（计算机应用技术专业论文）基于ipsec协议的vpn网关的研究与实现.pdf

摘要 虚拟专用网技术v p n 是近年来一项发展迅速、引人瞩目的网络新技术。所谓虚 拟专用网是指以建立私有、快捷、安全的网络为目的，以连接广泛的公共网络为传 输媒介，以加密认证为主要安全措施构筑起的虚拟的专用网络。它的特点在于利用 公共网络传输私有数据，可以极大地节省成本和费用，并能保证数据的安全传输。 论文选择基于主机的v p n 的实现，因为它可以很好的解决对于移动用户访问公 司内部资源的安全问题、访问控制问题和身份验证等问题，并且公司内部服务器不 需要暴露于i n t e r n e t 上，可以继续采用私有i p 地址。我们在w i n d o w s 操作系统下 通过插入协议栈的方式实现v p n 网关的设计。这种方式的实现，用户只需按软件说 明直接操作。不需要具有太多的计算机知识，可以满足普通用户的需求，荠且价格 低廉。该方案是针对“凯源天然气自动化调度系统”项目需求设计的，它还适应于 远程抄表、远程维护和远程诊断等远程接入虚拟专用网应用领域，具有良好的通用 性。 论文首先对v p n 技术进行了分析和研究，尤其是对当前流行的l 2 t p 协议和i p s e c 协议进行了详细的对比分析研究，并对比分析研究了当前市场上常用的两种v p n 模 型，找出其中可以借鉴之处，在此基础上提出了本文的在w i n d o w s 操作系统下通过 插入协议栈的方式在v c + + 开发环境下实现基于i p s e c 协议的v p n 网关的方案。在 论文第五章，结合项目，详细地阐述了该方案的设计思想、结构和工作原理，尤其 是对本人所负责的i p s e c 模块进行了详细的说明，给出了该模块实现过程中采用的 主要数据结构和方法。 最后，论文总结了该方案适应的范围，并提出了下一步研究工作的主要方向以 及需要进一步解决的主要问题。 关键词：网关，i p s e c ，l 2 t p ，v p n a b s t r a c t 矗lr e c e n t y e a r sv p n h a sd e v e l o p e d q u i c k l y a n dt u r n e di n t oan e wn e t w o r k t e c h n i q u e b ye n c r y p t i o n a n da u t h e n t i c a t i o n ，v p ni st ob u i l dp r i v a t e ，f a s ta n ds a f e t y n e t w o r k t h r o u g h i n t e r n e t i t sa d v a n t a g ei sn o to n l yt os a v el a r g ec o s ta n de x p e n s e b u ta l s ot om a k es u r et h ed a t es a f e l yt r a n s p o r t t h e p r o j e c tc h o o s e s t or e a l i z et h ev p nb a s e do nt h e h o s t ，b e c a u s ei tc a nr e s o l v e s o m e p r o b l e m ss u c h a ss a f e t y p r o b l e m ，a c c e s s c o n t r o la n dv e r i f i c a t i o np r o b l e m c a s e d 谤r e m o t e a c c e s s u s e r s a n d t h e i n t e r n a ls e r v e r o f t h ec o m p a n y n e e d n o t t o b e e x p o s e d i ni n t e r a c ta n dc a r lc o n t i n u et oa d o p tt h ep r i v a t ea d d r e s s t h ep r o j e c ti n s e r t s t h e p r o t o c o l s u n d e rt h ew i n d o w s o p e r a t es y s t e m t or e a l i z et h ev p n g a t e w a yd e s i g n 。 t h i sr e a l i z a t i o nm a k e su s e r sn e e dn o tt oh a v et o o m a n yc o m p u t e rk n o w l e d g ea n d c a n e a s 主每u s et h es o a r e , w h i c ho a 撞s a t i s f yt h en e e d o f t h ec o m m o nu s 臼i s ，o v e r a l l t h ec o s ti sl o w n l i 8 p r o j e c ti ss t i l la d a p t e d i nt h er e m o t ea c c e s sf i e l d ss u c ha s r t 奠t l o v eo n - l i n ec o p yt h ef o r m ，m a i n t e n a n c ea n dd i a g n o s e 。 i nt h i st h e s i sf i r s t l y a n a l y z ea n ds t u d y t h ev p n t e c h n i q u e ，e s p e c i a l l yt h e c o r r e n t p o p u l a rp r o t o c o l s t h a ta r el 2 髓a n di p s e c 。t h e n s t u d y a n d a n a l y z e t w ok i n d so f v p n m o d e l s ，f i n do u ts o m e t h i n g u s ef o r r e f e r e n c e , a n dp u tf o r w a r dt h ep r o j e c tt h a t i st oi n s e r t p r o t o c o l s u n d e rt h ew i n d o w s o p e r a t es y s t e m a n dl l s et h ev c + + t or e a l i z e t h ev p n g a t e w a y b a s e do ni p s e e 。i nt h e c h a p t e r5 t h ，c o m b i n e d 岍t l lt h ei t e m 。 e l a b o r a t et h ed e s i g nt h o u g h t , s t r u c t u r ea n dt h ew o r k p r i n c i p l e s ，p a r t i c u l a r l yt h e i p s e cm o l d c h a r g e db ym e ，a n dg i v et h ed a t as l a u c t u r ea n dm e t h o d su s e dt or e a l i z e t h ei p s e cm o l d a t l a s t ，t h et h e s i ss b n l su pt h ef i e l d st h ep r o j e c ti sa d a p t e dt oa n d p u t sf o r w a r d t h em a i nd i r e c f i o no f t h ef i l r t h e rs t u d yw o r ka n ds o m e p r o b l e m sn e e d e dt ob e r e s o l v e df u 雌e r k e y w o r d ：g a t e w a y , i p s e e ，l 2 t p , v p n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示谢意。 签名： 趣淄 n j t i l ：p 。争年，月刁e t 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：蛆浏导师签名： 日期：伽铲 磺妙们 年f z 月幻e t f 皇量型垫奎堂堡主鲨塞! 薹王! 堕! ! 堡堡塑! 型塑差塑竺塞量壅婴 1 1 课题背景 第一章引言 由于工作的需要，公司的员工经常会到异地出差，而在公司外部，出于安 全性考虑，一般不允许访问公司内部服务器，同时企业网的地址空间规划与因 特网也不同，因此无法适用很多企业高层应用软件，如企业资源规划( e r p ) 系统， n o t e s 服务器等等。这大大限制移动用户对企业网络资源的使用。为了解决这 个问题，传统的做法基本是采用企业设置网络介入服务器( n a s ) ，移动用户采用 长途电话拨号的方式拨号到公司远端接入端口实现。这种方式成本昂贵：企业 需要自己购买接入服务器设备，租用一定数量的接入线路来提供接入业务；漫 游用户不得不支付价格不菲的长途电话费用。如果通过接入v p n 业务，就可以 大大的降低成本。移动用户不再需要长途直接拨号，只需要拨入到支持接入v p n 业务的本地接入服务器即可，企业也不再需要购买专用的拨号接入设备和租用 接入线路了，只需在网关设备上对一些特殊协议的处理( 如l 2 t p 、i p g e c 、p p t p 等) 给予支持即可。 在v p n 技术出现以前，如果公司两个异地机构的局域网想要互联，一般都 会采用租用专线的方式，其成本昂贵。如果通过v p n 业务提供企业网之间的互 联，则可以方便而低廉地为企业提供互联业务。只有企业分支机构和服务供应 商之间的线路需要按月付费，不再需要从企业总部到分支机构的专线连接，因 此可以节省大量的专线费用。对于国际性的连接，这种费用的节省就更为明显。 另外，v p n 可以增强企业的地域覆盖，使得企业在没有直接网络连接的情况下 快速的满足增加企业的分支机构所带来的需求。并且，按照企业的不同需求， 可以灵活的规划不同的组网方式。例如，公司分部的业务流量占总部业务流量 的大多数，而公司分部与公司分部之间业务流量很少的情况，可采用辐条形连 接；反之可用部分网状连接。而各个公司分部与公司总部之间业务量比较均衡 的情况，可采用全网状连接。 v p n 技术是利用开放型网络作为信息传输的媒体，通过隧道封装技术、信 息加密技术以及用户认证技术等实现用户信息通过公共网络环境的安全传输。 v p n 技术与防火墙等基于边界网络的网络安全技术是互补的，防火墙技术侧重 于对私有网络内部资源的访问进行控制，而v p n 则侧重于提供跨越防火墙安全 访问私有网络资源。 皇王型垫盔堂堡圭丝壅! 堇王! 堕竖塑些盟! 型鬯茎堕笪窒兰壅堡一 安全性的保障和企业成本的大幅度降低所带来的巨大的市场潜力已使v p n 成为i n t e r n e t 应用的一个热点，被许多公司争相采用。 1 2 国内外动态 v p n 高性价比及灵活性等优势，使之具有巨大市场潜力。美国通信杂志将 i pv p n 技术评选为2 0 0 1 年的十大热门技术之一。我国的信息产业部已经将i p v p n 业务明确定义为一种电信增值业务，向社会开放。 目前大型网络厂商都把y p n 作为重要市场目标，诸如3 c o m 、c i s c o 、n o r t e l n e t w o r k s 、l u c e n t 和s h i v a 公司等纷纷出击，提供各具特色的v p n 解决方案。 然而由于信息安全领域的特殊性，受我国进出e l 和计算机及信息安全法律限制， 国内v p n 市场则必将逐渐由我们国内的厂商来占领。现在随着国家安全部、国 家公安部以及信息产业部等信息安全指导部门相关规定和指导办法的出台，信 息安全被提到了一个更加显著和紧追的地位上。目前，国内市场对信息安全的 需求日益强烈，尤其是规模客户对网络安全的需求越来越紧迫。因此，我们提 出了本课题的研究。 1 3 课题目的及意义 目前v p n 技术已被众多公司采用，v p n 带来的经济性和便利性已不容置疑 了。在追求经济利益的同时，越来越多的公司关照其安全性。目前流行的、成 熟的隧道封装协议有：基于第二层的l 2 t p 协议和基于第三层的i p s e c 协议。但 是l 2 t p 隧道传输协议本身没有为通信提供任何形式的安全保障，存在比较明 显的安全漏洞，如：本身不提供任何加密手段等这对高安全要求的企业内部 网是不可容忍的。而以安全性强备受欢迎的i p s e c ( i ps e c u r i t y ) 因其协议本 身的一些制约原因并不被用于独立构建远程接入型v p n ，而且不提供q o s 保证， 如何在现有的理论研究基础上更进步的改进提高安全性和灵活性，满足企业 发展的需求呢? 这正是本课题致力于探讨的。 本毕业论文就是要学习把握当前的v p n 技术，实现v p n 网关的主要功能， 并在现有的理论基础上提出构建安全v p n 网关的改进方法和理论探索。论文研 究的目的是旨在寻找一种适合于v p n 的网络安全策略与措施，从而保证虚拟专 用网上数据的安全性和保密性。 1 4 本人所做的工作 “凯源天然气自动化调度系统”属于横向合作项目，由成都华利达科技进 2 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 行需求分析，重庆凯源石油天然气有限责任公司提供协助。利用v p n 低成本和 安全性建立安全网关，是其中一个主要组成模块。本人参与了该模块的模型构 建、概要设计、详细设计、编码、调试和测试的完整过程。 项目最终要构建一个v p ns e r v e r ，提供v p n 客户管理平台，开发基于v p n 技术的应用系统，通过v p ns e r v e r 进行远程监控和客户管理。该项目软件部分 主要包括两大组成部分：1 v p ns e r v e r ：主要由v p n 网关构成，通过严格的加 密技术和其他安全技术创建具有自己特色的服务器。2 v p n l a n a g e r ：客户管理 平台开发，为各用户提供系统维护，软件更新等服务并进行远程监控和管理客 户网络，处理各种可能出现的问题。其中第二组成部分可类似于网管的实现， 而本人主要负责第一部分v p n 网关的实现。此论文也主要围绕这部分内容展开。 1 5 内容安排 本文通过对v p n 相关背景和技术的理论研究，结合基于i p s e c 协议的v p n 网关的具体实现，在参阅当前国内外已有的文献基础上，最后从理论角度上提 出了改进i p s e c 构建安全的v p n 网关的构思。 第一章引言 介绍课题背景、研究工作的实用价值和理论意义，以及本人在该课题中担 任的主要工作和论文内容安排 第二章虚拟专用网v p n 介绍v p n 相关背景知识、概念、优点、应用类型和基本技术 第三章隧道技术 详细介绍目前v p n 通常采用的隧道技术即l 2 t p 和i p s e c 协议，并对基于这 两种隧道技术的v p n 模型进行了比较分析和研究 第四章v p n 网关设计与实现 详细阐述了基于i p s e e 的v p n 网关的具体实现，并给出了详细设计过程和 模块代码 第五章改进v p n 的实现 从i p s e c 协议本身和应用于远程接入v p n 两个方面，从理论上提出改进措 施r 下一步研究工作可在此理论基础进行实践验证和进一步研究 第六章结论 总结了全文的工作 3 。皇王型堇盔堂堡主丝塞! 苎王! ! ! 竺堡望塑! 型塑差堕堑墅兰壅翌 第二章虚拟专用网v p n 本章将概述v p n 相关背景、概念、类型和所涉及的技术。 2 1v p n 发展背景 随着社会的进步和技术的发展，信息的分布处理的趋势越来越明显。从2 0 世纪 7 0 年代末期开始，在基础科学和工程领域开始使用个人计算机处理信息。后来随着 个人计算机的普及和发展，局域网技术应运而生，它将公司内的多台个人计算机连 接起来，能够实现信息在本地的共享和分布式的处理。随着局域网应用的不断扩大， 局域网的范围也不断扩大，从本地开始延伸到跨地区、跨城市甚至是跨国家，于是 就诞生了能够将地理上分布的l a n 连接起来的广域网技术。 专用网是种能够把l a n 连接起来的w a n 技术。早期的数据业务并不是十分发 达，专用网互联的介质一般采用租用电缆，用户数据信息根据事先约定的协议，在 固定的时隙以预先设定的通道带宽和速度顺序传输，业务一旦开通，相关网络资源 便为该用户独占，不管它是否真正在使用。专用网可以同时支持多种协议，比如帧 中继、a t m 和i p 协议等。高性能、高速度、高安全性、支持多种承载技术是专用网 的明显优势，但由于专用网的专用性和严格性，专用网的费用也非常昂贵：而且一 旦建成专用网，要在其上增加新的站点、合作伙伴或获得广泛的国际连接都将需要 巨大的工程量和投入；另外，也不容易升级专用网。 随着分组技术的不断发展以及用户终端的日益智能化，出现了替代传统的租用 物理线路的帧中继技术。帧中继传输链路使用逻辑连接而不是物理连接，可以在 个物理连接上支持多个逻辑连接，实现了对信道的动态复用，因此带宽利用率高了 很多；另外，帧中继技术通过支持虚呼叫建立虚电路连接传送服务，逻辑连接可以 按需建立。因此人们开始使用帧中继技术组建专用网络。从帧中继网络的特性来说， 可以认为它是最早的v p n 业务( 即基于帧中继的v p n ) ，因为基于帧中继的网络已经 不再是为物理资源的独占，而是开始变成“虚拟”的专用网络了。 后来出现的a t m 技术，虽然摈弃了电路交换中采用的同步时分复用，改用了异 步时分复用，具有了高带宽，综合传送话音，数据和图像等业务的能力的优势，但 其逻辑连接的特性与帧中继没有什么不同，因此仍然是一种二层逻辑链路层技术。 随着a t m 技术的不断发展和成熟，组建专用网络时越来越多的使用a t m 技术。 基于a i m 帧中继的v f n 都能够降低租用线路的费用，同时达到专用网络的要求， 因此在全球目前得到了广泛使用。但基于a t m 帧中继的v f n 仍然存在费用较高，维 4 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 _ _ _ - _ _ - - _ _ _ _ _ _ 一一一 护和升级困难的问题。随着网络经济、电子商务的迅猛发展，企业规模越来越大， 所跨地域越来越广，合作伙伴越来越多，传统企业网基于固定地点的专线或虚拟专 线的连接方式，已难以适用现代企业发展的需求。企业用户已经不仅仅满足于基本 的网络互联能力。而是在网络的灵活性、安全性、经济性和可扩展性等方面都提出 了更高的要求。面对数据流量的不断增大，用户需求的不断提高，运营商也不能停 留在以往的d d n 专线和删帧中继业务上，必须能够更为有效地利用自己网络资源， 更为迅速地响应客户需求。 现在因特网已经发展成为公司和个人的重要通信手段，企业所面临的挑战是既 要充分利用这种发展，又要确保通信受到保护，同时还要使用企业所需要的高级管 理服务。越来越多的分支机构、越来越多的移动办公人员，也使企业对网络的需求 越来越高，促使企业重新考虑其广域网战略。为了满足用户的需求，随着i p 技术的 不断发展和成熟，于是就诞生了i pv p n 业务。i pv p n 以其独具特色的优势，赢得了 越来越多的企业运营商的青睐，令企业可以较少地关注网络的运行与维护，但却能 够高效的使用网络，更致力于企业核心商业目标的实现：同时令运营商可以更好地 利用网络资源，获得增值收益。利用多种网络技术，如后面将要介绍的i p s e c 、l 2 t p 等，可以使v p n 跨越i p 网、a t m 网和帧中继网等多种网络存在，以i p 无以伦比的灵 活性大大增强v p n 业务的扩展能力。在保证基本网络连接的同时，端到端的q o s 保 证能力使语音、数据、视频等业务都完全可以承载于v p n 网络，可以更为有效得利 用网络资源，提供视频会议、远程教学等各种多媒体应用。 2 2v p n 概念 简单地讲：v p n 就是利用开放的公共网络建立专用数据传输通道，将远程的分支 办公室、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信 的种广域网技术。v p n 本质上是一种网络互联型业务，通过共享的网络基础架构满 足企业互联需求，在共享使用网络资源的同时具有与专网一样保证用户网络的安全 性、可靠陛、可管理性。v p n 业务并不限制网络的使用，它既可以构建于因特网或互 联网运营商( i s p ) 的i p 网络之上，也可以构建在帧中继( f r ) 或异步传输模式( a t m ) 等网络基础架构之上。( 本课题只是针对i pv p n ) 。 v p n 有两种含义：第一，它是虚拟的网，既没有固定的物理连接，网络只有用户 需要时才建立；第二，它是利用公用网络设施构成的专用网。作为一种服务，v p n 使 得用户感觉好像直接和他们的个人网络相联，实际上这种连接是通过服务商来实现 的。 v p n 网络可以满足不同的应用及业务需求，如图2 1 所示： 5 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关神研塞量实埋 图2 1 v p n 网络示意图 企业使用v p n 服务器保护敏感的服务器系统，任何经过企业授权的用户，包括 远程办公网络用户、移动用户、客户、合作伙伴，均可利用v p n 技术提供的方便性 和安全性通过i n t e r n e t 访问企业内部服务器，形成一个构筑在i n t e r n e t 上的企业 虚拟网络。采用v p n 网络结构，可有效降低企业投资在网络建设、网络管理以及网 络运行方面的成本，同时为企业构建新型的电子商务模式提供必要的安全网络平台。 2 3v p n 优势 2 3 1 节约企业成本 许多调查指出，如下表2 一l 所示：对于正在使用专线或远程拨号方式组建企业 i n t r a n e t 的企业，如果使用v p n 产品代替传统的组网方式，可以节约大量的运营成 本，甚至达到6 0 - - 8 0 。这些节约成本包括： 租用专线所涉及的设备和通讯成本 远程拨号所涉及的设各和通讯成本 对上述设备的管理和维护成本表 表2 - iv p n 与其它组网方式的比较 6 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 比较项目 v p n 远程拨号专线 通讯平台 低 p s t n d d n ，微波等 通讯费用 低高高 设备投资 低较高尚 日常维护成本 低 高高 支持的用户类型移动用户、局域网移动用户、局域网局域网 系统扩展成本 低 月日 2 3 2 实现企业可伸展性 现代企业的组织结构和商务活动通常是非常灵活的，需要不断适应新的市场环 境和商业机会。使用v p n 可以保持企业工作人员在任何情况下都能够快速地和安全 地完成信息的内部交换，并适应企业网络规模的迅速发展。 v p n 是建立在i n t e r n e t 基础上的，企业的商务人员在任何地方都可以使用v p n 与企业保持信息的实时交换 通过对用户使用v p n 的权限授权，企业可以随时建立一些虚拟的工作团队， 并在任务完成后将其解散 企业只需要在必要时扩大其i n t e r n e t 的使用带宽，即可以满足不断发展的网 络规模 v p n 用户的增加和删除只是逻辑上的操作，无须专门的物理设备和连接 2 3 3 保证企业电子商务平台安全可靠 企业电子商务平台能够将企业的生产、管理、营销以及客户服务等活动有效地 结合起来，在建立电子商务平台的同时必须保证机密信息的安全陛和使用人员的可 控性，采用v p n 可以保证企业电子商务平台的安全可靠。 保证了企业内部机密数据的安全性 保证了对不同用户使用电子商务平台的权限的可控性 保证用户通过电于商务平台进行信息交换的安全和可靠 2 3 4 有效防止内部泄密 使用v p n 之后，企业内部重要的数据可以在不被侵扰的情况下经过加密后进行 线路传输并被安全存储。同时企业可以有效地对内部资源的使用者进行权限管理， 并记录所有的重要的通讯过程。 2 4v p n 类型 7 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 从i pv p n 的服务方式看，大致有三种不同的应用类型，分别是：远程访问 虚拟专网a c c e s sv p n ：即利用公共网络的拨号及接入网( 比如p s t n 和i s d n ) ， 实现虚拟专用网，为企业、小型i s p 、移动办公人员提供接入服务。( 可以是拨 号接入也可以是专线接入) ；企业内部虚拟专网i n t r a n e tv p n ：即将企业总部企 业网与分支机构的企业网连接起来；外联虚拟专网e x t r a n e tv p n ：即将企业网 与企业的合作伙伴，如供应商和客户连接起来。 根据v p n 网络技术实现的方式和拓扑结构，后两种可归为网络v p n 结构，第一 种为远程访问v p n 结构。 ( 1 ) 网络v p n 结构 图2 - 2 网络v p n 结构 如上图2 - 2 所示，网络a 与网络b 使用内部网络地址，v p n 服务器需要有固定 的i n t e r n e t 公共i p 地址，两个网络间通过v p n 服务器在i n t e r n e t 上建立v p n 连接。 各局域网中的终端无需安装任何软件，网络a 中的终端在访问网络b 中的应用服务 器时，就象在访问其所在局域网内部的服务器一样，反之亦然。 ( 2 ) 远程访问v p n 图2 - 3 远程访问v p n 结构 8 皇王型垫奎堂堡圭笙壅! 茎王! 竖! ! 垫望堕! 型塑苤塑竺窒兰壅堡一 如上图2 - 3 所示，局域网使用内部网络地址，v 烈服务器需要有固定的i n t e r n e t 公共i p 地址，远程终端和移动用户可以使用固定的公共地址或动态分配地址与 i n t e r n e t 建立连接。移动用户和远程终端可以使用v p n 客户端软件与v p n 服务器建 立加密的连通隧道，并访问局域网内受到v p n 服务器保护的匣用服务器。 i e t f 建议的v p n 包括三类：拨号v p n 、虚拟专线v l l 、路由v p n 。 ( 1 ) 拨号v p n ( v i r t u a lp r i v a t ed i a ln e t w o r k s ，v p d n ) 指利用公共网络的拨 号及接入网( 比如p s t n 、i s d n ) ，实现虚拟专用网，为企业、小型i s p 、移动办公人 员提供接入服务，适用于地点分散、人员分散、对线路的保密和可用性有一定要求 的用户。v p d n 拨号接入的v p n 业务，主要是实现客户一服务器方式的应用l 2 t p 。 ( 2 ) 虚拟专线v l l ( v i r t u a ll e a s el i n e ，v l l ) 是一种最简单的i pv p n 技术， 它为用户提供数据链路层的点到点链路。比较常见的是利用a t m 、f r 和l v i p l s 链路封 装来提供v l l 。在链路层上同时存在两个链路，比如：a t m 和i p 隧道，数据在这两 种链路上按照接力的方式进行传输。对于现有的a 和f r 专线业务的模拟，只能够 实现点到点的v p n 隧道，不具有v p n 成员动态加入功能以及v f n 成员之间的路由网 络i p s e c 、g r e 等。 ( 3 ) 路由v p n ( v i r t u a lp r i v a t er o u t e dn e t w o r k s ，v p r n ) 是对多点专用广域 路由网络的模拟，v p r n 将利用公共i p 网络，在多个v p n 成员间建立起一个虚拟的隧 道网络。这种方式与v p d n 和v l l 都有所不同，通过使用v p r n ，可以在多个v p n 成员 之间建立一个完善的虚拟网络。v p r n 专线接入的v p n 业务可以实现网络的v p n 网络 和v p n 成员的动态加入i p s e c 、g r e 、m p l s 等。 2 5v p n 技术 v p n 的技术核心主要在于隧道技术和安全技术。 2 5 1 安全技术 基于i n t e r n e t 的v p n 首先要考虑的就是安全问题。能否保证v p n 的安全性，是 v p n 网络能否实现的关键。一般系统可以采用下列技术保证v p n 的安全：口令保护、 用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防 火墙把用户网络中的对外服务器和对内服务器隔离开。目前v p n 技术已经能够提供 如下表2 2 所示的安全能力： 表2 2v p n 安全技术 9 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 安全需求v p n 使用的安全技术 保i 正通讯端点身份的真实性、是否与其声明的身份同一身份验证技术 保证通信过程中数据是否隐藏数据加解窗技术 能及时发现通讯过程中数据是否被人截获或被簋改数据的完麓1 生验证技术 保证不同安全级别的资源只能被授权的用户访问访问控制技术 所有的通讯过程是否被严格记录。并可从记录中追溯到攻击的来源审计记录技术 保证用户无法对已发生的操作和访问过程予以否认抗抵籁公证技术 其中加解密技术是数据通信中一项比较成熟的技术，v p n 可直接利用现存技术。 身份认证技术也是相对比较成熟的一类技术，常用的是使用者名称与秘密或卡片式 认证等方式，因此可以考虑对现有技术的集成。 2 5 2 隧道技术 典型通道建立技术主要是专线连接技术和拨号连接技术。为了减少这种技术带 来的成本开销和管理开销，目前的v p n 的建立过程中通常采用的方式就是“安全隧 道”方式。安全隧道是指通过公共网络将企业内部各分支机构、移动雇员以及其他 企业连接起来所建立的加密隧道，即隧道技术。 隧道技术就是通过将待传输的原始数据经过加密和协议封装处理后再嵌套装入 另一种协议的数据包中，像普通数据包一样发送到网络中进行传输，实现跨越公共 网络传送私有数据包的目的。 在隧道的入口处，即源端要对经过隧道传输的数据包进行分段、加密、封装等 处理。而在隧道的出口，即宿端要对经隧道中传输过来的数据包解封、解密、重新 组装等处理，还原出原始的数据包。然后根据数据包中的目的地址进行处理：如果 数据的目的地址就是本节点，就把数据包送给上一层处理；如果不是，则进行转发。 也就是说，只有源端和宿端对隧道中的数据包( 嵌套信息) 进行解释和处理，对其 他节点而言数据包不能被解释和处理。 无论哪种隧道协议都是由传输的载体、不同的封装格式以及数据包组成的。传 输协议被用来传送封装协议，其中i p 是常见的传输协议，这是因为i p 具有强大的 路由选择能力，可运行于不同介质上并且应用最为广泛。比如用户想通过i n t e r n e t 将其分公司网络连接起来，但他的网络环境不是i p x ，这时用户就可以使用i p 作为 传输协议，在i n t e r n e t 上传递i p x 数据。隧道协议的本质区别在于用户的数据包是 被封装在哪种数据包中传输的。 用于实现v p n 的隧道协议应当具有隧道的复用能力、建立和维护隧道的信令协 议、保证数据的安全性、支持多协议传输、具有帧排序能力、隧道维护的能力、处 l o 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 瑾擀u 闯黻酶能力、其有满遣开销( o v e r h e a d ) 韵溅小耗、避行流豢藕穗塞控翩以 及q o s 与流量管理等能力。 2 6v p n 相关协议 目前镁用眈较广泛韵协议如下： ( 1 ) 第二层转发协议l 2 f ： l 2 f 是由c i s c o 公司提出的可以在多种媒介( 如a t m 、帧中继、i p 网) 上建立多 协议的安全v p n 通傧方式。远程用户自够通过拨号方式接入公共i p 网络，首先按常 规方式拨i s p 的接八服务器n a s ，建立p p p 连接；n a s 根据用户名等信息，发超第二 重连接，通向h g w 服务器。农这种情况下隧邋的配置、建立对用户是安全透明的。 ( 2 ) 点弱点隧道协议p p t p ： 点至点隧道协议p p t p ( p o i n t t o - p o i n tt u n n e l i n gp r o t o c o l r f c 2 6 3 7 是对 点剡点协议p p p ( p o i n t - t o - p o i n tp r o t o c 0 1 ) 的扩展，由m i c r o s o f t 和a s c e n d 开发。 p p t p 使用种增强的g r e 封装机制使p p p 数据包按隧道方式努越i p 网络，并对传送 的p p p 数辩流迸彳亍流量控制和拥塞控制。p p t p 并不对p p p 协议进行任何修改，只提 供了一种传送p p p 的机制，菇增强了p p p 的认证、压缩、加糍等功能。由于p p t p 基 予p p p 协议，因耐它支持多种网络协议，可将i p 、i p x 、a p p l e t a l k 、n e t b e u i 的数 据包封装予p p p 数据帧中。 p p t p 协议定义了一种夔于客户服务器豹体系结构，把目前网络访问服务器的功 能分离为访问集中器p a c ( p p t pa c c e s sc o n c e n t r a t o r ) 和网络服务器p n s ( p p t p n e t w o r k s e r v e r ) 。p p t p 静两络服务器p n s 怒运行予一个通用的操作系统上，猩公司 私宥网内。鬻户端及p p t p 的访问集中器p a c 可以运行在一个支持拨号访问的平台上。 邃程焉户健矮本逸拨号网络与p a c 建立一条p p p 连按，p a c 霞瘸一条隧道将p p p 数据 包传送给p n s 。p p t p 定义了一个能对使用诸如p s t n 、i s d n 或其它电话( 如交换连接 线路) 静羧入谤阉逑 亍控番l 鞠管理豹旃议。p p t p 漭议完成p a c 和p n s 之闻的p p p 协 议数据单元p d u 的传送、访问控制和管理。 豁) 第二层隧遥褥议潞p ： 第二层隧道协议l z t p ( l a y e r 啊ot u n n e l i n gp r o t o c o l r f c2 6 6 1 ) 是由 m i c r o s o f t 帮c i s c o 开发静黼道协议，它综合了p p t p 帮l 2 f ( l a y e r t w o f o r w a r d i n g r f c2 3 4 1 ) 的优点。参考3 1 节内容。 ( 匐通溺路由封装协议g r e ： g r e 在r f c l 7 0 1 r f c l 7 0 2 中定义，它规定了怎样周一种网络层协议去封装另一种 潮络层协议的方法，g r e 的隧道由其两端豹潦i p 地址和哥的护地址来定义。它允许 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 用户使用i p 封装i p 、i p x 、a p p l e t a l k 并支持全部的路由协议如r i p 、o s p f 、i g r p 和e i g r p 。因而用户可以通过g r e 封装利用公共i p 网络连接i p x 网络、a p p l e t a l k 网络，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的i p 地址。g r e 包头中包含了协议类型用于标明用户协议的类型：校验和包括了g r e 包头和完整的用 户协议和数据：密钥用于接收端验证接收的数据；序列号用于接收端数据包的排序和 差错控制：路由用于本数据包的路由。g r e 只提供了数据包的封装，它并没有加密功 能来防止网络侦听和攻击。 通用路由封装g r e 是多协议封装。当第一种协议的网络层数据包要封装进第二 种协议的网络层数据包时， r f c i 7 m 将内层数据包称为净荷包( p a y l o a dp a c k e t ) ， 外层数据包则称为分发包( d e l i v e r yp a c k e t ) 。g r e 的封装是将g r e 报头放在净荷包 和分发包之间。报头中各个域的填写应依据 r f c l 7 0 1 。i p 中从家乡代理到外地代理 的隧道的情况，就是净荷包和分发包都采用i p v 4 的情况。 ( 5 ) i p s e c 协议： i p s e c ( i ps e c u r i t y ) 即i p 安全协议，支持i p 网络上的数据的安全传输。目 前比较成熟，应用广泛。参考3 2 节内容。 ( 6 ) 多协议标记交换归l s ： 仲l s 通过对数据包添加标记，通过交换的方式，保证了数据包到达正确的目的 地。它是基于标记的i p 路由选择方法。这些标记可以被用来代表逐跳式或者显式路 由，并指明服务质量( q o s ) 、虚拟专网以及影响一种特定类型的流景( 或一个特殊用 户的流量) 在网络上的传输方式的其它各类信息。它具有与其他协议相同的安全性。 各个协议的详细比较见下表2 3 所示： 表2 3 协议比较 1 2 电子科技大学硕士论文：基于i p s e c 协议的v p n 网关的研究与实现 p p t pl z i p砸口i p口s e c服l s 网络层数据链路数据链路网络层 网络层网络层网络与链路层之 汝层 层间 乘客协多种多种多种 i p 口 多种 议 保密有建立时胃无无青e s p无 、认证有有仅认证包的无有e s p , , , u无 源 适用范拔孵拨号用户鼹络主机网主机，网 多标签交换网络 围络络 从表2 - - 3 可以看出，当主要是拨号用户接入的情况下，采用p p t p 或l 2 t p 协议 最为合适；当接入者为网络和主机的情况下，采用i p i p 协议或i p s e c 协议较为适合。 在安全f 生要求高的情况下，应该首选l 2 t p 和i p s e c 协议。 在后面几章中将详细分析研究当前v p n 最常用的两个协议即i p s e c 协议和l 2 t p 协议，并在对比分析基于这两种协议的v p n 模型基础上，提出本课题的方案。 1 3 皇王型垫盔堂堡圭笙塞：堇王! 堕! ! 垫墼堕! 型旦羞盟婴窭量壅里一 第三章隧道技术 本章首先分析研究当前最常用的两种隧道技术l 2 t p 和i p s e c ，然后对比研究基 于这两种协议的v p n 模型，在此基础上提出本课题方案。 3 1 第二层隧道协议l 2 t p 3 1 1 概念 第二层隧道协议l 2 t p ( l a y e rt w ot u n n e l i n gp r o t o c o l r f c2 6 6 1 ) 是由 m i c r o s o f t 和c is c o 开发的隧道协议，它综合了p p t p 和l 2 f ( l a y e rt w of o r w a r d i n g r f c2 3 4 1 ) 的优点，支持多协议，而且可以把多个物理通道捆绑成单一逻辑信道， 不仅使数据的传输率大大地提高，更由于单一数据流同时在多个物理信道上并行传 输，可以有效地防止通过对物理信道的监听而出现的数据泄露或篡改，极大地提高 了数据的安全性和有效性。其帧封装如图3 一l 所示： 图3 1l 2 t p 帧封装结构图 p p p r f c1 6 6 1 定义了一种利用第二层( 数据链路层) 的点到点的链路传输多协 议数据包的封装机制。典型的用法是一个用户可以利用电话拨号网( d i a l u pp s t n ) 、 i s d n 、a d s l 等技术或手段获得一条数据链路层的连接，并在这条连接上运行p p p 。 这样，第二层链接的端点( t e r m i n a t i o np o i n t ) 和p p p 会话终点( s e s s i o ne n d p o i n t ) 就位于同一个物理设备上( 如网络服务器n a sn e t w o r ka c c e s ss e r v e r ) 。远程用户 可以利用拨号方式连接到服务器上，就好像是利用局域网连接- 样。 l 2 t p 是对p p p 协议的扩展，使用包交换网络( p a c k e t s w i t c h e dn e t w o r k ) 使 p p p 会话的终点与第二层连接的端点处于不同的设备上。使用l 2 t p ，用户首先通过 m o d e mb a n k 、a d s ld s l a m 连接到集中器l a c ( l 2 t pa c c e s sc o n c e n t r a t o r )