（计算机应用技术专业论文）多协议标记交换vpn的加密与封装技术.pdf

型燮鲎嫠塑盟鲤熊燮塑 摘要 费统豹企筵潮缀勰秀寨串，簧遴转送地i a n 到l a n 曩连，滁了瑕粥d 姝专 线袋犊审缝之羚，势无黧耋芋懿饕决穷法。簿等移矮爨净麓谯端翔户蒜煮t 袋能遴 避援莺线路逡入金驻各鑫猿支懿筠域瓣。隧蕃全蠓稼的步伐蕊袂，移动办公人爨 越来越多，公司客声芙系趱米越庞穴，遮样的方案蛰然嚣致嵩舔的长邃线路稳精 费凝长途魉话魏。千惫，虑拟专粥阏v p n ( v i r t u a lp r i v a t en e t w o r k ) 的概念与 枣场隧之出域。 本文生癸疆突v p n 鹃馋揍毁擎筠安全蠼如弼磁畿兼顾的溺蘧，程i p s e c 和 m p l s 乏闫鬟攫7 摹搴餐取袋长躺焖瓣决方寨。蕊搬专掰翘国予袋臻了黪遵技术， 爨疑7 弱凑数疆在公共瓣臻上懿安全僚瓣，使簿爱筵巍降 囊送信鞫安装维护残本 熟鬻瓣，鬟臻了方便扩袋、隧意麓宙豫钦伴联辩、完龛控糊生镳权等麓筏。僵謦 前v p n 穗存在一骜问磁，宙千采雨秃连接的数据传输方式，q o s 无法傈证、c o s 无法实蕊。1 9 9 9 雄3 嗣，c i s c o 警公葡攫出了采用多协议标记交换m p l s 技术实 玻v p n 的黪跤，赡予分缨在邋过糖l s 网终时只黎一次路由，因i 比大大提高丁网 络效率，磐星在m p l s 潮络串菇以慰黎用标记她遴接提l 蛙签萃i l 毅努矮鐾按剃戡剡 l ；盂歉浚量泛疆糗戮，羧瑟m p l s 誉毁涯翳终燹快，蠢是还谴瓣终簧热鬻攘。瞧是 该方法存在嵇慧瀵箨筹翘邈。零文攥逡了萋予多镶谈标记交换按术，誉j 需1 p s e c 在客声路舞嚣端翻密，霉在m p l s 逑缘躇由嚣端迸 亍数播封装的方法构建v p n ，解 决了v p n 采雨黼瞒在公糟骨千鹂进 彳第：屡传输存程的信息不能自动加密、容 荔困谟发戏连接中断遗成信息泄灞等问题。 不管爨从其避域螃性、还怒蚨其黪涉及到题设簧采萋，m p l sv p n 实黪上是一 令魄较庞大懿蒺统，本文尘要馔餮等键论矮系缝缝梭激及数援在餮户路交器端魏 密鞭农骚舅据骥亵边缘路枣器端封装秘实臻逐程，劳羯。+ b u it d e r5 0 实璃7 其串簿矗个绥苇：l p 数据龟钓产璧与发送，l p 数据包酌桶密，抽密焉l p 数蒲包 翁封装t 封装瑶数据琶发送至m p l s 骨干圈。箕缩巢是令人满意的。 关键词：v p n n p l s i p s e c 加密封装隧道协议 a b s t r a c t i nt h et r a n d i t i o n a ls c h e m eo fe n t e r p r i s en e t w o r k 。n oo t h e rb e t t e rm e t h o de x c e p t h i r i n gd d no rf rc a nc o n n e c tr e m o t el a nt ol a n m o t i v eu s e r so rr e m o t e u s e r sc a n a c c e s si n d e p e n d e n te n t e r p r i s el a no n l yb yd i a l i n g w i t hg l o b a ld e v e l o p m e n ta n d m o t i v e u s e r si n c r e a s i n g ，r e l a t i o na m o n gc u s t o m e r sb e c o m em o r ec o m p l i c a t e d t h i ss c h e m em u s t r e s g l ti ne x p e n s i v el o n g d i s t a n c ec a l lc h a r g e a n dt h e n ，t h ec o n c e p ta n dm a r k e to f v i r t u a lp r i r a t en e t w o r ke m e r g e t h i sp a p e ri sm a i n l yo nt h es u b j e c th o wt oc o n s i d e re f f i c i e n c ya n ds e c u r i t yo f t r a n s p o r ta saw h o l e ，a n dp r e s e n t sav p ns c h e m ei n c l u d i n gt h ea d v a n t a g e so f i p s e c a n dm p l s b e c a u s et u n n e lt e c h n o l o g yi sa d o p t e d ，v p nc a ng u a r a n t e e sp r i v a t ed a t at o t r a n s p o r ts a f e l y o np u b li cn e t w o r k s i tm a k e se n t e r p r i s er e d u c et h ee x p e n s eo f c o m m u n i c a t i o n ，i n s t a l l i n ga n dm a i n t e n a n c e ，s i m u l t a n e i t ym a k e se n t e r p r i s ei m p l e m e n t f u n c t i o no f e x t e n d i n gc o n v e n i e n t l y ，c o n s t r u c t i n g n e t w o r k s w i t h p a r t n e r s a n d c o n t r o l l i n ge a t i r e l y t h e r ei ss o m ep r o b l e ms u c ha sn oq o sg u a r a n t e ea n dn oc o s i m p l e m e n to nv p n c i s c op u tf o r w a r dat h o u g tt oi m p l e m e n tv p nw i t hm p l st e c h n i co n m a r c h ，1 9 9 9 d u et oo n l yo n c er o u t ew h e nap a c k a g ep a s sb ym p l sn e t w o r k ，i th e i g h t e n s e f f i c i e n c yo fn e t w o r kg r e a t l y b e s i d e s ，i tc a np r o v i d ee n o r m o u ss e r v i c ec o n t r o la n d t r a f f i c e n g i n e e r i n gm e c h a n i s i l l ，s om p l sm a k e s t h en e t w o r km o r e q u i c k a n dm o r e c o n t r 0 1l a b l e b u tt h i sm e t h o dh a st h es h o r t c o m i n go fi n f o r m a t i o nl e a k i n g b a s e do n m p l s ，t h i sp a p e rp r e s e n t st h et h o u g h ta n di m p l e m e n t i n gt e c h n o l o g yt h a te n c r y p tt h e d a t ab yi p s e ca tt h ec u s t o m e re d g e ( c e ) r o u t e ra n de n c a p s u l a t et h ed a t aa tp r o v i d e r e d g e ( p e ) r o u t e r t h ep r o b l e mo fi n f o r m a t i o n1 e a k i n gd u et oa tm p l sb a c k b o n eh a s b e e nr e s o l r e d c o n s i d e r i n gr e g i o n a lc h a r a c t e r i s t i ca n di n v o l v e de q u i p m e n t s ，m p l sv p nisah u g e s y s t e ma c t u a l l y t h i sp a p e rf o c u s e so ni t sm e c h a n i s m i m p l e m e n t i n gp r o c e s so f e n c r y p t i n gd a t aa tt h ec u s t o m e re d g e ( c e ) r o u t e ra n de n c a p s u l a t i n ga tp r o v i d e re d g e ( p e ) r o u t e r s o m ep a r t i c u l a r sa r ei m p l e m e n t e dw i t hc + + b u i l d e rs 0 ：c r e a t i n ga n d s e n d i n go f i p p a c k a g e ，e n c r y p t i n go fi pp a c k e t ，e n c a p s u l a t i n go fe n c r y p t e di p p a c k e t ，s e n d i n ge n c a p s u l a t e di pp a c k e tt oi h p l sb a c k b o n e t h er e s u l tf r o ma n a l y z i n g a n dc o m p a r i n gt h ep e r f o r m a n c eo fd i f f e r e n tv p n si s s a t i s f i a b l e k e yw o r d s ：v p n m p l si p s e c e n c r y p te n c a p s u l a t et u n n e lp r o t o c o l 2 多协议标记交换v p n 的加密与封装技术 1 1 引言 第一章绪论 虚拟专用网( v p n v i r t u a lp r i v a t en e t w o r k ) 指的是依靠i s p ( i n t e r n e t 服 务提供商) 和其它n s p ( 网络服务提供商) ，采用隧道技术以及加密、身份认证等 方法，在公用网络中建立专用的数据通信网络的技术。 传统的企业网组网方案中，要进行远地l a n 到l a n 互连，除了租用d d n 专线 或帧中继之外，并无更好的解决方法。对于移动用户与远端用户而言，只能通过 拨号线路进入企业各自独立的局域网，这样的方案必然导致高昂的长途线路租用 费及长途电话费。于是，虚拟专用网v p n ( v i r t u a lp r i v a t en e t w o r k ) 的概念与 市场随之出现。其实虚拟专用网v p n 技术并不是什么新鲜事物，早在1 9 9 3 年， 欧洲虚拟专用网联盟( e v u a ) 就成立了，力图在全欧洲范围内推广v p n 。然而 却是由于i n t e r n e t 的迅猛发展为v p n 提供了技术基础，全球化的企业为v p n 提 供了市场，使得v p n 开始遍布全世界。 随着v p n 应用的不断推广，各大厂商纷纷推出了自己的v p n 产品，根据所选协 议的不同，逐渐分化为三个阵营“：m i c r o s o f t 、3 c o m 和些其他的厂家使用p p t p ； c i s c o 和很少的几个厂家倾向于l 2 f ：n o v e l l ，在某种程度上包括c i s c o ，则积极 探索i p s e c 。标准的不一致造成了使用不同厂家v p n 产品的企业网之间互连的困 难，阻碍了v p n 的进一步发展，经过i e t f ( i n t e r n e t 工程任务组) 的努力，自1 9 9 9 年5 月以来，将p p t p 和l 2 f 合并为l 2 t p 的工作一直在进行当中，目前尚处于草 案阶段。i p s e c 是开放性的i p 安全标准，它与其他几个标准完全不同，i e t f 将 i p s e c 作为一个工作组进行处理，专门定义i p s e c 协议的r f c 是在1 9 9 5 年8 月 发布的r f c l 8 2 7u p 封装安全有效负载( e s p ) “1 ，它定义建立虚拟隧道所使用 的封装协议。从现在v p n 发展的情况来看，基本上所有v p n 产品都将支持i p s e c ， 墨堡些堡塑奎垫兰坠业塑蟹壁型塑童垫苎 l 2 t p 协议草案中也规定它( l 2 t p 标准) 必须以i p s e c 为安全基础。在统一完善 协议的基础上，近年来v p n 得到迅猛发展，第一个关于v p n 的r f c 2 1 9 4 ( r e v i e w o f r o a m i n gi m p l e m e n t a t i o n s ，是在1 9 9 7 年9 月1 4 日发布的，首次直接提及 v p n ，至今也只有1 0 个r f c 在文档中包含r f c 这个术语，由于其技术核心是隧道 技术，所以对其相关协议的研究似乎显得更加重要，目前对i p s e c 协议的研究已经 相当成熟了，i p s e c 已成为v p n 产品的事实标准。 虚拟专用网是企业网在因特网等公共网络上的延伸，通过安全的数据通道将 远程用户，公司分支机构，公司业务伙伴等跟公司的企业网连接起来，构成一个 扩展的公司企业网。由于采用了隧道技术，公共网络仿佛是只由本网络在独占使 用，而事实上并非如此，所以称之虚拟专用。虚拟专用网的重点在于建立安全的 数据通道，使之能够满足网络使用者以下要求： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认( i p s p o o f i n g ) 的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分 子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截 到的通道数据。 提供动态密匙交换功能，提供密匙中心管理服务器，必须具备防止数据重 演( r e p l a y ) 的功能，保证通道不能被重演。 提供安全防护措施和访问控制，要有抵抗黑客通过v p n 通道攻击企业网 络的能力，并且可以对v p n 通道进行访问控制( a c c e s sc o n t r 0 1 ) 。 通过以上途径保证了私有数据在公共网络上的安全传输，使得实现以下功能 成为可能： 4 多协议标记交换v p n 的加密与封装技术 降低成本，节省大量的通信和安装维护费用。 容易扩展，如果用户想扩大v p n 的容量和覆盖范围，只需与i s p 签约，通 过作适当的设备配置就可。 可随意与合作伙伴联网，只需双方配置安全连接信息即可。 完全控制主动权，可以利用i s p 的设施和服务，同时又完全掌握着自己网 络的控制权。 此外，虚拟局域网( v l a n v i r t u a ll a n ) 也是一种实现类似功能的技术，它 可以方便地修改网络配置，实现工作组级的信息芡享。但是由于不同厂商的v l a n 设备之间不兼容，来自不同厂家的v l a n 设备不能构建虚拟局域网，而多数企业 的网络都来自不同的厂商。可是，v p n 技术由于是在协议级上解决了虚拟工作组 的问题，因此只要使用v p n 标准协议，不同厂商设备之间的兼容性就可以得到解 决，并且是在广域网的范畴之上解决了这个问题。但是，v p n 也存在一些问题， 比如由于采用无连接的数据传输方式q o s 无法保证、c o s 无法实现等等，对此1 9 9 9 年3 月c i s c o 等公司提出了采用多协议标记交换m p l s 技术实现v p n 的思路，但 是因为信息泄漏等问题一直受到有关专家的质疑，本文将在后面讨论有关解决办 法。 1 2v p n 基本原理 为了使分布在不同地方的专用网络在不可信任的公共网络上安全地通信，v p n 系统采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过 程大体是这样： 要保护的主机发送明文信息到连接公共网络的v p n 设备： v p n 设备根据网络管理员设置的规则。确是否需要对数据进行加密或让数据 直接通过； 童垫望堡垦奎塑里业盟墅垫皇塾! ! 堇苤 对需要加密的数据，v p n 设备对整个数据包( 包括要传送的数据、源i p 地 址和目标i p 地址) 进行加密和附上数字签名( 鉴别) ： v p n 设备加上新的数据报头，其中包括目的地v p n 设备需要的安全信息和一 些初始化参数； v p n 设备对加密后数据、鉴别包以及源i p 地址、目标v p n 设备i p 地址进行 重新封装，重新封装后数据包通过虚拟通道在公网上传输： 当数据包到达目标v p n 设备时，数据包被封装，数字签名被核对无误后数 据包被解密。 一l 专 4 一 1 一3 图l ：v p n 技术的结构示意图( 本图以硬件v p n 解决方案为例) 。 在这个图例中，有4 个内部网络通过公网连接起来，各个内部网络位于v p n 设备的后面，同时通过路由器连接到公网。 在这种v p n 结构中，数据按照严密的算法在公网中通过多层的虚拟通道( 也 称“隧道”) 从一端v p n 设备到达另一端。隧道从一个v p n 设备开始，通过路由 器横跨整个公网到达其他v p n 设备。 通过数字证书来标记整个道，并以此来鉴别属于此v p n 的隧道。隧道的第二 层是数据的封装包，到达目标v p n 设备的是重新封装后的数据。隧道的第三层是 身份证验证，采用不同的算法来验证信息来源的真实性。道的最里层就是加密来 确保它的机密性。 6 _ - - _ 。_ 。_ 。_ _ _ _ 。_ 。_ _ - _ _ _ 。_ _ 。_ 。- - _ _ _ - _ 。- 。_ 。v p n 一 多协议标记交换的加密与封装技术 隧道处理的结果使得各种被传输的信息只有预定的接收者才能读懂。 v p n 系统根据系统设置的安全规则表来实施，对用户来说完全是透明的和自动 的。在v p n 系统后面的员工照样上网发送电子邮件或下载文件。由v p n 系统决定 他们的任务哪些需要加密或不加密。 1 3v p n 使用的协议 隧道技术是v p n 的核心，v p n 技术中的隧道是由隧道协议形成的，正如网络是 依靠相应的网络协议完成的一样。v p n 使用的协议主要有四种。3 ：点到点隧道协 议( p p t 卜p o i n t t o p o i n tt u n n e i n gp r o t o c 0 1 ) ，第二层发送协议( l 2 f l a y e r 2f o r w a r d i n g ) ，第二层隧道协议( l 2 t p _ l a y e r2 t u n n e l i n gp r o t o c 0 1 ) 以及 i p s e c ( s e c u r ei p ) 。此外，还有使用于安全性较高v p n 的s o c k s v 5 s s l 协议、 通用路由选择封装协议( g r e g e n e r i cr o u t i n ge n c a p s u l a t i o n ) 等。这些协议 的细节在相关的r f c 中均有详细的表述，其中比较重要的有r f c 2 4 0 1 s e c u r i t y a r c h i t e c t u r ef o rt h ei n t e r n e tp r o t o c o l ”，r f c 2 4 0 2 i pa u t h e n t i c a t i o n h e a d e r 旧，r f c 2 4 0 3 t h eu s eo fh j l i a c m d 5 9 6w i t h i ne s pa n da h f 7 r f c 2 4 0 4 t h eu s eo fh m a c s h a 一卜9 6w i t h i ne s pa n da h ) 唑r f c 2 4 0 6 i p e n c a p s u l a t i n g s e c u r i t yp a y l o a d ( e s p ) ，r f c 2 4 0 7 t h ei n t e r n e ti ps e c u r i t yd o m a i no f i n t e r p r e t a t i o nf o ri s a k m p 【1 0 】，r f c 2 4 0 8 i n t e r n e ts e c u r i t ya s s o c i a t i o na n d k e ym a n a g e m e n tp r o t o c o l ( i s a k m p ) 1 。r f c 2 4 0 9 ( t h ei n t e r n e tk e ye x c h a n g e ( i k e ) d 2 1r f c 2 4 1 0 ( t h en u l le n c r y p t i o n a l g o r i t h ma n di t su s ew i t hi p s e c ”，r f c 2 4 1 1 i ps e c u r i t yd o c u m e n t r o a d m a p 】，r f c 2 4 1 2 t h eo a k l e yk e v d e t e r m i n a t i o np r o t o c o l ，r f c 2 4 1 3 d u b l i nc o r em e t a d a t af o rr e s o u r c e d i s c o v e r y 唑f c 2 6 8 5 v i r t u a lp r i v a t en e t w o r k si d e n t i f i e r 1 7 f c 2 7 6 4 af r a m e w o r kf o ri pb a s e dv i r t u a lp r i v a t e n e t w o r k s m 1 等。1 9 9 9 年3 月 7 多协议标记交换v p n 的加密与封装技术 由c i s c o 公司提出的m p l sv p n 中，又采用了边界网关协议b g p 、外部网关协议 e g p 、内部网关协议i g p 、标记分配协议l d p 等，主要用于路由及封装，涉及的 r f c 文件有r f c 2 5 4 7 b g p m p l sv p n s 3 ，r f c 2 9 1 7 ac o r e m p l s i pv p n a r c h i t e c t u r e ) 等。 o s i 七层模型安全技术安全协议 应用层 表示层 应用代理 会话层 传输层 会话层代理s 0 c k s v 5 s s l 网络层i p s e c g r e 数据链路层包过滤p p t p l 2 f l 2 t p 物理层 图2 ：安全协议在o s i 中的作用层次 在以上协议中，p p t p 协议捆绑在w i n d o w s 9 x 系列操作系统中，i p s e c 则捆绑 在w i n d o w s 2 k 操作系统中，在v p n 中应用最广。g r e 是一种简单的专线v p n 实现 方式，并未对数据进行真正的加密，仅仅是将i p 数据包封装在以封装路由器为 源地址，以目的路由器为目的地址的数据包内，其安全性不是很高。以c i s c o 为 首的少数几个厂家倾向于使用l 2 f 及i e t f 要求p p t p 和l 2 f 合并而成的l 2 t p ，在 l 2 t p 协议中，i p x 等网络协议被置入i p 协议中。l 2 t p 协议综合了p p t p 协议和 l 2 f ( l a y e r2f o r w a r d i n g ) 协议的优点，属于二层隧道协议，支持多路隧道，这 样可以使用户同时访问i n t e r n e t 和企业网，主要用于构建a c c e s sv p n 。而s o c k s 协议的优势在访问控制，适用于安全性较高的v p n ，得到了一些著名的公司如 m i c r o s o f t 、n e t s c a p e 、i b m 的支持。目前，i p s e c 是目前唯一一种能为任何形式 的i n t e r n e t 通信提供安全保护的协议，属于三层隧道协议，主要应用于构建 i n t r a n e tv p n 和e x t r a n e tv p n ，i p s e c 已逐步成为主流协议，在v p n 产品中广泛 多协议标记交换v p n 的加密与封裟技术 使用。m p l s 则属于新生代技术，目前并不是很成熟，支持者和反对者均甚众。”。2 3 汹3 ，是目前的热点，在数据加密方磷还蠢些阅题。 1 4i p s e c 协议 从1 9 9 5 年歼始，i e t f 蓿手研究制定了一套用于保护i p 通倍的i p 安全 ( i p s e c u r i t y ，i p s e c ) 协议。i p s e c 是出i e t f 正式定割的范围】广泛的帮放性i p 安全标准，爨虚拟专瘸翻匏蒸礁，到现农已经稻当成熟督靠。i p s e c 是i p v 6 的一 个组成部分，也是i p v 4 的一个可选扩展协议。i p s e c 适应向i p v 6 迁移，它提供 所有在网络层上的数据保护，提供透明的安全通信。i p s e c 包含了用户身份认汪、 粪验耪数据巍整经等痰容，鞠密璐技术掇供黻下安全服务：按入控翻，光连接完 整性，数据源认证，防重放，加密，防传输流分析。 i p s e c 提供了甄种安全机制：认诚和加密。认证机制傻i p 通信鳇数攘接收方 能够骥谈数搭发送方的真实身份黻及数攒在传输过程中是否遗蓟改动。加密机制 通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而 失密。i p s e c 的认证包头( a u t h e n t i c 8 t i o nh e a d e r ，a h ) 协议定义了认诞的斑用 方法，封装安全受载( n c a p s u l a t i n gs e c u r i t yp a y l o a d ，es p ) 协议定义了加 密和可选认证的应用方法。在实际进行i p 通信时，可以根据安企需求同时使用 这两种协议或选择使用其中鲍荦申。a h 朔e s p 都可以提供认涯服务，不过，硝 掇供静诀涯服务要强予e s p 。该秘谖标准由i e t f 组织制订，其中规定了用以在两 个i p 工作站之间进行加密、数字签名等而使用的系列十几个协议。在1 9 9 9 年 底，i e t f 安全工作组完成了i p s e c 瓣扩展，在i p s e c 掺议中艇上i s a l ( 黪( i n t e r n e t s e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c 0 1 ) 协议，其中还包括i n t e r n e t 密钥交换协议i k e ( i n t e r n e tk e ye x c h a n g e ) 、o a k l e y 。l s a k m p i k e o a k i e y 支 持自动建变女g 密、认谖信邀，以及密钱的瞧动安全分发帮菱瑟。 9 多协议标记交换v p n 的加密与封装技术 在一个特定的i p 通信中使用a h 或e s p 时，协议将与一组安全信息和服务发 生关联，称为安全相关( s e c u r i t ya s s o c i a t i o n ， s a ) ，安全相关是i p s e c 中 的一个重要概念，是i p s e c 操作的基础。s a 可以包含认证算法、加密算法、用于 认证和加密的密钥，每个s a 由三各部分唯一标识：一个安全性参数索引s p i ：一 个i p 目标地址；一个安全协议，a h 或e s p 。一个安全相关表示两个或多个通信 实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交 换了会话密钥，可以开始利用i p s e c 进行安全通信。i p s e c 使用一种密钥分配和 交换协议如互联网安全关联和密钥管理协议i s a k m p 来创建和维护s a 。而i k e 用 于在两个通信实体协商和建立安全相关，交换密钥。i k e 定义了通信实体间进行 身份认证、协商加密算法以及生成共享的会话密钥的方法。i k e 中身份认证采用 共享密钥和数字签名两种方式，密钥交换采用d i f f i eh e l i m a n 协议。s a 是一 个单向的逻辑连接，也就是说，两个主机之间的认证通信将使用两个s a ，分别用 于通信的发送方和接收方。 i p s e c 定义了两种类型的s a ：传输模式s a 和隧道模式s a 。传输模式s a 是在 i p 包头( 以及任何可选的扩展包头) 之后和任何高层协议( 如t c p 或u d p ) 包头 之前插入a h 或e s p 包头，隧道模式s 是将整个原始的i p 数据报放入一个新的 i p 数据报中。在采用隧道模式s a 时，每一个i p 数据报都有两个i p 包头：外部 i p 包头和内部i p 包头。外部i p 包头指定将对i p 数据报进行i p s e c 处理的目的 地址，内部i p 包头指定原始i p 数据报最终的目的地址。传输模式sa 只能用于 两个主机之间的i p 通信，而隧道模式s a 既可以用于两个主机之间的i p 通信， 还可以用于两个安全网关之间或一个主机与一个安全网关之间的i p 通信。安全 网关可以是路由器、防火墙或v p n 设备。 由上可知，i p s e c 协议可以设置成在两种模式下运行：一种是隧道( t u n n e l ) 童堡堡堡望銮垫! 翌业型坐堡篁堑! ! 垫查 模式，一种是传输( t r a n s p o r t ) 模式。在隧道模式下，i p s e c 把i p v 4 数据包封装 在安全的i p 帧中。传输模式是为了保护端到端的安全性，即在这种模式下不会 隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。i p s e c 实现来 自不同厂商的设备在进行隧道开通和终止时的互操作。另外，由于i p s e c 的安全 性功能与密钥管理系统松散耦合，所以当密钥管理系统发生变化时，i p s e c 的安 全机制不需要进行修改。 i p s e c 定义了一套用于保护私有性和完整性的标准协议。i p s e c 支持一系列加 密算法如d e s 、3 d e s 、i d e a 。它检查传输的数据包的完整性，以确保数据没有被 修改，具有数据源认证功能。i p s e c 可确保运行在t c p i p 协议上的v p n 之间的互 操作性。但是，i p s e c 需要已知范围的i p 地址或固定范围的i p 地址，因此在动 态分配地址时不太适合于i p s e c 。除了t c p i p 协议以外，i p s e c 不支持其它协议。 除了包过滤外，它没有指定其它访问控制方法。对于采用n a t 方式访问公共网络 的情况难以处理。 1 5 肝l s 协议 多协议标记交换( m p l s ) 是项由c i s c o 公司、j u n i p e rn e t w o r k s 公司以及a t & t 公司等网络业领先厂商支持的在路由器间完成包交换的下一代传输流管理技术， 至1 9 9 9 年3 月才形成建议标准( r f c 2 5 4 7 ) “，是一种公认的加快网络速度的新方 法。它使传输商可以将包括帧中继和a t m 技术在内的不同类型的数据流融合到一 条运行i p 的骨干线路上。 m p l s 技术是将第二层交换和第三层路由结合起来的一种l 2 l 3 集成数据传输 技术。”。之所以称其为多协议，是因为m p l s 不但可以支持多种网络层层面上的 协议。如t p v 4 、i p v 6 、i p x 、a p p l t a l k 、d e c n e t 、c l n p 等，还同时可以兼容第二 层上的多种链路层技术。现在公众网上，a t m 和f r 是首选的核心链路层传输技术， 圭垫鲨堡望奎垫! 旦业型型量皇垫! ! ! 墨查 因此m p l s 是实现i po v e ra t m 的一种理想手段a m p l s 将第二层的交换和第三层的路由技术很好地结合起来。它以十分简洁的 方式完成信息的传送。m p l s 首先根据某种特定的映射规则在网络入口l e r 处将数 据流分组头和固定长度的短标签对应起来：这种映射规则不但考虑到数据流目的 地的信息，而且也考虑到了有关q o s 的信息：然后在数据流的分组头中插入标签 信息。在以后网络中的转发过程里，m p l sl s r 就只是根据数据流所携带的标签进 行交换或转发。然而信息流究竟沿何路由传送，这将由m p l s 设备中采用的第三 层路由协议与用户需求及网络状态来共同决定。缺省情况下，各个m p l s 设备运 行路由算法，根据计算得到的路由在逻辑相邻的对等体间进行标签分配，通过标 签的拼接建立起从网络入口到出口的标签交换路径l s p 。其中，标签的分发过程 需要遵循专用的控制协议，如l d p 或r s v p ，或者搭载在路由协议( 如b g p ) 上。 i e t f 引入m p l s 最初的目的主要是为了改善网络选路的性能，降低高速转发的 成本，提高分组转发的性能，因此m p l s 支持以下核心技术”： 兼容各种数据链路层技术，如a t m 、f r 、p p p 等 兼容各种路由协议，但能独立于路由协议而运行 提供防止环路发生的协议机制，或者保证在有环路的情况下，仍然有一定 的网络资源可供使用，以保证网络的服务性能不至于下降太多。 允许用户数据的“集合转发”，即多个用户的数据径流被汇集到一个径流中 作为一个单元沿单一路径转发出去。 对现有i p 网络的o a m 功能进行扩展。m p l s 应可以提供对目前的网络管理和 诊断工具的向下兼容性。在这些工具不能使用的地方，需要采取相应的措施 以实现相同的功能。 能处理单播和组播通信的径流。 1 2 多协议标记交换v p n 的加密与封装技术 兼容i e t f 的综合业务模式。 能够与非m p l s 设备在同个网络中共存，不要求非m p l s 设备作额外的配 置。 当存在第二层交换协议时，允许“夜行船( s h i p s i nt h en i g h t ) ”操作， 使m p l s 与标准第二层协议同时运行于同一网络中而不知道对方的存在。 m p l s 涉及到为给定序列的包建立特定的通路，这个标记就在包上，这就减少 了路由器的数据处理工作量，提高了网络速率。m p l s 被称为多协议是因为它可以 在i p ，a t m 和帧中继下工作。m p l s 协议实现将第三级的包交换转换成第二级的交 换，它可以使包在第2 层进行转发，而不用在第三层，同时也提高了管理质量和 容易程度，因此被广泛采用。m p l sv p n 技术在提供现有v p n 网络所有能力的同 时提供强有力的q o s 能力，由于分组在通过m p l s 网络时只需一次路由，因此大 大提高了网络效率；更为重要的是在m p l s 网络中可以对采用标记的连接提供各 种服务质量控制机制以及流量工程机制，因此m p l s 不仅让网络更快，而且还让 网络更加可控。另外，用户享受到的保密性与帧中继或a t mp v c 所提供的相同， 这是因为m p l s 采用虚拟路由器技术把路由信息的传播限于归属某个特定v p n 的 路由器的范围内，对于每一个m p l sv p n 客户，服务提供商的网络似乎提供了一 个虚拟专用骨干网，客户可以通过它与机构内的其它站点取得联系，而不能与任 何其它客户的站点取得联系，其作用有点类似于i p s e c 的隧道，可以将其称为l s p 隧道汹1 。但是其安全性尚不可与i p s e c 同日而语，因为m p l s 技术主要应用于服 务供应商的骨干网中，所以从客户路由器到供应商边缘路由器的传输过程中如何 保证信息安全是值得关注的问题。”；此外，作为骨干网的中心路由器，如果该网 络中的服务供应商支持上千个v p n 客户的话，其核心l s r 将要支持上百万条l s p ， 已超出其处理能力，解决的办法是使用标记栈，不同的v p n 共用相同的l s p ，但 兰塑垫塑篓茎堂- 竺整堂鏖型壁壁塑! ! 述 是这样一来v p n 静安全性就会受到按失删；因嚣，妇俺结会糖塔与i p s e c 痰者 的优势，设计出一个安全丽商效的v p n 是裔价值的工作汹”。 1 6 本文主要工作 本文对v p n 技术酶基本原壤及实魂方法遴行了魄较全藩蔼深入豹磷究。由于 普通的i p s e cv p n 采用无连接的数据传输方式，使得q o s 无法保证、c o s 无法实 现，v p n 的传输效率和质量阅题面螭极大的考验。1 9 9 9 年3 月，c i s c o 等公司提 出了采辩l 多协议标记交捩m p l s 技术实现v p n 懿恶路( 帮m p l s v p n ) ，出于分组 在通过m p l s 蹿络时只需一次路由，因此大大提高了网络效率，并鼠在m p l s 网络 中可以对采用撼记救连接提供爨静服务质爨控制机制以及流量正稷机制等。但是 该方法存在信怠澄箨等闯鼹。为就，本文撬密了萎子多锛议标记交抉技术，零j 羯 i p s e c 在客户路由器端加密，辫在m p l s 边缘路由器端进行数据封装的方法构建 v p n ，瓣决了v p n 粟月m p l s 在公用嚣于网进行第二层传输存在的接息不能国动加 密、容荔西误发或连接中断造成信意淹漏等闯越。 通过比较i p s e cv p n 和m p l sv p n 各自性能的优缺点，本文均衡考虑传输效 率釉安全性，采用各取所长豹方法设计系统结构，提坦营先在客户路由器端髑 i p s e c 对数据逡行加密，然后程骨干阏的入口蹒由嚣端j c 于数据龟进行封装，这样 分敝了工作量，同时数据的机密性又得到了很好的保证。由于m p l s 在服务提供 巍边缘路虫器已毙够实现数搀黪封装，为提褒数据处理效攀，我们仅使用i p s e c 的加密功能，胃 冀采用传送模式，通过加入e s p 头，来傈试数据的机密性，并髓 将加密处理实施工作分散到各客户路由器，以减轻服务提供商边缘路由器的数据 处理工作量，瀵赊处理越颈。东客户端鼹凄爨毅缀务亵路瞧器豹透识孛，鸯一令 逻辚端口的概念，用于区分不耐的v p n ，我们在不影响加密和封装的情况下，采 用了一个中间协议作为过渡，实现客户端路由器和服务商路由器之间v p n 僚息的 1 4 多协议标记交挟v p n 的期密与封装技术 保密传递。 根据以上思路，本文用模拟的方法，在w i n d o w s9 8 平台上用c + + b u i l d e r5 0 实现了其中的几个关键过理：i p 数据包的产生与发送，i p 数据包的加密，加密 后l p 数据毽的籍装，封装籍数据惫发送至m p l s 学于麓。其结荣是令人满慧静。 由于该方案涉及到m p l s 骨干阏，整个系统比较庞大，要进行实战演练菲入之 力所能及，所以希魍以后能育条件与其他嗣行起将本文的主要成果投入到实际 应掰串去。 童堡堡楚望銮堡! 曼业盟堕垦皇塾茎垫苎 2 iv p n 的类型 第二章v p n 的实现方法 根据网络连接方式的不同把v p n 分为以下几种类型： ( 1 ) a c c e s sv p n ( 远程访问虚拟专网) 与传统的远程访问网络相对应。在 该方式下远端用户不再是如传统的远程网络访问那样，通过长途电话拨号到公司 远程接入端口，而是拨号接入到用户本地的i s p ，采用v p n 技术在公众网上建立 一个虚拟的通道。 图3 ：a c c e s sv p n ( 远程访问虚拟专网) ( 2 ) i n t r a n e tv p n ( 企业内部虚拟专网) 与企业内部的i n t r a n e t 相对应。 在v p n 技术出现以前，公司两个异地机构的局网想要互连一般会采用租用专线的 方式，虽然该方式也采用如隧道等技术，在一端将数据封装后通过专线传输到目 的方解封装，然后发往最终目的地。该方式也能提供传输的透明性，但是它与v p n 技术在安全性上有根本的差异。 图4 ：i n t r a n e tv p n ( 企业内部虚拟专网) ( 3 ) e x t r a n e tv p n ( 扩展的企业内部虚拟