MPLS+VPN的网络安全机制研究优秀毕业论文 可复制黏贴.pdf

东南大学 硕士学位论文 mpls vpn的网络安全机制研究 姓名：施新飞 申请学位级别：硕士 专业：电子与通信工程 指导教师：陈晓曙 20051210 摘要 近年来，随着i n t e r n e t 的快速发展，越来越多的企业( 特别是在一些跨地区、跨国性的 大中型企业) 开始采用i n t e r n e t 作为企业i n t r a n e t 、e x t r a n e t 的传输平台。v p n 技术为企业网 络的建设提供了有力的支撑，而m p l s 作为一种高效的i p 骨干网技术平台，为实现i p v p n 提供了一种灵活且具有可扩展性的技术基础。因此，基于m p l s 的i p v p n 受到了用户和服 务提供商的极大关注。然而安全性一直是v p n 考虑的重要因素，m p l sv p n 的网络安全机 制是怎样的，其安全是如何保证的，是人们普遍关心的问题，也是m p l sv p n 能否取代租 用线和传统a t m 帧中继v p n 的一个关键因素之一。因此，对m p l sv p n 网络的安全机 制研究及实现具有很强的实用性。 本文通过对v p n 和m p l s 基本技术的研究，以及m p l sv p n 网络应用的分析。总结出 了m p l sv p n 网络的内在安全机制，包括b g p 实现地址隔离和路由隔离、核心网络结构隐 藏，以及抵抗攻击等。根据总结出的网络安全需求，通过当今已有的m p l sv p n 网络组建 技术和实际配置经验，提出了一系列提高m p l sv p n 安全性的实现方法，其中包括邻居认 证、v r f 路由控制、网络访问列表使用等，并在此基础上完成了m p l sv p n 网络安全的具 体设计和实现。本文对m p l s v p n 网路安全的研究和实现描述，一方面，可有助于m p l s v p n 网络安全的进一步加强，使得m p l sv p n 具有与a t m 或f r a m er e l a y 的v p n 同等或更好 的安全保障；另一方面，也有助于弥补人们对m p l s v p n 安全性认识的不足，并为m p l s v p n 网络实施人员实现网络安全提供有效的指导。 【关键词】多协议标签交换、虚拟专用网、网络安全 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e m e tt e c h n o l o g yi nt h e s ey e a r s ，m o r ea n dm o r ec o m p a n i e s b e g i nt ob u i l dt h e i ri n t r a n e to re x t r a u e to ni n t e r n e t 。a n dv p nt e c h n o l o g yc a np r o v i d ep o w e r f u l s u p p o n sf o r t h ei n t r a n e to re x t r a n e ka n dm p l sp r o v i d eak i n do ff l e x i b l ea n de x t e n s i b l e t e c h n o l o g yb a s i sf o ri pv p n s om p l sb a s e do ni pv p nh a sb e e nl a r g e l yc o n c e l t l e da b o u tb y u s e r sa n ds e r v i c ep r o v i d e r s b u ts e c u r i t yi sa l w a y sv e r yi m p o a a n tf o rv p n ，h o wa b o u tt h e s e c u r i t yo fm p l sv p n ，a n dh o wt 0r e a l i z ei t ? i t sc o n c e r n e dw i d e l yb yp e o p l e ，a n da l s oi so n eo f t h ek e yf a c t o r sf o ru s i n gm p l sv p ni n s t e a do ft h et r a n d i t i o n a la ：r m f r a m er e l a yv p n s oi t s r e a l l ys i g n i f i c a t i v et os t u d ya n dr e a l i z et h es e c u r i t yo fm p l sv p n t h i sa r t i c l ef i r s t l ys u m m a r i z e dt h ei n t e r n a ls e c u r i t yf a c t o r so fm p l sv p n a f t e rs t u d y i n ga n d a n a l y z i n gv p n ，m p l sb a s i sa n dt h ea p p l i c a t i o n s ，i n c l u d i n gs e p a r a t e da d d r e s s e sa n dm u t e sb y b g p ，h i d d e nn e t w o r kc o r es t r u c t u r e ，r e i e c t i o nt oa t t a c k e t c a c c o r d i n gt ot h es u m m a r i z e d n e t w o r ks e c u r i t yr e q u i r e m e n t s ，t h er e a l i z e dm p l sv p nb u i l dt e c h n i q u e sa n da c t u a lc o n f i g u r e o p e r a t i o n s ，as e r i e so fs o l u t i o n so nm p l sv p ns e c u r i t yi m p r o v e m e n ta r ei s s u e d ，i n c l u d i n g n e i g h b o u ra u t h e n t i c a t i o n ，v r fr o u t ec o n t r o l ，n e t w o r ka c c e s sl i s t ，e t c b a s e do nt h e s es o l u t i o n s ， m p l sv p ns e c u f i t yi sp e r f o r m e da n da c h i e v e di nd e t a i l 。n i ss t u d ya n do p e r a t i o nc a nh e l pt o s t r e n g t h e nm p l sv p ns e c u r i t y , a n dm a k ej tt ob et h es a m eo rm o r es a f e rt h a nt h et r a n d i t i o n a l a t m f r a m er e l a yv p n 。o nt h eo t h e rw a y , i tc a nh e l pp e o p l e su n d e r s t a n d i n go nm p l sv p n s e c u r i t y ，a n da l s oa sar e f e r e n c et on e t w o r ki m p l e m e n t e r s k e yw o r d s m p l sv p n s e c u r i t y 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名： 狐一日期： 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 一繇砰铷雠降啦 东南大学工程硕士学位论文一m p l sv p n 的网络安全机制研究 第一章引言 随着企业的不断发展，各分支机构遍布各地，企业的集团化运作使得通过建设专有网络 来加强企业内部联系和信息交流显得尤为迫切。目前虚拟专用网( v p n ) 结合i p 技术已得到 了高速发展，特别是基于最新的多协议标签交换( m p l s ) 上的v p n 通过结合标签交换和 i p 技术，极大地扩展和延伸了传统的v p n 技术。然而，安全性一直是v p n 考虑的重要因素， 与传统的a t m 或帧中继( f r - - f r a m er e l a y ) v p n 相比，m p l sv p n 是否与1 p 网本身一样 存在不安全因素，m p l sv p n 的网络安全机制是怎样的，其安全如何能更多的保证，m p l s v p n 自1 9 9 7 年出现以来，业界对其安全性就不断存有各种质疑。这是v p n 用户关心和急 需解决的重要问题，也是本论文的主旨。 一方匝，目前国内企业异地网络大多通过电信部门传统的d d n ，f r 及a t m 等方式来组建 专网，虽然有安全，服务质量( q o s ) 保证等优点，但其设备及维护费用较高，不易扩展，且 由于依赖总部设备，在较多分支连接通信繁忙时造成可靠性差。另一方面，v p n i i 技术的发 展，使部分企业己开始使用v p n 技术来组建其企业i n t r a n e t 、e x t r a n e t 。与目前的远程接 入、i n t r a n e t 和e x t r a n e t 三种网络应用环境相对应，v p n 技术也相应分成三种技术类型， 即远程接入v p n 、 i n t r a n e tv p n 和e x t r a n e tv p n 技术，e x t r a n e tv p n 指的是不同的站点 属于不同的企业；i n t r a n e t 指的是同一个v p n 中，所有的站点属于同一个企业，一个站点 可以属于多个v p n 。v p n 也分为通过数据链路层或网络层来实现二类，数据链路层v p n 由 a t m 或帧中继虚电路c ) 来实现，随者现已庞大的i n t e r n e ti p 技术的兴起及成熟，基于 网络层实现的i pv p n 为网络异地互联提供了一种新的选择，i pv p n 在公用网络上传输私有 数据，在网络层上为用户提供类似专网的服务，目前已成为v p n 主要实现方式。 m p l s | 4 技术的出现，将最先进的a t m 交换技术和最普及的i p 技术融合起来，集中了i p 技术的灵活和a t m 技术的快速交换、服务质量可靠的优点，使我们可以建最能够支持多种 业务级别并且能够无限扩展的全互连i pv p n 。m p l s 是一种新兴的通信技术，它能在一个无 连接网络中引入连接模式特性，支持多种网络拚议。m p l s 使用的主要协议。”：标签分配协 议( l d p ) ，资源预留协议( r s v p ) 以及限制路由的标鉴分配协议，这此协议都用在分配标签和转 发 i p l s 数据流上。m p l s 把网络层地址映射成数据链路层的标签，对数据包进行转发。m p l s 还可以兼容第二层上的多种链路层技术，它独立于链路层和物理层能保证各种网络的互联， 使备种传输技术在m p l s 网络中统一起来。m p l s 减少了网络的复杂性，兼容现有各种网络 技术，除了支持v p n 外，也提高了对用户的q o s 和安全性，并且支持流量工程。 本文源于翔龙通信公司于中国网通骨干网上实现的一个安全m p l s v p n 项目，以v p n 、 m p l s 、m p l s 于v p n 的应用，及其网络安全等进行的研究为基础，针对项目需求，为进一 步实现网络安全，综合考虑和组建了一个m p l sv p n 网络架构，并重点在路由协议认证、 虚拟路由转发表( v r f ) 路由控制、提供商边缘路由( p e ) 和客户边缘路由( c e ) 问线路 以及访问控制等方面研究设计和实现了其网络安全。 论文接下来的安排包括： 第二章：“v p n 及其安全需求”，针对v p n 基本技术及其安全的需求简要加以概括。 第三章：“m p l sv p n ”，对m p l s 基本原理及于v p n 的应用技术作了介绍分析，包括 m p l s v p n 的网络内部安全机制，并就其实现上的技术性能特点和各类v p n 技术作了比较。 第四章：“安全m p l s v p n 的实现”在一个客户m p l s v p n 网络项目中，在综合分析 其网络及安全需求后，设计了一个m p l sv p n 网络的基本框架，并重点就m p l sv p n 的安 全实现作了研究和设计。 第五章：“结柬语”，总结本文主要内容和创新意义，并列出了尚待研究解决的问题。 东南大学工程硕士学位论文一m p l sv p n 的网络安全机制研究 第二章v p n 及其安全需求 2 1v p n 概述 2 1 1v p n 概念及基本原理 简单来说，虚拟专用网( v p n ) 是通过公用网络( 通常是i n t e r n e t ) 建立一个临时的、安 全的连接，实现远程用户或远程局域网( l a n ) 之间的互连，具有专网特点的一种功能性网 络。其基本原理是利用隧道技术，把数据封装在隧道协议中，利用已有公网女l i n t e r n e t 、p s t n 、 i s d n 等建立专用数据传输通道，从而实现点到点的连接。 v p n 可以利用f r a t m 、i n t e m e t 、服务提供商的专用i p 网络等基础设施，使用专用 网的策略，为商业用户提供与专用网一样的安全性、优先权、易管理性和可靠性。v p n 可 以根据用户的需要把企业网无缝地扩展到远端的办公室、移动用户和远程用户，也可以把 e x t r a n e t 连接到商业伙伴、供应商、重要客户，不仅扩展了企业网络的使用范围，同时也 降低了商业开销。按照v p n 的接入方式分，目前有以下几种v p n 的业务： 远程接入v p n ：解决移动和远程办公人员与企业通信问题，以廉价的拨号介质方 式接入企业网络。 i n t r a n e tv p n ：解决企业内部的通信问题。在专用基础设施上不同远程站点之间的 连接，把企业的i n t r a n e t 远端办公室连接起来。 e x t r a n e tv p n ：解决与外部其它企业的通信问题。使用和专用网一样的策略，通 过共享的基础设施把业务延伸到供应商、用户或其它相关团体。 v p n 可以构建在很广泛的结构上，不管业务是接入v p n 、i n t r a n e tv p n 还是e x t r a n e t v p n ，服务提供商必颁能在相同的基础上集成所有的业务。构成v p n 的主要结构有i p 隧 道、虚电路和m p l s ；其涉及的主要相关技术包括l 2 f 儿2 t p ，g r e 、i p s e c ，f r ，a t m 和 i p 技术。 2 1 2v p n 技术要求 v p n 服务目的是在共享的基础网络设旋上，向用户提供安全的网络连接。合理和实用 的v p n 解决方案应能够抗拒非法入侵、防范网络阻塞，而且应能保证安全、稳定的网络通 信。同时，v p n 还应该具有良好的可管理性、可伸缩性等特征。要保证有效的i pv p n 业 务定位和操作新一代服务提供商的网络必须具有下列属性h 1 ： 任一点到任一点的连接：i p 实质上是无连接的可以遍布全球。 安全性：提供与企业策略相符的用户鉴别和授权，以及与当今专网相当的保密性。 优先权：确保正确处理各种关键任务或对时间敏感的话音、视频会议等业务的 q o s ，且能通过改变带宽速率管理拥塞。 易管理性：这对经济高效的网络服务提供、网络管理和计费非常重要。系统应具 有先进的监控和自动流程可以迅速部署新业务，支持端到端客户服务鉴别协议 s l a ( s e r v i c el e v e l a g r e e m e n t ) 。 可靠性：确保商业用户期望和需要的业务正常运行。 2 东南大学工程硕卜学位论文一m p l sv p n 的网络安全机制研究 可扩展性：为不断扩大的客户群提供经济高效的业务，从最小的企业到最大的全 球性企业，包括业务量管理以及同时实现数万个v p n 的能力。 2 1 3v p n 应用价值 1 提高经济效益 v p n 不是真的专用网络但依靠i n t e r n e t 服务提供商( i s p ) 和其它网络服务提供商 ( n s p ) ，在公用网络中建立专用的数据通信网络，能够实现专用网络的功能。由于在v p n 中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公 众网的资源动态组成的，用户不再需要拥有实际的长途数据线路，而是使用i n t e r n e t 公众 数据网络的长途数据线路，使得用户节省了租用专线的费用。在运行资金支出上除了购 买v p n 设备，企业所付出的仅仅是向企业所在地的i s p 支付一定的上网费用，也节省了长 途电话费。 v p n 能够将企业网扩展到远程站点、远程工作者、移动工作者，从而削减现有企业网 各站点之间的通信成本，减少经费支出，提高企业经济被益。对国内的用户来说，价格是 v p n 其中一个最大的吸引力，据估算，如果企业放弃租用专线而采用v p n ，其整个网络的成 本可节约2 1 - 4 5 ，至于那些以电话拨号方式连网存取数据的公司，采用v p n 则可以节约 通讯成本5 0 一8 0 。 2 提供灵活方便的扩充方式 从用户现在于电信租用的帧中继或a r mp v c ( p e r m a n e n tv i r t u a lc i r c u i t ) 连接来看， 由于所有的权限掌握在别人的手中，如果嗣户需要一些别的服务，需要填写许多的单据， 再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备管理也需要一 定的专业技术人员。v p n 可以基于i n t e r n e t 和i p 技术，在企业不断扩展的同时，v p n 的扩 充显然要比不断通过租用新盼专线方式来得灵活、快速、方便企业也可以很方便地制定 一个最符合自己需求的网络。v p n 还可以很容易地实现与企业合作伙伴构建可靠的企业外 部网( e x t r a n e t ) ，可以为传统的i p 业务提供安全的基础平台。 3 方便访问 越来越多的用户认识到，随着i n t e r n e t 和电子商务的蓬勃发展，经济全球化的最佳途 径是发展基于i n t e r n e t 的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙 伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速 度。然而，帧中继、a 珊数据网络不能像基于i n t e r n e t 和i p 技术的v p n 那样，可方便的 立即与世界上任何一个使用i n t e r n e t 网络的单位相互连接访问。在i n t e r n e t 上，v p n 使 用者可以方便的控制自己与其他使用者的联系，同时支持拨号访问的用户。 4 一定的安全性 目前，我国各级政府、企业部在建设自己的内部网以提高自身的工作效率和竞争力。 随着【作业务和网络规模的扩大。盲接通过i n t e r a c t 公众信息网进行一些文件交换、数据 访问，虽然具有费用低、使用方便等特点，但同时也存在着安全性差的问题。用户通过公 众信息网传输的信息，在传输过程中随时可能被窃取、修改和伪造，使信息的安全性和可 靠性降低。而v p n 通常通过隧道( t u n n e l l i n g ) 、加密、分组鉴别和用户鉴别等技术提供了 一定的安全性。 3 东南大学工程硕j 学位论文一m p l sv p n 的两络安全机制研究 2 1 4v p n 技术发展 欧洲虚拟专用网联盟( e v u a ) 在1 9 9 3 年成立，力图在全欧洲范围内研究推广v p n ， 但那时的v p n 还主要是一个技术名词，1 9 9 7 年9 月发布的r f c 2 1 9 4 是第一个直接提及v p n 的 r f c ，这说明v p n 技术是比较新的，而v p n b i 务的真正发展应用还是最近几年的事。 早期的v p n 是在网络参考模型的第二层数据链路层，利用a t m 或者f r a m er e l a y 技 术来实现v p n 结构，其实现基本上是基于趟m l ，f r 交换机，通过p v c 的划分来决定企业 用户各个节点之间的连接情况，因此第二层v p n 是一种专线v p n ，用户需要直接以a t m 或f r 的方式接入到网络的a t m f r 交换设备上。基于v c 的v p n 通过公共的f r 或a t m 网传送i p 业务，p v c 或s v c 可以保证高度的机密性。链路层的加密技术也可以任意选择， 根据需要，选定的加密技术可以在整个连接上被应用。或者，根据与加密技术相关的应用 需求来执行。这种基于网络链路层的v p n 将网络资源划分成分区，进行相对独立的数据 传送和处理，但随着网络连接范围的不断扩大，其可扩展性和管理问题目益突出。 随着i p 技术的发展，i p 技术应用到了v p n ，使我们可以建设支持多种业务级别易扩 展的全互连i pv p n 。作为v p n 的载体，i n t e r n e t 这一全球最大、发展迅猛和使用最广泛 的网络，起到了很重要的作用，其采用的现今流行和通用的i p 技术为v p n 的研究提供了 技术基础，同时全球化的企业为v p n 提供了市场。基于i p 的v 刚是在网络参考模型的第三 层网络层，也称为第三层v p n 。i p v p n 利用网络层的一些特殊技术，如隧道技术、标签交 换协议m p l s 或虚拟路由器等来实现企业用户各个节点之间的互联。其中采用隧道技术的方 式目前以i p 隧道为主，即在两个节点之间利用隧道协议封装重新定义数据包的路由地址，使 得具有保留i p 地址的数据包可以在公共数据网上进行路由，利用这用方式可以很好的解决i p 地址的问题。 i pv p n 利用某些隧道协议的加密功能，如i p s e c ，还可以充分地保障数据传输的安全胜； 而利用m p l s 技术，通过标签中的v p n 网路标识符，以及m p l s 的l s p 隧道来实现m p l s 范围 内的虚拟专用网络，m p l s 实现v p n 的方式于第二层v p n 较为相似，都是面向连接的虚电路 方式；利用虚拟路由器实现v p n 使之在单一的网络设备上提供多个虚拟的路由器，这些虚拟 路由器可以为不同的企业用户提供专有的逻辑网络连接虽然这种方式通常都是在第二层交 换设备上来提供这种第三层路由的功能，但从实际意义上来将。仍然属于一种第三层的v p n 。 2 2i pv p n 技术 2 2 1 基本工作过程 在局域网中，一般使用保留地址作为内部i p ，这些保留地址在i n t e m e t 上是无法被路 由。所以在正常睛况下我们无法盲接通过i n t e m e t 访问到在局域网内的主机。为了实现这 一目的，我们需要使j jv p n 隧道技术，其实现过程可以通过图2 - 1 说明： 通常腈况下，v p n 网关采用双网卡结构，外网卡使用公共i p 接入n t e r n e t ；如果网络 1 的终端a 需要访问网络2 的终端b ，其发出的访问数据包的目标地址为终端b 的i p ( 内 部i p ) ： 1 网络l 的v p n 网关在接收到终端a 发出的访问数据包时对其目标地蚺进行检鸯， 如果目标地址属于网络2 的地址，则将该数据包进行封装，封装的方式根据所采用的v p n 技术不同而不同，同时v p n 网关会构造一个新的v p n 数据包，并将封装后的原数据包作 为v p n 数据包的负载，v p n 数据包的目标地址为网络2 的v p n 网关的外部地址： 4 东南大学工程硕士学位论文一m p l sv p n 的网络安全机制研究 瓜百- r 百f i 一、 、。、 臣亟至 二趸耍酋 图2 - iv p n 工作过程 2 网络l 的v p n 网关将v p n 数据包发送到i n t e m e t ，由于v p n 数据包的目标地址是 网络2 的v p n 网关的外部地址，所以该数据包将破i n t e m e t 中的路由正确地发送到网络2 的v p n 网关； 3 网络2 的v p n 网关对接收到的数据包进行检查，如果发现该数据包是从网络1 的 v p n 网关发出的，即可判定该数据包为v p n 数据包，并对该数据包进行解包处理。解包 的过程主要是先将v p n 数据包的包头剥离，在将负载通过v p n 技术反向处理还原成原始 的数据包； 4 网络2 的v p n 网关将还原后的原始数据包发送至目标终端，由于原始数据包的目 标地址是终端b 的i p ，所以该数据包能够被正确地发送到终端b 。在终端b 看来，它收到 的数据包就从终端a 直接发过来的一样；从终端b 返回终端a 的数据包处理过程与上述 过程一样这样两个网络内的终端就可以相互通讯了。 2 2 2i p v p n 技术发展现状 i pv p n 技术主要通过使用一些l p 隧道机制来实现，用户的数据也将通过各种i pv p n 隧道来传输。i p v p n 技术主要是伴随着其不同隧道狮议的产生和完善而发展。所谓隧道就 是这样一种封装技术。它用一种信息传输协议将其它协议产生的数据封装在自己的报文中， 然后在网络中传输。在i p 网络中，通过特定封装方式将原有的i p 分组重新封装，并使用 新的封装形式在i p 网中传输，由于此时传送网络对于用户的原有信息是看不到的，所以这 种传送机制就仿佛在传送网中建立了条专片j 的隧道一样。在这条隧道的两端，对刨业务 用户的数据还有可能被进行加密和解密。以便提供更高等级的安全业务。 v p n 隧道协议通常由以下几个部分构成1 6 l ： 乘客协议一被封装的协议，如p p p 、s l i p ： 封装协议一负责隧道的建立、维护和拆除，如p p t p 、l 2 t p 、i p s e c 等； 承载协议一承载经过封装后的效据分组的协议，如i p 和a t m 等。 目前i n t e m e t 上较为常她的i p v p n 隧道协议大致有两类：第二二层隧道铷议p p t p 、l 2 f 、 l 2 t p 和第三层隧道协议g r e 、i p s e c 、m p l s 。第二层和第三层隧道协议的区别主要在于 用户数据在网络协议栈的第几层被封装。其中g r e 和i p s e c 主要用于实现专线v p n 业务； l 2 t p 主要用于实现拨号v p n 业务，也可用于实现专线v p n 业务。下表是三种典型隧道 的协议的简单比较； 5 东南大学工程硕士学位论文一m p l sv p n 的网络安全机制研究 表2 - l ：三种隧道协议的比较 p p t pl h p i p s e c 工作方式客户机一服务器客户机一服务器 主机一主机，l a n - l a n 用途 远程接入远程接入i n t r a n e t e x t r a n e t 0 s i 层次第二层第二层第三层 隧道服务单点隧道单点隧道多点隧道 协议i p 及i p x 等对协议 i p 及i p x 等对协议仅i p 协议 包认证 无使用i p s e ca h 头标 包加密厂商指定使用i p s e ce s p 头标 密钥管理无使用i p s e c i s a 删p ，7 d a k l e y p p t p ：二层隧道传输协议。主要由m i c r o s o f t 开发，它是点到点( p p p ) 协议的扩充， 它建立到i n t e r n e t 的p p l 摩服务上的连接，并建立一个虚拟隧道，在隧道中p p t p 协议建立 包含加密的p p p 包的i p 数据包，这些数据包通过p p t p 隧道进行发送。 l 2 t p 7 l ：二层隧道传输协议。这是一种在特定链路层实现的v p n 技术。具体是把二 层协议p p p 的报文封装在l p 报文中。进行传输。这种技术主要是提供了企业员工出差在 外通过拨号网络直接访问企业内部网络的方式。在w i n d o w s 2 0 0 0 中，也提供了这项功能。 但是用户要使用这种技术，必需i s p 提供支持。 i p s e c i s ! ： 网络安全协议。这个协议提供了互联网的验证，加密等功能，实现了数据 的安全传输。同时，可以使用这种协议构建v p n 网络。原理也是对i p 包进行封装( 可以 提供多种方式) ，并且进行加密，然后在互联网中进行传输。与前面两种相比，这种技术提 供了更好的安全性。但是，协议的复杂性导致了处理i p s e c 的网络设备( 如路由器) 需要 占用大量的资源效率较低。如果使用专门的加密硬件。又会增加成本。 值得注意的是，m p l s 和其它隧道协议育所不同它是一种专门的链路层协议，在m p l s 网络范围内应用，i p 可以伸展剑任何可以达到的地方，基于m p l s 隧道建立的v p n 机制 不能伸展到m p l s 网络之外，就象基于a t m 机制如l a n e 不可伸展出a t m 网络样。可 是。m p l s 可以横跨许多不同的链路层技术，就像i p 网络，它的范围也不是限定在特定的 链路层之上。现已提出了许多机制允许基于m p l s 网络建设交互v p n 。 2 2 3i pv p n 应用及存在问题 i pv p n 通过共享的i p 网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移 动办公人员等连接起来，提供端到端的服务质量( o o s ) 保证以及安全服务。利用公共网络 发展i p v p n ，既可以保证互联企业的网络安全，还可以就近接入，节省成本。组成一个虚 拟网，i p v p n 的蓬勃发展已经成为不争的事实。随着i p v p n 的兴起，用户和运营商都将目 光转向了这种极旦竞争力和市场前景的v p n 。对用户而言，i p v p n 可以非常方便地替代租 用线和传统的a t m 帧中继( f r ) v p n 来连接计算机或局域网( l a n ) ，同时还可以提供租 用线的备份、冗余和峰值负载分担等，大大降低了成本费用：对服务提供商而言，1 p v p n 则是其未来数年内扩大业务范围、保持竞争力和客户忠诚度、降低成本和增加利润的重要手 段。i pv p n 应用按应用领域分可包括： v p d n ( v i r l u a p r i v a t ed i a ln e t w o r k ) ：在远程用户或移动雇员和公司内部阏之间的 v p n ，称为v p d n 。实现过程如下：用户拨号n s p ( 网络服务提供商) 的网络访问服务 器n a s ( n e t w o r k a c c e s ss e r v e r ) ，发出p p p 连接请求，n a s 收到呼叫后，在用户和n a s 之间建立p p p 链路然后，n a s 对用户进行身份验证，确定是合法用户，就启动v p d n 6 东南大学工程硕士学位论文一m p l sv p n 的刚络安全机制研究 功能，与公司总部内部连接，访问其内部资源。 i n t r a n e tv p n ：在公司远程分支机构的l a n 和公司总部l a n 之间的v p n 。通过i n t e r n e t 这公共网络将公司在各地分支机构的l a n 连到公司总部的l a n ，以便公司内部的资源共 享、文件传递等，可节省d d n 等专线所带来的高额费用。 e x t r a n e t v p n ：在供应商、商业合作伙伴的l a n 和公司的l a n 之间的v p n 。由于不 同公司网络环境的差异性，该产品必须能兼容不同的操作平台和协议。由于用户的多样洼， 公司的网络管理员还应该设置特定的访问控制表a c l ( a c c e s sc o n t m ll i s t ) ，根据访问者 的身份、网络地址等参数来确定它所相应的访问权限，开放部分资源而非全部资源给外联 网的用户。 i pv p n 与其它组网方式相比虽然有优势，但也存在以下的一些技术问题需要解决： 夺i p v p n 基于i n t e r n e t 和l p 技术实现，由于i n t e r n e t 本身的不安全因素，i p v p n 也 存在较大的安全隐患。虽然利用i p s e c 协议可改进i p v p n 的安全后，但也存在灵 活性和q o s 方面的限制。 夺i pv p n 在网络规模变大时，存在v p n 的结构层次加深。路由配置复杂，难以配 置管理等问题。 夺i pv p n 相对专线方式还不够可靠。通过i n t e r a c t 组网，可能存在带宽不足够，时 延不稳定，对于实时性很强的应用不够可靠。 夺i p v p n 组网以后内部网络范围扩大了，但企业内部的网络管理问题会比较复杂。 2 3i pv p n 安全需求及技术 2 3 1i pv p n 安全需求 i p v p n 的安全，简单地说，就是防止未授权的信息访问，保护数据的完整性以及由授 权人员确保系统的运行。越来越多的用户认识到，随着i n t e r n c t 和电子商务的蓬勃发展， 经济全球化的最佳途径是发展基于i n t e r a c t 的商务应用。随着商务活动的日益频繁，各企 业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途 径，增加信息交换速度。这些合作和联系是动态的。并依靠网络来维持和加强，于是各企 业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。因为 i n t e r a c t 是一个全球性和开放性的、基于t c p ，m 技术的和不可管理的国际互联网络，基于 i n t e r a c t 的商务活动面临着非善意的信息威胁和安全隐患。在公用网络上实现i pv p n 使 安全问题包括机密性、完整性、鉴别、授权和不可否认等，变得异常突出。 虽然实现i pv p n 的技术和方式很多，但所有i pv p n 均应保证通过公用网络平台传输 数据的专用性和安全性。在安全性方面，由于i pv p n 直接构建在公用网上，实现篱单、 方便、灵活，但同时其安全问题也更为突出。企业需要保证它们的v p n 没有渗透耆窥视到 或篡改经网络传送的机密数据的危险，也没有被非法用户访问网络资源和专用信息的危险。 e x t r a n c t v p n 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。i p v p n 网络 的威胁主要集中在破坏者和侵入首的网络攻击、数据攻击和t e ； 户攻击【9 l 。 1 网络攻击 这个领域主要是对网络基础、畦施的攻击为主( 例如，有线、无线、语音、远程接入等1 。 网络攻击的例子包括： 夺通过发动”拒绝服务”( d o s ) 攻击，破坏公司的网络，是网络的合法用户无法正嵩接 入网络。 7 东南大学工程硕七学位论文一m p l sv p n 的网络安全机制研究 夺侵入使用宽带互联网连接的”永远在线”远程工作台位( 例如，通过”后门”入侵) ， 暴露公司的i p ，使其面临受到进一步攻击的风险。 在网络上插入一个未经授权的设备，并将其伪装成网络上的一个合法设备。 夺在公共w e b 服务器和电子商务服务器上发动入侵攻击。 夺 精心策划并发动病毒攻击，破坏数据和应用。 2 数据攻击 攻击对在网络上传输的数据r 专用i p 、客户记录、员工信息等) 、存储在数据服务器上 的数据以及在网络上进行存取的各项应用( 电子邮件、w e b 、e r p 、c r m 等) 。数据攻击的 例子包括： 夺 有意破坏在网络t 传输的信息，或者无意中窃取以有线或者无线的方式在网络上 传输的口令以及其他保密信息。 夺 窃取硬件并访问内嵌在设备上的( 如设备m a c 地址等) 或者存储在设备的硬盘上 的保密信息。 3 用户攻击 攻击访问网络的用户( r r 人员、终端用户、远程用户等) 、用户设备( 笔记本、台式电脑 等1 。用户攻击的例子包括： 夺盗窃合法网络用户的身份，获取对网络上的保密信息和受保护的资源的访问权。 在用户的设备上发动d o s 攻击，导致其中断和过载，使用户无法正常运行。 2 3 2 i pv p n 安全技术 i p v p n 使用隧道技术。使数据分组在一条模拟点剑点连接的专用隧道内穿过公用i p 网络传输。实现了i p v p n 的基本安全。隧道技术可以区分来自许多个源的通信业务，并 把它引向特定的目的地接受特定级别的服务。但是，i p v p n 隧道协议如果要支持用户所要 求的任何档次的安全，就要有包括认证和不同强度的加密能力。上面表2 - 1 中己给出三种 典型隧道协议p p t p 、l 2 t p 及i p s e c 的比较，其中m i c r o s o f t 公司提供的p p t p 和i n t e r a c t 工程任务组f i e t f ) 的l 2 t p 已经被广泛使用，但它们都没有很好地解决隧道和数据加密、 包认证等问题，由于没有内在的安全机制，它们只能依赖于基础l p 骨干网络本身的安全特 性，并可使用i p s e c 来提供安全保障。而i p s e c 协议为i p v p n 提供最为完整的框架，其它 协议只是因其安全业务而成为i p s e c 的结合部分，唯有i p s e c 协议把多种安全技术融为了 一体，为建立安全隧道提供较好的基础和条件。 i p s e c 的构建基于一系列的杯准化密码技术，并且使用d i 伍eh e n m a n 密钥交换以便在 公用网络上的对等体之间传递保密密钥；使用公密密码签署d i f i l eh e l l m a n 密钥交换以便 担保双方的身份；使用数据加密标准( d e s ) 和其它算法加密数据；使用密钥控制的散列 算法f 例如基于散列的报文鉴别代码即h m a c 和报文摘要第5 版( m d 5 ) 或和保密散列 算法( s h a ) 鉴别分组；使用数字式证书确认公开密钥。 i p s e c 体系结构有三大重要组成部分i l ”j ：鉴制头( a u t h e r t i c a t i o nh e a d e r ) 协议，密封安全 有效负载( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 协议和密钥管理。鉴别头协议提供数据完整i 生并为 分组鉴别创造条件：密封安全有效负载协议提供数据加密并确保传输的机密性：密钥管理 则本身就是提供安全性的一个最复杂、最关键的问题。f 面是i p s e c 体系结构的三大组成 部分： 1 加密技术 为方便在两方之间交换保露数据，当事双方必颁首先对将要使用的密码算法、密钥交 换方式和密钥更换频度达成拂议。这些协议在i p s c c 内已被组合到一块成为一种安全协 8 东南大学工程硕士学位论文一m p l sv p n 的网络安全机制研究 定( s a 。即s e c u r i t y a s s o c i a t i o n ) ：向报文通信业务提供安全服务的收发双方之间的一种单 向关系。如果需要一种对等关系来进行保密的双向交换，则必需两种s a 。i p s o c 的s a 规 定如下： 夺在鉴别头中使用的鉴别算法模式 夺 在密封安全有效负载中使用的加密算法模式 夺 用来鉴别通信的协议鉴别算法以及密钥 夺 预定采用的更换密钥的频度 夺密钥的使用寿命 夺s a 的使用寿命和源地址 2 分组鉴别技术 在i p s e c 体系结掏内，鉴别头( a h ) 为i p 分组提供数据完整性和鉴别服务。数据完整 性特祉在分组传输过程中防止分组内容发生没有破检测到的窜改，而鉴别特征则防止地址 欺犏和重放攻击，使收方能够鉴别该应用并对通信作相应过滤。同e s p 头一样，a l l 被插 入到分组i p 头和内容之间。a l l 还包含一s p i 向收方指明发方用于通信的安全西议。 3 用户鉴别技术 v p n 必须做到能够可靠地鉴别用户，以便控制对企业资源的访问和阻止非法用户闯入 公司网络。与此有关的3 个协议分别为：p a p 、c h a p 和鼢山i u s 。 夺p a p 协议：通行字鉴别协议，原设计目的在于，当把p p p 用作通信的协议时，为 一台计算机向另一台计算机鉴别它自己提供一种简便的方法。p a p 是一种双向握 手协议。当建立起p p p 链路时，客户系统向目的地系统( 鉴别器) 发送明文用户 i d 和通行字对，鉴别器或接受通行字对，或连接被终止。p a p 簿不上一种安全的 用户鉴别手段。鉴别信息以明文方式传输，根本无法阻止攻击者猜测有效用户i d 通行字对的反演攻击或过量尝试。 夺c h a p 协议：问答握手鉴