有架设专门的物理通信链路，而 是依赖公共的i n t e m e t 网络资源建立的一种网络。专用则是指用户在使用v p n 网络通信时，如同使用专门架设的物理线路样，速度快，安全性高。v p n 综 合运用了加密、认证、流量与访问控制以及隧道等技术【2 朋。其中，隧道技术是 v p n 的基础和核心，保证数据能够通过各种的公共网络如因特网服务提供商 i s p ，帧中继，a t m 骨干网，互联网和其它广域网络，使远程用户能够像使用专 线一样在公共网络上安全地传输私有信息。 与传统网络相比，v p n 有着明显的特点【2 , 9 】。v p n 网络的组建是在现有公共 网络的基础上添加少量软硬件实现的，不需要专线连接，因此网络连接成本低； 其次，v p n 采用隧道技术、加密技术、密钥管理技术和身份验证技术以保证数 据通信安全。再次，v p n 支持几乎所有的局域网协议，支持多种数据流，应用 广泛且方便。另外，v p n 网络具有可管理性，单位可以实现对用户的身份验证、 访问权限和安全性等的完全监控。 一个网络连接通常由三个部分组成：客户机、传输介质和服务器。v p n 的 网络组成也是这三个部分，但传输介质是由隧道技术实现的。v p n 网络的拓扑 结构图如图2 1 所示。整个v p n 的通信过程大致可以分为如下四个通用步骤： ( 1 ) v p n 客户机向v p n 服务器端发出请求。 ( 2 ) v p n 服务器响应请求，同时对客户机发出身份质询，客户机将身份验 证信息发送到v p n 服务器。 ( 3 ) v p n 服务器查询用户身份是否有效性，如果有效且该用户有远程访问 权限，则接受此连接。 ( 4 ) v p n 服务器使用两端协商的公有密钥对数据加密，通过v p n 隧道技 术对数据进行封装、加密以及传输。 5 2 v p n 体系结构 聊巾汐 图2 1v p n 网络拓扑图 2 1 2v p n 的分类 从服务类型的角度划分，v p n 分为三类，a c c e s sv p n ，i n t r a n e tv p n 和 e x t r a n e tv p n 。 a c c e s sv p n ，是一种适合员工通过公共网络( 如网) 远程访问单位内部 网络的v p n 访问方式，其拓扑结构如图2 2 所示。使用的是主机到网络的v p n 拓扑模型，通常远程接入用户的位置比较分散，只是一台或几台计算机，而整 体数量较多【1 0 1 。员工可以利用当地i s p 提供的接入服务连接单位的v p n 网络服 务器，建立隧道，从而访问单位内部的网络资源。这种类型的v p n ，连接建立 简单，用户使用方便，可以随时随地接入单位网络。在用户接入认证和权限控 制方面，r a d i u s 认证方法能够充分满足a c c e s sv p n 的认证需求。保证网络的 安全性。对使用单位而言，接入v p n 可以大量节省漫游用户的通信费用，因 为不再需要使用长途拨号的方式远程访问单位网络。 远程接入用户 图2 2a c c e s sv p n 拓扑结构图 6 拳承 2 v i n 体系结构 i n t r a n e tv p n ，是一种网络到网络的以对等方式构建的v p n 。通常用于单位 总部与各分支机构之间通过w a n 来组建v p n 网络，其网络结构如图2 3 所示。 这种组网方式能够为各分支机构提供整个网络的访问权限，网络速度快，扩展 性好。例如，如果一所大学有几个校区的话，就可以使用这种组网方式，将各 个校区连接起来，方便的共享本校内部网络的电子资源。 图2 3i n t r a n e tv p n 拓扑结构图 总部机构 e x t r a n e tv p n 是一种网络到网络以不对等方式组建成的v p n ，其网络结构 如图2 4 所示。e x t r a n e tv p n 只开放部分资源而非整个网络的访问权限给外联网 的用户，管理员根据用户的身份、网络地址等参数来确定链路的访问权限。这 恰好满足不同单位之间相互合作的需求，既可以向合作者提供有效的信息服务， 又可以保证自身网络的安全，这也是与i n t r a n e t v p n 相区别的一个地方。 图2 4e x t r a n e tv p n 拓扑结构图 7 2 v p n 体系结构 从协议类型的角度划分，根据o s i 的七层模型，分为第二层v p n 和第三层 v p n 4 , i i 】。其中第二层隧道协议有p p t p ( p o i n t t o p o i n tt u n n e l i n gp r o t o c o l ，点到 点隧道协议) 、m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ，多协议标记交换) 、也仰 ( l a y e r2t u n n e l i n gp r o t o c o l ，第二层隧道协议) 等。p p t p 协议支持p p p 协议的 m s c h a p 认证以及微软公司的点到点加密技术( 即m p p e ) 。第三层的隧道协 议有i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ，网络协议安全) 、g r e ( g e n e r i cr o u t i n g e n c a p s u l a t i o n ，通用路由封装) 。 从v p n 应用平台的角度划分，可以分为实现简单的软件平台v p n 、性能高 但价格昂贵的专用硬件平台v p n 和辅助硬件平台v p n 。其中辅助硬件平台v p n 是以硬件为基础再添加适当的v p n 软件构建的v p n ，是最为常见的一种v p n 平台。 从v p n 部署模式的角度划分，分为端到端( e n d t o e n d ) 模式、供应商企业 ( p r o v i d e r - e n t e r p r i s e ) 模式和内部供应商( i n t r a p r o v i d e r ) 模式。 从v p n 接入方式的角度，分为专线v p n 和拨号v p n 。专线v p n 就是通过 专门的物理线路接入i s p 的解决方法。拨号v p n 是通过拨号i s n d 或p s t n 的 方式接入i s p ，以使用v p n 业务，通常需要如c h a p 或r a d i u s 等身份验证技 术的配合。 2 2 隧道协议 2 2 1 隧道技术基础 隧道就是利用一种协议来传输另一种协议的技术，是实现v p n 技术的基础 和核心【1 2 】。v p n 隧道可以分为两种类型，一是自愿隧道( v o l u n t a r yt u n n e l ) ，一 是强制隧道( c o m p u l s o r yt u n n e l ) 。它首先对通信原始数据进行加密及封装处理， 然后将处理后的数据包如同普通口数据包一样发送到公共网络，传输到目的网 络，从而达到利用公网传输私有数据的目的。如l 2 t p 隧道协议对原始数据包的 封装过程及数据包格式如图2 5 所示。原始数据包在封装l 2 t p 头之后，将成为 i p 网、a t m 网或帧中继网中的原始数据，添加相应的i p 头。 8 2 v p n 体系结构 原始数据包 p p p 封装 p p p 头j原始数据包 l 2 t p 封装 新增i p 头il 2 t p 头lp p p 头i 原始数据包 图2 5 配胛隧道协议的封装过程 数据包所采用的加解密算法、密钥以及解封装协议在隧道建立时由客户端 和服务器端协商确定。因此v p n 系统中经隧道传输的数据只有客户端和服务器 才能够进行解释和处理，对于其他用户只是无意义的。 目前常见的隧道协议有p p t p 、l 2 t p 、i p s e c 、以及l 2 f ( l a y e r2f o r w a r d ， 第2 层转发) 等。对应到o s l 网络分层模型中主要可以分为两类第二层隧道协 议和第三层隧道协议。第二层和第三层隧道协议的主要区别在于用户数据被封 装在网络协议栈中的哪一层。其中p p t p ，l 2 t p 和l 2 f 均是第二层隧道协议， 数据包先进行p p p ( p o i n t t o p o i n tp r o t o c o l ，点对点隧道协议) 封装，然后隧道 协议的封装，最后通过公共网络发送到目的地 4 , 1 3 , 1 4 。而i p s e c 是第三层隧道协 议，口数据包被封装在附加的口包头中由公共网络发送。v p n 协议栈与t c p i p 协议栈的对应如图2 6 所示： 应用层s e t i k e s m i m 匣 传输层 s o c k s s s l 仃l s 网络层i p s e c ( a h e s p ) 网络接口层p p t p l 2 f l 2 t p m p l s 图2 6 隧道协议与网络分层结构对应图 2 2 2 隧道协议分析 隧道协议主要有第二层隧道协议、第三层隧道协议以及传输层的隧道协议， 下面分别进行分析和对比。 p p t p 是对p p p 协议的扩展，只是对p p p 数据包进行g r e 封装，关于p p t p 规范的文档在r f c 2 6 3 7 中，其分组封装结构如图2 7 所示。p p t p 提高了p p p 协 9 2 v p n 体系结构 议的安全性，对远程用户进行身份认证，对客户机和服务器之间的数据流进行 加密，拨号的建立仍使用p p p 协议。隧道建立过程中可以使用的认证协议有 c h a p 、m s c h a p 、e a p 等。支持建立主机到网络型的v p n 网络，采用客户机 服务器访问模式，如a c c e s sv p n 。 图2 7p p t p 分组封装结构图 客户采用p p l 曙v p n 解决方案，可以通过i n t e r n e t 访问企业内部网络和资源， 而不需要首先拨号到企业，这样可以节省长途通信及使用和维护专线网络的费 用。适合用于中小企业的v p n 解决方案，这些都是p p t p v p n 的优点。但是p p l l p v p n 解决方案的安全性较弱，因此，对于安全性要求较高的单位可以使用辅助 硬件来提高网络的安全性。 p p 耶建立连接的过程大致如下：通过p p t p 协议，拨号用户首先可以拨号 到i s p 的n a s ( 网络接入服务器) ，从而建立p p p 连接；然后进行二次拨号，进 行p p 口服务器的连接，即建立p p 耶隧道【1 5 1 。 l 2 t p 的前身是p p l 曙和l 2 f ，它结合了二者的优点【6 l ，去掉了p p t p 中安全 性不高的缺点，被认为是现实中的工业标准。它是o s i 七层协议中的数据链路 层封装协议，关于p p t p 的规范性文档在r f c 2 6 6 1 中。l 2 t p 协议对分组的封装 与p p t p 类似，如p p p 帧的l 2 t p 封装结构如图2 8 所示，如果封装后的数据使 用u d p 传输，还将加封u d p 报头【1 4 1 。 卜一p p p 帧一 l 2 t p 报头ip p p 报头i 加密的i p i p x 数据报l 图2 8p p p 帧的l 2 t p 封装过程 i p s e c 是专门为i p 设计提供安全服务的一个协议簇。它主要由a h ( 认证头) 、 e s p ( 封装安全载荷) 、i k e ( 因特网密钥交换) 三个协议组成【1 刀，可以有效的 保证i p 数据包的安全。i p s e c 的优点是充分考虑了v p n 隧道的安全性，系统的 1 0 2 v p n 体系结构 整体安全性较高。但i p s e e 在使用时比较复杂，通常需要安装专用的客户端软件 后才可以使用，安装和维护都需要专业人员，适合安装在i p s e cv p n 网关处， 不适合中小企业及分散的单个用户。 l 2 f 隧道协议在1 9 9 6 年由c i s c o 公司提出，也属于第二层隧道协议，其封 装过程如图2 9 所示。它可以将链路层协议( 如h d l c 、p p p 、a s y n c 等) 封 装起来，在i p 网、帧中继以及a t m 网等介质上建立多协议的虚拟专用网，多 协议支持也正是l 2 f 隧道协议的优点。它支持网络到网络型的v p n 解决方案， 但不支持客户到网络型的v p n 解决方案，另外l 2 f 协议也没有定义客户。 图2 9l 2 f 封装在协议栈中的位置 s s l ( s e c u r es o c k e tl a y e r ，安全套接层) 在w 曲上已经得到了广泛的应用， n e t s c a p e 公司设计此协议的目的就是用于w 曲数据的安全传输【l 踟。s s l 的位置 介于传输层与应用层之间，如图2 1 0 所示。s s l 的客户端通常已经安装在了终 端设备上，如微软的匝等，另外，s s l v p n 的使用不会受到防火墙的影响。但 因为点对点的v p n 一般会要用i p s e c f l k e 技术，因此s s lv p n 不适合做这类 v p n 。另外，要想让s s l v p n 的网关数据流通过，就需要把网络防火墙中唧s 连接端口打开。 图2 加s s l 协议的位置 m p l s 属于第三代网络架构【1 9 l