（计算机软件与理论专业论文）远程访问虚拟专用网在移动终端上的研究与实现.pdf

远程访闷虚拟专用阿旮移动终端一j ：的研究与实现： 摘要 摘要 虚拟专用网( v p n ) 是一种应用广泛的网络服务方式，随着互联网技术和无线网络 技术的迅速发展，远程访问v p n 技术在网络应用中扮演着越束越重要的角色。v p n 技 术为企业用户带来了更大的便利和自由，但这些自由也给传统的v p n 技术带来了挑战。 在方便地访问企业内部网并进行数据交换的同时，用户希望远程访问技术在移动性和安 全性上能够提供更加完善的支持目前，虚拟专用拨号网v p d n 技术是支持v p n 移动 用户的主要技术。随着c d m ai x 分组域网络技术的飞速发展和普及，基于c d m a 2 0 0 0 1 x 网络承载的v p d n ( 也称为无线虚拟专用拨号网、w p d n ) ，使用户不受地点限制就 可以随时随地灵活地访问企业内部网。 本文首先介绍了主要的v p n 相关技术，并对本文提出的方案所要应用的i p s e e 安全 体系结构做了重点描述和分析。在此基础上，本文从分析当前虚拟专用网技术对移动用 户的支持情况入手，对v p d n 技术进行了重点分析并指出了该技术存在的安全问题和不 足。然后以i p s e e 为立足点并结合实验室已有的关于基本移动i p 协议和穿越n a t 设备 的移动职系统的研究成果，给出了一套支持移动用户通过口网络穿越v p n 网关安全访 阿企业私有网络的解决方案m - i p s e ev p n 解决方案。该方案对基本的移动i p 协议 做了简单的改动，将移动i p 协议优越灵活的移动访问特性与i p s e e 高度安全的优点较好 的结合，为用户提供了一个安全，方便，透明的远程访问网络环境最后。我们系统的 实现了方案中最为重要的i p s e e 安全模块，为今后与已有的移动i p 系统整合，实现整个 移动v p n 解决方案奠定了的基础。 一直以来，网络安全系统的实现大多是在国外的操作系统上面进行的对于操作系 统内部的实现及运行情况我们无法涉及，在这种情况下即使上层安全机制无懈可击，系 统整体的安全性还是受制于操作系统而无法得到保证。处于这样的考虑，本文所实现 i p s e e 系统安全模块是基于h o p e n 操作系统的，它是一个由我们自主研发的，具有自主 知识产权的嵌入式操作系统。该模块的实现完全依托于我们自己的技术，从基本的底层 操作系统到上层网络应用，我们都能进行很好的控制，因此该系统模块的实现工作有着 很大的现实意义。 关键词：远程访问，v p n ，v p d n ，网络安全，i p s e e ，移动i p 远程访问摩拟专用同在移动终端j ：的研究与实现l a b s t r a c t t h er e s e a r c ha n di m p l e m e n t a t i o no fr e m o t ea c c e s sv i r t u a lp r i v a t e n e t w o r ko nt h em o b i l e r e r m i n a ld e v i c e w a n gg u a n g ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d i r e c t e db yz h o n gx i c h a n g v i r t u a lp f i v m en e t w o r k ( v p n ) i saw i d ea p p l i e dw a yt op r o v i d en e t w o r ks e r v i c e s w i t h t h er a p i dd e v e l o p m e n to fi n t e m e ta n dw i r e l e s st e c h n o l o g y , v p np l a y sa l l i n c r e a s i n g l y i m p o r t a n tr o l e i nt h ea p p l i c a t i o no fn e t w o r k s a l t h o u g hi to f f e r s e n t e r p r i s eu s e r sm o r e c o n v e n i e n c ea n dm o r ef r e e d o mf o ra c c e s s i n gt h e i rp f i v a t en e t w o r k ，t h ef r e e d o ma l s ob r i n g c h a l l e n g e st o t h et r a d i t i o n a lt e c h n o l o g yo fv p n w h e na c c e s s i n gp r i v a t en e t w o r ka n d e x c h a n g i n gi m p o r t a n td a t a , u s e r sn e e dc r e d i b l es u p p o r to fm o b i l i t ya n ds e c u r i t yp r o v i d e db y t h er e m o t ea c c e s st e c h n o l o g y v i r t u a lp r i v a t e d i a l u pn e t w o r kf v p d n ) i st h ep r i m a r y t e c h n o l o g yf o rt h em o b i l ev p nu s e r s 砒t h ep r e s e n tt i m e a l o n g 、i t l lt h ed e v e l o p m e n to f c d m a2 0 0 0i xp a c k e tn e t w o r k , t h ew i r e l e s sv p d n ( w v p d n ) w h i c hi sb a s e do nt h e c d m ai xn e t w o r k , p r o v i d e sg r e a tc o n v e n i e n c ef o ru s e r s 幻a g i l e l ya c , e s si n t r a n e tw i t h o u tt h e c o n s t r a i n to f t i m ea n dl o c a t i o n f i r s to f a l lt h i sd i s s e r t a t i o ni n t r o d u c e ss o m ei m p o r t a n tt e c h n o l o g i e sw i t hr e g a r dt ov i r t u a l p r i v a t en e t w o r ka n dm a i n l yd e s c r i b e st h ea r c h i t e c t u r eo fi p s e eu s e di nt h em o b i l ev p n s o l u t i o np r o p o s e db yt h i st h e s i s t h e nt h ed i s s e r t a t i o np o i n t so u tt h es e c u r ep r o b l e m sa n d s h o r t c o m i n g so fc u r r e n tv p nt e c h n o l o g yf o rm o b i l eu s e r sb ya n a l y z i n gt h e s em e t h o d si n d e t a i l m o s ti m p o r t a n t l yt h i sp a p e rp r o p o s e das o l u t i o nt om a k ei tp o s s i b l et oa c c e s si n t r a n e tb y s e c u r e l yg e tt h r o u g hg a t e w a y s ，c a l l e dm i p - i p s c cv p ns o l u t i o n , w h i c hc o m b i n e st h ei p s e e p r o t o c o l sa n dr e s e a r c hr e s u l t so f t h em o b i l ei ps y s t e m sb yf o r m e rr e s e a r c h e r si nm yl a b t l l i s s o l u t i o nn e e d ss i m p l ec h a n g e si nt h eb a s i cm o b i l ei pp r o t o c o l s f u r t h e r m o r e , i ti n t e g r a t e st h e e x c e l l e n t a c c e s s i n g m o b i l i t y o f m o b i l e i p w i t h t h eh i g l ls e c u r i t y o f i p s e e i n o r d e r t o p r o v i d e a t r a n s p a r e n ta n dc o n v e n i e n tn e t w o r ke n v i r o n m e n tf o rt h ee n t e r p r i s eu s e f s f i n a l l y , w ed e s i g n a n di m p l e m e n ta l li p s e es e c u r i t ym o d u l ew h i c hi st h em o s ti m p o r t a n tp a r to f o u rs o l u t i o n n e i m p l e m e n t a t i o nw o r ki a y sas o l i df o u n d a t i o nf o rt h ec o m b i n a t i o n 、撕t l lt h ef o r m e rm o b i l ei p s y s t e ma n dt h ef m a lm i p i p s e cv p ns y s t e m m o s t l yt h ei m p l e m e n t a t i o no fs e c u r i t ys y s t e m sw a sp u ti np r a c t i c eo nt h ef o r e i g n o p e r a t i n gs y s t e m s a sar e s u l t , t h es e c u r i t yo ft h ew h o l es y s t e mi se n s l a v e dt ot h eo p e r a t i n g s y s t e mt h o u g ht h eu p p e rl e v e la p p l i c a t i o n sh a v ee n o u g hs e c u r i t y , b e c a u s ew ec a n n o t u n d e r s t a n dt h ei n n e rs i t u a t i o na n df u n c t i o n so ft h eo p e r a t i n gs y s t e m b a s e do ns u c h c o n s i d e r a t i o nt h ed i s s e r t a t i o ni m p l e m e n t st h ei p s e es e c u r i t ym o d u l eo nh o p e no p e r a t i n g i i i 远程访问廓拟专用嘲在移动终端卜的研究与实现：a b s t r a c t s y s t e mw h i c hh a sa l li n d e p e n d e n tk n o w l e d g ep a t e n t t h i sm o d u l ei sr e s e a r c h e da n dd e v e l o p e d i n d e p e n d e n t l yo nt h eb a s i so fo u ro w nt e c h n o l o g ya n dw eg a l lp r e f e r a b l yc o n t r o lt h es y s t e m f r o mt h el o w e rl e v e lo st ot h eu p p e rl e v e la p p l i c a t i o n s i naw o r dt h ew o r ko ft h ed i s s e r t a t i o n s h o w sg r e a tp r a c t i c a ls i g n i f i c a n c ef o rt h ef u t u r er e s e a r c h k e y w o r d s ：r e m o t e a c c e s s ，v p n ，v p d n ，n e t w o r ks e c u r i t y , i p s e c ，m o b i l ei p 远程访问虚拟专用啊在移动终端卜r 的研究与实现。 幽目录 图1 1 图2 1 图2 2 图2 3 图2 _ 4 图2 - 5 图2 - 6 图2 7 图2 8 图2 - 9 图2 1 0 图3 一l 图3 - 2 图3 3 图4 1 图4 - 2 图4 3 图“ 图4 5 图5 1 图5 - 2 图5 3 图5 4 图5 5 图5 石 虚拟专用网逻辑概念示意图 p p t p 封装格式。 图目录 2 6 l 2 t p 封装格式 i p s e c 安全体系结构 i p s e c 的工作模式 a l l 协议数掘格式 e s p 协议数据格式 预共享密钥验证方式主模式图 数字签名验证方式主模式图。 公钥加密验证方式主模式图。 快速模式消息交换图 v p d n 网络结构示意图 无线虚拟专用网组网方案示意图 c d m a 分组域v p d n 业务数据交换流程 移动m 实体与v p n 网关的配置 注册消息流程 无线方式下m n 的网络协议栈 有线方式下m n 的网络协议栈 存在n a t 设备的网络环境 m i p i p s e ev p n 系统软件架构 发送过程。 接收过程 发送处理流程 接收处理流程 测试网络环境示意图。 m ：2 拍 加 加 殂 笼 ” 勰 弘 ” 卯 剪 钳 钙 钉 犍 h 声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含 其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名：王产 日期：砌饵卿蝈 论文版权使用授权书 本人授权中国科学院计算技术研究所可以保留并向国家有关部门或机 构送交本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 作者签名：王广 导师签名 譬遣i 日期：沁年纠- 丑 毫d 第一章圳苦 第一章引言 随着i n t c m e t 的普及，信息化的发展正在改变着企业传统的运作方式。越束越多的 企业都在逐步依靠计算机网络、应用系统来开展业务，同时利用i n t e m e t 来开展更多的 商务活动。越来越多的企业应用计算机和各类软件系统来处理企业业务，在全球各地拥 有多个分部。在每个分部的内部，通常具备一定规模的专用网络或内部网( i n t r a n e t ) 。如 何将位于不同地点的分支机构网络互联互通，就成了现代的企业必须解决的问题。以往 在跨地区的企业内部网络之间的互连是通过租用专线实现的，出差在外的人员如果需要 访问公司内部的网络，不得不采用长途拨号的方式连接到企业所在地的内部网。这些互 连方式价格非常昂贵，成为了企业很大的负担，很多企业无法利用这种方式来建立自己 的专网：而且在i n t e m e t 发展的早期，窄带线路的通信质量、带宽、以及资费，都无法 满足企业长期利用其来构建自身远程私有网络的需要。如今各种宽带上网方式( 如 a d s l 、城域网等) 都在迅速发展，带宽和通信质量已经不在是瓶颈，资费也极大的降 低，完全能够高效率、低成本的解决企业网络互联互通的需要。很多企业都建立自己的 内部网络并将之与因特网相连。很多企业存在分支机构，各分支机构之间通过互联网交 换数据。由于业务需要，一些企业员工具有非常大的流动性，他们有远程访闯企业内网 资源的要求，通过远程访问技术安全地连接到企业网络，并实现与企业网络的实时数据 交换。 在关注企业信息化进程的同时，企业网的信息安全也受到了人们的异常重视。人们 在使用互联网传递消息的时候，不得不担忧信息是否会泄漏，是否会放恶意篡改。其中 最严重的攻击包括口哄骗和各种的窃听和嗅探网包i n t e m e t 上存在的安全问题，使得 企业不敢直接利用互联网传递内部信息，同时又希望利用已经广泛存在的互联网来提供 服务，虚拟专用网技术( v t r t u a lp r i v a t en e t w o r k ，v p n ) 【1 】便在这种情况下应运而生。通 过采用专用的网络加密和通信协议，虚拟专用网可以在公共网络上建立虚拟的加密隧道。 构筑虚拟的安全的专用网络企业的跨地区的部门或出差人员可以从远程经过公共网络， 通过虚拟的加密隧道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟隧道 访问企业的内部网络。希望在家里办公的人可以通过虚拟专用网技术。利用现有的 i n t e m e t 接入公司的专用网，就仿佛身处办公室一般的利用公司内部的资源，从而有效的 达到了家庭办公的目的。 1 1 虚拟专用网技术概述 虚拟专用网是一种利用隧道技术把两个或多个专用网络通过公共网( 通常指 h t c r n e t ) 安全的连接到一起，组成虚拟统一的专用网的技术。主要用于实现安全的数据 远程访问虚拟专用嘲在移动终端上的研究与实现 传输的目的。虚拟专用网是对企业内部网的扩展，可以帮助远程用户、公司分支机构， 商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟 专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；也可用于实现 企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户。 图1 1 说明了v p n 的逻辑概念v p n 的一个重要的特征就是安全性，通过v p n 通 信的两台主机必须通过一个安全的通道( t u n n e l ) 。这个t u n n e l 是逻辑上的，并不真正存在， 因此通过数据的加密和认证使得数据包即使被截获也不容易破译从用户的角度来看， v p n 是一个v p n 的客户端与服务器端的端到端的连接，i n t e r n c t 等公共介质的网络结构 是无关紧要的，因为从逻辑上看，数据是在专用网上传输。v p n 使公司在地域上分割的 各个分部之间通过i n t e m c t 传输信息，信息必须在一个安全的通道中传播，从逻辑上看 就像一个w a n 上的专用网。 图i - i 虚拟专用网逻辑概念示意图 虚拟专用网主要功能包括数据加密，访问控制，信息认证和身份认证数据加密用 于保证通过公网传输的信息不会泄露，访问控制使得不同的用户有不同的访问权限，信 息认证和身份认证保证信息的完整性和合法性并能够识别用户的真实身份 根据网络连接方式的不同，v p n 可以分为以下几种类型： ( 1 ) 远程访问虚拟专用网( a c c e s sv p n ) 与传统的远程访问网络相对应在该方 式下远端用户不再是如传统的远程网络访问那样，通过长途电话拨号到公司远程接入端 v i ，而是拨号接入到用户本地的i s p ，采用v p n 技术在公众网上建立一个虚拟的通道。 ( 2 ) 企业内部虚拟专网( i n a a n c t n ) 与企业内部的i n t r a n c t 相对应。在v p n 技 术出现以前，公司两个异地机构的局域网想要互连一般会采用租用专线的方式，虽然该 方式也采用如隧道等技术，在一端将数据封装后通过专线传输到目的方解封装，然后发 2 第一牵引言 往最终目的地。该方式也能提供传输的透明性，但是它与v p n 技术在安全性上有根本 的差异。 ( 3 ) 扩展的企业内部虚拟专网( e x t r a n e t v p n ) 与企业网和相关合作伙伴的企业网 所构成的e x t r a n e t 相对应。此种类型与类型( 2 ) 没有本质的区别，但由于是不同公 司的网络相互通信，所以要更多的考虑设备的互连，地址的协调，安全策略的协商等问 题。 按照v p n 实现的网络层次进行分类 2 1 ，v p n 可以分为二层v p n 和三层v p n 。二 层v p n 是指构成v p n 的隧道封装在网络参考模型的第二层，即数据链路层上来完成。 客户将其三层路由映射到数据链路层的网络，提供商为客户的每个远端节点提供一个二 层链路。这种方式下客户路由对提供商是透明的。传统的v p n 大多是通过租用数据专 线( 帧中继或a r m ) 来组建的，都属于= 层v p n 三层v p n 是指在网络参考模型的第 三层( 即网络层) 利用一些特殊的技术来实现企业用户各个节点之间的互连。这种方式 下，提供商路由器参与客户三层路由，并管理与v p n 相关的路由表，将路由发布给远 端节点。 1 2 目前v p n 技术对移动用户的支持 随着各种无线数据网络包括无线局域网和移动通信网的飞速发展，网络覆盖愈来愈 广，主干网和接入网的传输速率越来越快，终端功能越来越强，两者融合所产生的移动 互联网正在逐步形成移动互联网技术和传统远程访问技术的结合，将给企业用户带来 无限美好的网络应用前景，它使得移动企业员工随时随地的与企业网进行安全数据交换 成为可能。但是，这种结合也给现有远程访问技术带来了挑战这里的远程访问不再是 一个静止的访问过程，它伴随着远程节点的移动和无线链路移动切换过程：无线接入网 络存在高误码率和低网络带宽等限制。在这种应用场景下，除了保证远端移动节点的远 程接入安全和数据交换安全外，还必须保证节点的移动和网络切换过程对上层应用透明。 总之，用户对移动v p n 远程访问的要求将越来越高。 现有的v p d n ( v m m lp r i v a t ed i a l - 叩n e t w o r k ) 【3 1 是对有线拨号方式接入互连网的 用户访问企业私有网络普遍采用的方式，随着c d m a 技术的不断普及，通过c d m a 2 0 0 0 l x 分组域网接入的w v p d n ( g r t r e l e s sv i r t u a lp r i v a t ed i a l - u pn e t w o r k ) ，是最近最为流行 的通过无线接入方式访问企业内部网方案。这些方案主要是基于v p d n 技术和l 2 t p 隧 道技术，由于这些技术本身存在着安全问题，因此在信息传递过程中给用户带来了极大 的安全隐患这些问题主要表现在以下几个方面： ( 1 ) l 2 t p 只定义了对隧道的终端实体进行身份认证，且c h a p 协议只提供单向认 证，即服务器对用户的认证，而不是认证隧道中流过的每一个数据报文这样的隧道无 法抵抗插入攻击和地址欺骗攻击 远程1 方问虚拟专用阿在移动终端j ：的研究与实现 ( 2 ) 出于l 2 t p 没有针对每个数掘报文的完整性校验，就有可能进行拒绝服务 ( d o s ) 攻击。 ( 3 ) 最为重要的是l 2 t p 本身不提供任何加密手段，当数据需要保密时，需要其 它技术的支持。 ( 4 ) 虽然p p p 报文的数据可以加密，但p p p 协议不支持密钥的自动产生和自动刷 新其中c h a p 协议要求密钥以明文形式存在易被盗取：l 2 t p 接入集中器和网络服务器 使用的是相同的密钥，一旦密钥在一方被窃取，攻击者即可以伪装身份与另一方通信； c h a p 使用的密钥是基于口令的，对于同一个用户每次都使用相同的口令，产生的密钥也 就相同，易遭受重放攻击。 针对这些问题，本文充分结合移动i p 技术和i p s e c 安全体系给出了一个移动v p n 解决方案，并对该方案进行了安全性分析。 1 3 本文的工作及组织结构 本文对移动终端远程访问企业专用网提出了解决方案，并对方案中的重点部分i p s e c 处理模块的设计和实现进行了介绍。本文第一章是引言，主要介绍了v p n 技术的背景， 现有v p n 技术对移动用户的支持，简单说明v p d n 存在的问题，并介绍了本文的工作 内容和组织结构；第二章介绍和分析了目前实现v p n 涉及的相关技术，并重点对本文 中移动v p n 方案所使用妒s e c 协议族进行了说明和分析；第三章是对以v p d n 技术为 核心的移动v p n 的介绍和分析，重点是指出其中存在的安全问题；第四章给出了一种 基于i p s e c 的移动v p n 安全方案并对该方案进行了分析：第五章是对方案中i p s e c 安全 模块的实现介绍，指出整体方案的软件构架，i p s e c 各个功能模块的实现和测试结果： 第六章是本论文的最后一章，总结了本论文的主要贡献，并讨论了下一步的研究工作 4 第二章虚拟专用髓相关理论 第二章虚拟专用网相关理论 在利用i n t e m e t 作为公共网络来实现v p n 的过程中，主要的核心技术是隧道技术。 因此，v p n 技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型 的有i p s e e 、l 2 t p 、p p t p 等。其中i p s e e 属于第三层隧道协议，l 2 t p ，p p t p 属于第二 层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的i p 数据包是被封装在何种 数据包中以及在隧道中传输方式。实现v p n 的隧道协议在o s i 七层协议模型中的位置 如表2 i 所示： 表2 - i 隧道协议在0 s i 七层模型中的位置 o s i 七层模 安全技术安全协议 型 应用层 应用代理 表示层 会话层 会话层代理 s o c k s v 5 s s i ，n s ，w 1 1s 传输层 网络层 l p s e c ，g r e 数据链路层包过滤 p p l p a2 f ，l 2 t p ， ，口l s 物理层 通过隧道协议，v p n 系统使某一分散的专用网络架构在公共网络上进行安全通信， 采用复杂度较高安全性较强的算法来加密传输的信息，保护敏感的数据。一个典型的 v p n 系统的处理过程如下： ( 1 ) 发起方建立隧道连接，其中涉及到密钥的协商和交换，隧道协议的确定等重要 信息。 ( 2 ) 连接建立后，私有网络内部主机将发送的明文信息交给v p n 设各处理，v p n 设 备将根据已协商的设置及配置规则，对数据进行必要的处理，如加认证，加密或者放弃 发送数据包等等。 ( 3 ) v p n 设备将处理后的数据包按采用的协议要求加上新的数据报头，其中包括目 的v p n 设备需要的安全信息和一些初始参数，数据封装结束以后数据包按路由指示通 过虚拟通道在公网上传输。 ( 6 ) 数据包到达目的v p n 设备后，按已协商的规则对数据包进行认证解密等工作， 5 远程访问虐拟专用嘲扛移动终端i 的研究与实现 并将数掘包发送给该设备所保护的私有网络内部的主机 在上述过程中采用何种加密方式，何种数掘封装形式等重要机制，足很多企业和科 研机构研究的重点，研究的直接成果就是上面所说的隧道协议，下面按照自底向上的顺 序对各层隧道协议进行介绍和分析，其中重点介绍本文所需要使用的i p s e e 安全协议族。 2 1p p l r p l 2 眦t p 协议 p p t p ( p o i n t t op o i n t t u n n e l i n g p r o t o c 0 1 ) 4 l 是一个由m i c r o s o f t 和a s c e n d 等公司开发 出来的数据链路层协议，r f c 2 6 4 7 草案对p p t p 协议进行了说明和介绍。p p t p 隧道的起 点和终点分别称为p p t p 接入集中器( p a c ) 和p p t p 网络服务器( p n s ) 。它支持多种网络 协议，可把i p 、i p x 、a p p l e t a l k 或n e t b e u i 的数据包封装在p p p 5 1 包中，再将整个报 文封装在p p t p 隧道协议包中，最后再嵌入i p 报文或帧中继或a t m 中进行传输。p p t p 用简单的包过滤和微软域网络控制来实现访问控制。p p t p 的加密方法采用m i c r o s o i t 点 对点加密算法，可以选用较弱的4 0 位密钥或强度较大的1 2 8 位密钥，该协议被w m d o w s ， l i n u x ，s o l a r i s 和m a co s 等多种操作系统所支持。在大多数情况下，p p p 数据包首先被 封装在通用路由封装g r e 协议中，然后再封装成i p 包在p a c 和p n s 之间传输，其格 式如图2 1 所示，g r eh e a d e r 中包含了被封装数据包的类型信息和流量、拥塞控制信息。 m e d i ah e a d e r i p h e a d e r g r eh e a d e r p p pp a c k e t 图2 - lp p t p 封装格式 p p t p 协议存在安全漏洞，监听p p t p 协议隧道数据是比较容易的，还可以通过畸形 数据包对p p t p 服务器进行拒绝服务攻击。 l 2 f ( l a y e r 2f o r w a r d i n g ) 【6 】协议由c i s c o 公司提出，位于t c p i p 的数据链路层。 l 2 f 远端用户按常规方式拨号到i s p 的接人服务器( n a s ) ，建立p p p 连接；n a s 根据 用户名等信息发起第二次连接，呼叫用户网络的服务器。隧道的配置和建立对用户足完 全透明的。l 2 f 允许拨号服务器发送p p p 帧，并通过w a n 连接到l 2 f 服务器。l 2 f 服 务器将数据包解封装后，转发至q 企业内部网络中。 为结合c i s c o 的第二层转发( l 2 f ) 和p p t p 的优点，i e t f 开发出l 2 t p ( l a y e r2 t u n n e l i n gp r o t o c 0 1 ) 协议阴，隧道的起点和终点分别称为l 2 1 1 p 接入集中器( l a c ) 和l 2 t p 网络服务器( l n s ) ，可用于建立强制型隧道和自发型隧道。l 2 t p 协议扩展了p p p 协议模 型，使与用户建立第2 层链路的设备( 如l a c ) 不需要具备n a s 的功能，n a s 服务器可 以位于i p 网络上的其它主机中。l a c 支持客户端的l 2 t p ，用于发起呼叫，接收呼叫和 建立隧道，l 2 t p 使得p p p 协议的终点延伸到l n s 第2 层链路设备只需要从本层链路 6 第二章虚拟专用罔相关理论 上获取用户的p p p 数据包，然后通过l 2 t p 隧道转发给n a s 服务器( 如l n s ) ，因此，p p p 会话的路径不再仅仅限制在第2 层链路上l 2 t p 的协议模型如图2 - 2 所示： i pl q 【e a d e r u d ph e a d e r l 2 t ph e a d e r p p pp a c k e t 图2 - 2l 2 t p 封装格式 在安全性考虑上，l 2 t p 仅仅定义了控制包的加密传输方式，对传输中的数据并不 加密。根据特定的网络安全要求可以在l 2 t p 之上采用隧道加密、端对端数据加密或应 用层数据加密等方案来提高数据的安全性。单独的l 2 t p 并不能满足用户对安全性的需 求，因此在实际中，通常是利用i p s e c 协议作为隧道协议封装传送l 2 t p 数据。 2 2m p l s 多协议标记交换 m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) 【8 】是基于标记的i p 路由选择方法这些标记 可以被用来代表逐跳式或者显式路由，并指明服务质量( q o s ) 、虚拟专网以及影响一种 特定类型的流量( 或一个特殊用户的流量) 在网络上的传输方式等各类信息。m p l s 可 以提供每个疋数据包一个标记，将之与口数据包封装于新的m p l s 数据包，由此决定 m 数据包的传输路径以及优先顺序，而与m p l s 兼容的路由器会在将i p 数据包按相应 路径转发之前仅读取该m p l s 数据包的包头标记，无须再去读取每个口数据包中的i p 地址位等信息，因此数据包的交换转发速度大大加快m il s 在弼络边缘的路由器( 也称 为标记边缘路由器l e r l 为数据包申请简单的标记，一个标记可以插在数据包的数据链路 层包头和网络层包头之间，或者直接承载在数据链路层包头中( 如a t m 中的v p i v c i ) 。 网络中的路由器( 核心设备称为标记交换路由器l s r ) 根据标记来转发数据包，m p l s 中 的隧道称为l s v ( 标记交换路径) 。m p l s 协议实现了第三层的路由到第二层的交换的转 换，可以使用各种第二层协议。m p l s 工作组到目前为止已经把在帧中继、a t m 和p p p 链路以及i e e e 8 0 2 3 局域网上使用的标记实现了标准化m p l s 在帧中继和a t m 上运 行的个好处是它为这些面向连接的技术带来了i p 的任意连通性目前m p l s 的主要 发展方向是在a t m 方面。这主要是因为a t m 具有很强的流量管理功能，能提供q o s 方面的服务，a t m 和m p l s 技术的结台能充分发挥在流量管理和q o s 方面的作用。标 记是用于转发数据包的报头，报头的格式则取决于网络特性在路由器网络中，标记是 单独的3 2 位报头；在a t m 中，标记置于虚电路标识符虚通道标识符( v c i v i a l ) 信 元报头中对于m p l s 可扩展性非常关键的一点是标记只在通信的两个设备之问有意义。 7 远程访问虚拟专用嘲在移动终端上的研究与实现 在网络核心，路由器交换机只解读标记并不去解析i p 数据包。m p l s 没有说明用户数 据加密机制以及用户的认证过程，安全机制是m p l s 需要完善的方面。当对于数据的加 密以及用户的认证有较高的要求时，需要将m p l s 与i p s e c 等安全协议结合起来使用。 2 3g r e 通用路由封装协议 g r e ( g e n e r i cr o u t i n ge n c a p s u l a t i o n ) 【9 】是由c i s c o 和n e t - s m i t h s 等公司于1 9 9 4 年 提交给i e t f 的，标号为r f c l 7 0 1 和r f c l 7 0 2 。g r e 的隧道由两端的源i p 地址和目的 i p 地址来定义，允许用户使用i p 包封装i p 、i p x 、a p p l e t a l k 包，并支持全部的路由协 议( 如r i p 2 、o s p f 等) 。通过g r e ，用户可以利用公共i p 网络连接i p x 网络、a p p l e t a l k 网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的i p 地址。g r e 只 提供了数据包的封装，并没有加密功能来防止网络侦听和攻击，所以在实际环境中，也 是常与i p s e c 在一起使用。g r e 协议的主要用途是企业内部协议封装和私有地址封装。 在国内，由于企业网几乎全部采用的是t c p i p 协议，因此在中国建立隧道时没有对企 业内部协议封装的市场需求。企业使用g r e 的唯一理由应该是对内部地址的封装。当 运营商向多个用户提供这种方式的v p n 业务时会存在地址冲突的可能性 2 4s o c k s v 5 与s s i ，n s w t l s s o c k s v 5 工作在o s i 模型中的第五层一会话层，它的优势在访问控制，因此适 用于安全性较高的v p n 由于s o c k sv 5 协议工作在会话层，所以它能同低层协议如 i p v 4 、i p s e c 、p p t p 、l 2 t p 一起使用用s o c l 岱v 5 的代理服务器可隐藏网络地址结构， 能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。s o c k s v 5 还可以根据规则过滤数据流。其缺点是性能比低层次协议差，必须制定更复杂的安全 管理策略。s o c k sv 5 协议适用于客户机到服务器的连接模式。 s s l ( s e c u r es o c k e tl a y e r ) 【1 0 1 协议是一个位于t c p 层和应用层之间、能提供因 特网上保密通信的安全协议，它是一种客户机服务器模式安全协议，在客户机和服务器 之间正式交换应用数据之前，需要先进行身份认证和建立相应的会话密钥。会话和连接 是s s l 的两个重要概念。连接建立在会话的基础上。而每一个连接与一个会话关联。每 一个会话有一个会话标识，c i p h e r s p e c 和主密钥组成一个会话的主要加密参数，可被多 个连接共享。 s s l 协议体系结构分为上下两层：低层s s l 记录协议和商层s s l 管理协议s s l 记录协议负责具体实施压缩、加密和消息安全摘要生成等操作，它可以封装s s l 高层管 理协议和应用协议；高层s s l 管理协议包括s s l 握手协议、a l e n 协议和 c h a n g e c i p h e r s p e c 协议s s l 高层管理协议中最主要的是s s l 握手协议，它负责验证 8 第二章虚拟专用同相关理论 通信两端的实体身份、协商密钥交换算法、压缩算法和加密算法、完成密钥交换以及生 成密钥等。 s s l 3 0 协议主要用束保护w e b 浏览器和w e b 服务器之间的安全通信，它己成为 安全w e b 应用的事实标准。i e t f ( w w w i e t f o r g ) 将s s l 作了标准化，即r f c 2 2 4 6 ，并将其 称为t l s ( t r a n s p o r tl a y e rs e c u r i t y ) ，从技术上讲，t l s i 0 与s s l 3 0 的差别非常微小 在w a p 的环境下，由于手机及手持设备的处理和存储能力有限，w a p 论坛 ( w w w w a p f o r u m o r g ) 在t l s 的基础上做了简化，提出了w t l s 协议( w i r e l e s s t r a n s p o r t l a y e rs e c u r i t y ) ，以适应无线的特殊环境。、 陀s 协议对t l s l 0 的优化主要表现在：增 加了对数据报传输协议的支持，对传输分组大小进行了优化以及允许动态密钥更新等。 这些改动的大多没有什么技术上的需要，而是由于考虑到手持设备运算与存储的局限而 尽量做了简化。实际上这些改动意义不大，其获得的计算和存储上节省出来的时间和空 间并不多。在硬件速度突飞猛进的时代，这种改动能获得收益很难体现出来。 2 5i p s e e 安全体系结构 i e t f 为了加强i n t e m e t 的安全性，提出了用于保护i p 通信的口安全协议w s e c ( w s e c u r i t y ) j 1 1 。i p s e c 的目的是为了实现数据传输的完整性和机密性以及提供一定程度的 对r e p l a y 攻击的保护。i p s e e 可用它为口及其上层协议( t c p 和u d p 等) 提供安全保护。 i p s e e 协议主要提供的安全服务有：数据源身份验证；数据完整性检查；内容机密性； 抗重放攻击。i p s e e 协议的优点包括：可有效地降低密钥协商的开销i 多种传送协议和 应用程序可以共享网络层提供的密钥管理的功能；可为i p 及运行于i p 之上的任何一种 协议提供保护，如t c p 、u d p 、i c m p 等，使高层应用无需修改便可利用它提供的安全 服务；它除了可用于口v 4 之外，也可用于下一代的口协议i p v 6 。 2