一种基于DTLS协议的VPN方案设计.doc

一种基于dtls协议的vpn方案设计电子科技2006年第7期(总第202期)一种基于dtls协议的vpn方案设计赵华,周利华(西安电子科技大学多媒体研究所,陕西西安710071)摘要dtls(datagramtransportlayersecurity)协议是tls协议的变体,用于在不可靠传输网络上对应用层数据提供安全保护.文中介绍了dtls协议,提出一种基于dtls协议的应用层vpn解决方案,并进行了仿真.关键词数据报传输层安全协议;虚拟网络;专用传输层安全协议中图分类号tn9l5.o4designofavpnschemebasedondtlszhaohua,zhoulihua(multimediatechnologyinstitute,xidianuniversity,xian710071,china)abstractrecently,applicationlayervpnbasedssl(securesocketlayer)/tls(transportlayersecurity)becomespopular.anextensionoftlsprotocol,dtls(datagramtransportlayersecurity)protocolisusedtosecuredatagramtransport.thispaperintroducesthedtlsprotocol,basedonwhichavpnschemeisproposedwithitssimulationgiven.keywordsdtls;vpn;tls1概述2dtls协议介绍在目前的vpn(virtualprivatenetwork)技术领域中,应用层vpn逐步兴起.应用层vpn多基于ssl(securesocketlayer)/tls(transportlayersecurity)协议,主要对应用层数据提供安全保护.应用层vpn具有不影响现有网络结构,无需安装客户端软件,价格低廉等特点.但应用层vpn的应用多局限在web系统的远程接入方面,不能对网络到网络的通信提供安全保护.dtls(datagramtransportlayersecurity)协议是一种用于保护数据报流量的tls协议变体,笔者提出了一种基于dtls协议的应用层vpn解决方案(以下简称为dtlsvpn),并进行了仿真.dtlsvpn具有vpn简单易用的特点,同时又能提供网络到网络的安全保护.收稿日期:20051025作者简介:赵华(1979一),女,硕士研究生.研究方向网络安全.321999年,ietf发布了tls1.0传输层安全协议.tls协议在可靠的传输层(典型的为tcp)之上提供端到端的安全服务.dtls协议,致力于保护不可靠的传输协议(典型的为udp)上流量的安全.dtls设计时力求尽可能的相似于tls,保持了tls整体架构,尽量重用了tls的代码.dtls在udp传输层之上,应用层之下,分为记录层和握手层.如图1所示.应用层改变密码应用数据握手协议警告协议规格协议协议记录层协议udpip图1dtls协议框构记录层协议得到要发送的消息之后,将数据分成易于处理的数据分组,进行数据压缩,计算mac一种基于dtls协议的vpn方案设计(messageauthenticationcode)和加密,然后发送.接收的消息先被解密,然后校验mac,解压缩,重组,传递给协议的高层客户.记录层协议有4种类型的客户协议:握手协议,警告协议,改变密码规格协议和应用数据协议,其中握手协议最为重要.握手协议负责建立连接会话状态的密码学参数,由客户端和服务器间交换的一系列消息组成,如图2所示.包括以下步骤:交换clienthello和serverhello消息以协商密码算法;交换证书和密码学参数,使客户和服务器能相互认证;生成密钥,为记录协议提供安全参数.clientclienthellocertificateclientkeyexchangecertificateverifychangecipherspec】finishedapplicationdata,_一serverhellocertificateserverkeyexchangecertificaterequestserverhellodonechangecipherspec】finishedapplicationdata图2握手过程消息流程图3dtls_vpn总体设计dtlsvpn致力于保护任意两个网络或主机间在intemet上的安全通信.一般情况下,企业vpn的应用模式如图3所示.两个vpn网关负责保护企业总部和分支机构内部网络间通信的安全.来自内网的ip数据包,在vpn网关处进行加密,然后通过intemet进行传输,到达对方网关,经过解密和验证后,到达目的网络.当移动用户访问内部网络时,传输的数据在用户主机处进行加密,在vpn网关进行解密和验证,最终到达企业内网.dtlsvpn安装在移动用户主机和网关上,dtlsvpn如图4所示.eth表示真实的网卡设备,tun表示虚拟网卡设备,appfication表示上层应用程序,虚线表示数据的流向.dtlsvpn包括两个主要模块:tun设备接口模块和dtls模块.3.1tun设备接口模块tun虚拟网卡驱动是一个开源项目,实现了虚拟网卡的功能.tun表示虚拟的点对点设备.在操作系统看来,tun设备和真实的网卡没有区别.通过tun设备,可以将tcp/ip协议栈处理好的网络分组传给任何一个使用该驱动的进程,由进程重新处理后再发到物理链路中.dtlsvpn正是通过tun设备实现对数据包的ip封装.tun设备的主要移.一liliil匈网用户内网用户图3vpn应用模式任务就是接收来自应用程序的数据并转发到dtlsvpn中,如图4中所示.其数据封装格式如图5所示,用tun设备的ip地址作为源ip地址,将来自上层的数据封装在ip包中.dtlsvpn通过tun设备接口模块实现tun设备的读操作,写操作,开启和关闭,以及对tun设备ip地址,子网掩码的设置等功能.:udc/tcp:ip:l图4dtls-vpn应用示意图电子科技/2006年7月15日33一种基于dtls协议的vpn方案设计叵丑由tu设备输出的数据,.headenctyptdateitailj,经过dtls模块,加密输出的数据链路层中传输的数据图5dtls-vpn数据封装格式3.2dtls模块dtls模块主要负责dtls协议的实现,也就是建立安全通信隧道,以及数据传输工作.对于从tun转发到dtls模块的数据,首先用协商好的隧道密钥加密数据,然后加上dtls协议需要的信息头和尾,最后送入udp套接13进行传输;对于自套接13读入dtls模块的数据,先进行解密,然后送入tun设备,最后上传给应用程序.4dtls-lsvpn环境仿真实验环境如图6所示,虚线表示dtls.vpn虚拟通信隧道.网关路由器上都安装有dtls.vpn.dtls协议中通常使用x.509证书验证身份,为此,每个网关路由器都有可信ca(certificateauthority)签发的一份包含公钥信息的x.509证书作为身份标识.将网址为219.245.75.20的网关路由器中的dtls.vpn设置为服务器模式,接收其它dtls-vpn网关的连接请求;将网址为202.117.2.80的网关路由器上的dtls-vpn设置为客户模式,主动发起连接请求.dtls-vpn问的通信过程如下:(1)服务器dtls-vpn开启,初始化tun设备,指定tun设备ip地址为192.168.4.2,准备好接收来自客户端的连接.(2)客户dtls-vpn开启,初始化tun设备,指定tun设备ip地址为192.168.4.1,向服务器发起连接请求.注意,连接双方的tun设备ip地址必须是保留ip地址,且处于同一网段.(3)服务器dtls.vpn收到请求,与客户端进行dtls协商,包括行身份验证,协商加密算法和产生加密密钥.若协商成功,则安全隧道建立,两个tun设备形成逻辑上的点对点链路,并进入下一步;若协商失败,则通信结束.(4)客户端和服务器在安全通道中交换其子网地址信息.(5)客户端添加路由表项,将所有对服务器方子网192.168.2.0/24中主机的访问都通过其tun设备进行路由;服务器端也添加路由表项,将所有对客户方子网192.168.0.0/24中主机的访问通过tun设备进行路由转发.即对客户端子网中的主机来说,以后所有对192.168.2.0/24的访问流量都会由tun转发进入dtls.vpn,进行加密处理,再发往对方;对服务器方子网中主机来说,以后所有对192.168.0.0/24的访问流量都会由tun转发进入34itage/ju1.15,2006一种基于dtls协议的vpn方案设计dtlsvpn,进行加密处理,再发往客户方.(6)dtlsvpn连接建立完毕,客户端和服务器间可进行安全的数据传输.仿真实验表明,192.168.0.0/24子网中的主机可以通过dtlsvpn直接对192.168.2.0/24中web服务器和应用程序服务器进行安全访问,就像它们处于同一局域网.5总结dtlsvpn用dtls协议保证数据的保密性和完整性,同时也能隐藏内部网络信息,工作于用户空间,可适用于多种应用环境.但另一方面,dtlsvpn的多层封装,加大了网络负载,纯软件的加密处理,将带来处理效率的降低,这些将是下一步工作关注的重点.参考文献1雷斯克拉着.崔凯译.ssl与tlsm.北京:中国电力出版社,2002.2stallingsw着.杨明,胥光辉,齐望东译.cryptographyandnetworksecurityprinciplesandpractices,thrideditionm.北京:电子工业出版社,2001.(上接第28页)现象十分严重.对多径分量的达到特性和幅度衰落特性的研究,为uwb系统的分析和设计提供了参考,如何针对uwb信号传播特性来设计低复杂度和高性能的rake接收机是uwb通信系统设计的关键.参考文献lfcc.revisionofpartl5ofthecmmissionsrulesregardingultra-widebandtransmissionsystem:firstreportandorders.technicalreportfcc0248.2002.2hashemih.impulseresponsemodelingofindoorradiopropagationchannelsj.ieeej,select.areascommun,1993,l1f7):967978.3salehaam.valenzuelara.astatistica1mode1forindoormultipathpropagationj.ieeej,select.areascommun,1987,5(2):128137.4ieee802.15sg3a.channelmodelingsubcommiueereportfinals1.ieeep802.1502/49or1一sg3a,2003.5李建东,杨家玮.个人通信【m】.北京:人民邮电出版社,1998.6(意)贝尼迪特着.葛利嘉,朱林,等译.超宽带无线电基础【m】.北京:电子工业出版社,2005.7lrahhautenz.nikookarh,janssengjm.anoverviewofultrawidebandindoorchannelmeasurementsandmodelingj.ieeemicrowaveandwirelesscomponentsletters,2004,14(8):386388.(上接第31页)该方法捕获到的相关峰值为56,而且干扰的极大值不会超过16,说明同步捕获过程可靠准确.文中介绍的跳频通信系统,操作方便,性能可靠.在6km,lokm等不同的距离以及不同的地形的现场测试中,均取得了良好的通信效果,完全达到了保密通信的目的.参考文献l王念旭.dsp基础与应用系统设计【m】.北京:北京航空航天大学出版社,2001.2ti