（通信与信息系统专业论文）forces架构vpn的ipsec关键模块的设计及在np上的实现.pdf

浙江工商大学硕上研究生学位论文 f o r c e s 架构v p n 的i p s e c 关键模块的设计及在n p 上的实现 摘要1 针对当前网络设备的封闭性、垄断性和灵活性差等缺点，国际互 联网工程任务组中路由领域的f o r c e s 工作组提出了转发件与控制件 分离的开放性路由器体系结构。随着互联网的迅速发展和计算机网络 的广泛使用，网络安全问题也越来越得到重视。因此，网络设备的开 放性和安全性成为了f o 疋e s 工作组的重点研究方向。 本文主要研究基于网络处理器( n e t w o r kp r o c e s s o r s ，n p ) 的 f o r c e s 架构v p n 中实现的若干关键技术，包括：( 1 ) 根据f o r c e s 体系结构对v p n 作整体架构设计；( 2 ) 根据f o r c e sf e 模型对v p n 进行l f b 建模；( 3 ) 根据网络处理器的特点对其资源进行高效率的 分配；( 4 ) 基于f o r c e s 体系结构对v p n 的配置协议进行研究等等。 在对以上关键技术研究的基础上，本文主要做了以下几方面的工 作。 1 、提出了基于n p 的f o r c e s 架构v p n 的体系结构，使得v p n 的 扩展非常灵活。 2 、提出了基于f o r c e s 架构v p n 的i p s e c 入站和出站处理l f b 模 1 资助项目：国家8 6 3 计划项目“f o r c e s 体系结构与关键技术研究和国际标准制定”( 2 0 0 7 a a 0 1 2 2 0 1 ) ：国 家自然科学基金：“松散耦合型分布式路由器的菪干关键技术研究”( 6 0 6 0 3 0 7 2 ) ；浙江省科技计划重大专项 “f o r c e s 国际标准制定及产品研发与产业化应用”( 2 0 0 6 c 1 1 2 1 5 ) ；浙江省教育厅重点项目“基十f o r c e s 结构的分布武路由器的关键技术研究”( 2 0 0 6 1 0 7 0 ) 。 浙江- t 商火学硕 ：研究生学位论文 型。第三方的安全管理软件可以基于i p s e cl f b 进行开发而不用 关心v p n 底层硬件的实现细节。 3 、在基于i n t e l 网络处理器的可移植性框架中开发实现了i p s e c v p n 的l f b ，验证了本文提出的i p s e cl f b 模型实施的可行性。 4 、设计并实现了一种n p 的嵌入式l i n u x 系统中基于字符设备驱动 的用户空间与内核空间通信的i p s e cs a 的配置协议，用户空间 与内核空间的i p s e cs a 配置遵循这种协议，使得i p s e cs a 的管 理具有一定的规范性和扩展性。 最后，对本文所实现的基于n p 的f o r c e s 架构v p n 的样机进行 了测试，结果表明本文提出的基于f o r c e s 架构的v p n 模型是正确 的和高效的。 关键词：网络处理器；f o r c e s ；逻辑功能块；v p n ；i p s e c ；字符设备驱动 i i 浙江r t 商大学硕上研究生学位论文 d e s i g n0 fi p s e ck e ym o d u l e so ff o r c e sb a s e dv p n a n di m p l e m e n t a t i o no nn e t w o r kp r o c e s s o r a b s t r a c t t oo v e r c o m et h ed i s a d v a n t a g e so fc l o s e n e s s ，m o n o p o l i s t i ca n dp o o r f l e x i b i l i t yo fc u r r e n tn e t w o r ke q u i p m e n t ，f o r c e sw o r k i n gg r o u po f i n t e r n e te n g i n e e r i n gt a s kf o r c ei nr o u t i n ga r e ap r o p o s e sa r c h i t e c t u r eo f r o u t e rw i t ht h es e p a r a t i o no ff o r w a r d i n ge l e m e n ta n dc o n t r o le l e m e n t w i t ht h ed e v e l o p m e n to fi n t e m e ta n dt h ew i d eu s eo fc o m p u t e rn e t w o r k s ， i n f o r m a t i o ns e c u r i t yi sg e t t i n gm o r ea n dm o r ei m p o r t a n t t h e r e f o r e ，t h e o p e n n e s sa n ds e c u r i t yo ft h en e x tg e n e r a t i o nn e t w o r kh a sp r e s e n t l y b e c o m et h ef o r c e s w o r k i n gg r o u p si m p o r t a n tr e s e a r c hd i r e c t i o n t h e p r i m a r yr e s e a r c h w o r k so ft h i s p a p e r a r es e v e r a l k e y t e c h n o l o g i e s i nt h ei m p l e m e n t a t i o no fv p no nf o r c e sa r c h i t e c t u r e w h i c hb a s e do nn e t w o r kp r o c e s s o r , s u c ha s ：( 1 ) d e s i g n i n gt h eo v e r a l l v p nc o n s t r u c t i o na c c o r d i n gt ot h ef o r c e sa r c h i t e c t u r e ( 2 ) m o d e l i n go f v p nr e l a t e dl f b sa c c o r d i n gt of o r c e sf em o d e l ( 3 ) a s s i g n i n gt h e r e s o u r c eo fn e t w o r kp r o c e s s o re f f i c i e n t l ya c c o r d i n gt ot h ec h a r a c t e r i s t i c o fi t ( 4 ) r e s e a r c h i n go nt h ec o n f i g u r a t i o np r o t o c o lo fv p nw h i c hb a s e d o nt h ef o 疋e sa r c h i t e c t u r ea n ds oo n i i i 浙江工商大学硕l ：研究生学位论文 b a s e do nt h er e s e a r c ho fa b o v ek e yt e c h n o l o g i e s ，t h em a i nw o r ko f t h i sp a p e ri si n c l u d e da sf o l l o w i n ga s p e c t s ： p r o p o s e daf o r c e s b a s e dv p na r c h i t e c t u r eb a s e do nn e t w o r k p r o c e s s o r , c a u s i n gt h ev p n t oe x p a n de x t r e m e l y f l e x i b l y p r o p o s e dt h em o d e lo fi p s e ci n b o u n da n do u t b o u n dp r o c e s s i n g l f bb a s e do nf o r c e sa r c h i t e c t u r e t h et h i r d p a r t yo fs a f e t y m a n a g e m e n ts o f t w a r em a yc a r r yo nt h ed e v e l o p m e n tb a s e do n t h e s el f b sw h i l en o tt oc a r ea b o u tt h ed e t a i lo fh a r d w a r e r e a l i z a t i o n d e v e l o p e da n di m p l e m e n t e di p s e cv p n r e l a t e dl f b si nt h ei n t e l i x aa r c h i t e c t u r e ，a n dv e r i f i e dt h ev a l i d i t yo fl f bm o d e l sp r o p o s e d b yt h i sp a p e r d e s i g n e da n di m p l e m e n t e do fc o n f i g u r a t i o np r o t o c o lo fi p s e cs a b e t w e e nk e r n e ls p a c ea n du s e rs p a c eo fe m b e d e dl i n u xs y s t e mo f n p , w h i c hi sb a s e do nt h ec h a r a c t e rd e v i c ed r i v e rm e c h a n i s m t h em a n a g e m e n to fi p s e cs ai so fs p e c i f i c a t i o na n de x p a n s i o n w h e nt h eu s e rs p a c ea n dk e m e ls p a c ef o l l o w e dt h i sp r o t o c 0 1 w eh a v ei m p l e m e n t e daf o r c e s - b a s e dv p np r o t o t y p eb a s e do n i n t e ln pp l a t f o r m s e v e r a lt e s t sa r ed o n eo nt h ep r o t o t y p e t e s tr e s u l t s h o w st h a tt h ef u n c t i o no ft h ev p ni sc o r r e c ta n dh i g h l ye f f i c i e n t t h e a r c h i t e c t u r ep r o p o s e db yt h i sp a p e rt e s t i f i e st h ef e a s i b i l i t yo ff o r c e s s p e c i f i c a t i o na n dp r o v i d e st h ei m p o r t a n tt e c h n i c a lp a r a m e t e rf o rt h e i v 浙江工商人学硕： ：研究生学位论文 f o r c e sa p p l i c a t i o n k e y w o r d s ：n e t w o r kp r o c e s s o r ；f o r c e s ；l f b ；v p n ；i p s e c ；c h a r a c t e r d e v i c ed r i v e r v 浙江工商人学硕1 j 研究生学位论文 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得浙江工商大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的p - - - 志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示谢意。 签名盟兰丝眺 年月日 关于论文使用授权的说明 本学位论文作者完全了解浙江工商大学有关保留、使用学位论文 的规定：浙江工商大学有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存、汇编学位论文，并且本人电子文档的内容和纸质论文的内 容相一致。 保密的学位论文在解密后也遵守此规定。 签名：删导师签名： 日期：年 月 日 浙江_ t 商人学硕士研究生学位论文 1 绪论 i n t e m e t 从诞生到现在，以惊人的速度在发展。i n t e m e t 的互联性和开放性使 得世界各地的人们可以实现信息的交换和共享，使得我们的生活和工作都变得更 加便捷。但是，在i n t e m e t 给我们提供以前无法想象的方便的同时，它也为黑客 和计算机犯罪提供了可乘之机，使得我们需要考虑更多的安全因素。目前，外部 网络对内部网络的非法访问和攻击以及在i n t e m e t 中传输的信息被窃取或非法篡 改是我们面临的最重要的不安全因素。具备数据认证和加密功能的安全网关是目 前保证网络安全行之有效的手段之一。 1 1 研究背景 1 、f o r c e s 技术 f o r c e s 是i e t f ( 互联网工程任务组) 路由领域( r o u t i n ga r e a ) 的一个工作 组，专门研究开放可编程的路由器体系结构和协议问题，是当前开放可编程网络 研究最受关注的研究组织之一。它的基本思想是把路由器分成转发件 ( f o r w a r d i n ge l e m e n t s ，f e ) 和控制件( c o n t r o le l e m e n t s ，c e ) ，并认为其可由 c e 、多个( 可达几百个) f e 以及连接它们的f o r c e s 协议【i 】构成。 将转发件与控制件分离需要定义一个结构化的框架以及相关的协议，使一个 f o r c e s 网络单元( n e t w o r ke l e m e n t ，n e ) 内部的控制平面( c o n t r o lp l a n e ) 和转发 平面( f o r w a r d i n gp l a n e ) 之间的信息交换标准化，从而使c e 与f e 成为在物理 上分离的标准组件。这种在物理上分离网络设备组件，并使用统一的标准和规范 来指导产品的开发与运营的做法，充分发挥了开放网络的优势，使得各个组件按 照相应的功能划分，各自独立发展，互不干涉，在一定程度上加速了这些组件的 开发与发展。另一方面，各组件间相应的标准协议接口，又能迅速地把这些组件 有机地组合成为一个整体，实现与普通组件组成的系统完全相同或更多的功能。 迄今为止，i e t ff o r c e s 工作组已经完成了f o r c e s 需求【2 】( f o r c e s r e q u i r e m e n t s ，r f c 3 6 5 4 ) 、f o r c e s 框架例( f o 妃e sf r a m e w o r k ，r f c 3 7 4 6 ) ，当 前的工作重点是f o r c e s 协议和f o r c e sf e 模型【4 1 。自从i e t ff o r c e s 工作组成 浙江t 商大学硕十研究生学位论文 立以来，本课题研究组的部分成员和其他来自i n t e l ，n o k i a ，i b m 和z n y x 等公 司的代表一起通过邮件和参加i e t f 国际会议等形式相互交流和讨论，并作为主 要作者参与了f o r c e s 协议规范( f o r c e sp r o t o c o ls p e c i f i c a t i o n ) 的设计与编写工 作。 2 、网络安全与v p n 随着i n t e m e t 在全世界范围内的迅速扩展，人们越来越依赖它进行方便、快 捷的信息交流，i n t e m e t 使用t c p i p 协议将各种信息封装成i p 包在网络上传递， 然而，目前流行的t c p i p ( i p v 4 ) 协议在设计之初侧重于效率而忽略信息的保密、 认证等安全性问题，网上传送的信息可能被偷看( 无法保密) ，可能被篡改( 无法保 证完整性) ，人们对接收到的信息无法验证它是否真的来自于可信任的发送者( 无 身份验证) ，人们也无法限制非法或未授权用户侵入自己的主机等等。t c p i p 的 安全缺陷让网络黑客有可乘之机发动各种攻击( 比如地址欺骗攻击、拒绝服务攻 击等) ，同时也无法满足人们对网络传送信息越来越高的安全要求( 比如个人电子 邮件、信用卡号的保密，电子商务活动中商家、客户及银行的各种敏感信息的安 全，分散办公的企业内部信息的保密和安全访问控制等) 。为了弥补t c p i p 的安 全缺陷，人们制定了各种安全措施，有的在应用层实施( 如e m a i l ，客户端使用 p g p ( p r e t t yg o o d p r i v a c y ，一种加密软件) 来保障电子邮件安全) ，有的在传输层实 施( 如w w w 目前使用t l s 协议在t c p 顶端提供身份验证、完整性校验和保密 性安全服务) 。i p s e c ( i ps e c u r i t y ) 则是在网络层针对i p 包提供数据保密性、数 据完整性、数据源认证和抗重播的安全服务【5 】，由于i n t e m e t 上所有信息都通过 i p 包传送，因此i p s e c 是目前唯一一种能为任何形式的i n t e m e t 通信提供安全保 障的协议，可以不用修改任何上层应用协议和传输层协议，“无缝”地从网络层 获得安全保障，共享i p s e c 提供的安全服务，实施i p s e c 。以实现端到端、安全 的虚拟专用网v p n ，满足人们对i n t e m e t 传送信息的安全要求【6 】。 在国外，i n t e m e t 己成为全社会的信息基础设施，企业端应用也大都基于i p ， 在i n t e r n e t 上构筑应用系统己成为必然趋势，因此基于m 的v p n 业务获得了极 大的增长空间。在2 0 0 3 年，全球v p n 市场达到了1 8 0 亿美元，预计到2 0 0 8 年 将超过3 0 0 亿美元。v p n 将会成为人们网络生活的重要组成部分。在不远的将 来，v p n 技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的 2 浙江工商人学硕j ：研究生学位论文 建设和运行维护费用，而且增强了网络的可靠性和安全性。同时v p n 对推动整 个电子商务、电子贸易将起到不可低估的作用【1 0 】。 3 、n p 技术 n p ( 网络处理器) 技术的采用实现了c p u 的业务控制和n p 的数据转发这 两个层面的分离，能够使c p u 专注于它所擅长的方面。将c p u 从繁琐的业务控 制流程里分离出来，从而能够保证网络更好的安全策略管理。现在操作系统基本 上也是多核系统，虽然在安全保证问题上表现良好，但是它在可扩展性和性能上 的提高是存在瓶颈的。c p u 对于业务的控制和网络数据的转发引擎处理分离以 后，可以降低对操作系统的要求。c p u 可以做非常复杂的安全控制，即使我们 处理策略不是最优化的，功能还需要持续增加，但是由于网络数据处理引擎能够 保证数据的快速转发，c p u 载荷会大为降低，n p 技术最大的优势就是它在系统 整体性能上表现优异。n p 技术采用了以后能够实现网络安全数据转发和过滤的 全线速，但在安全领域涉及到安全的过滤、a n 解密处理时性能会有所下降，从 系统的整体表现而言，还是要大大优于c p u 架构的网关。 网络设备技术和路由交换技术经过了二十多年的发展，起初由于网络带宽 小，设备都是以c p u 的处理为中心的体系结构，随着网络带宽的技术的升级发 展到a s i c 和n p 体系结构。而安全网络产品，直到前几年才有了快速发展，但 对于大多数网络安全设备而言，在计算机架构方面还停留在以c p u 集中处理为 主的技术阶段。 n p 是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、 协议分析、路由查找、声音数据的汇聚、防火墙、q o s 等。 1 2 国内外研究现状 1 2 1 f o r c e s 框架研究 在2 0 0 4 年初，f o r c e s 工作小组将g r m p 、f a c t 、n e t l i n k 2 三个候选协议 合并生成了f o r c e s 协议。目前，f o r c e s 协议还没有生成r f c ，所以现阶段的 主要工作是研究实现f o r c e s 系统结构。现今，国际上对f o r c e s 系统结构研究 如下 9 1 ： 浙江t 商人学硕1 ：研究生学位论文 1 、i n t e lc p p d k i n t e l 公司开发出了一套基于n p f 标准的控制平面软件开发套件( c o n t r o l p l a n e p l a t f e i r md e v e l o p m e n tk i t ，c p p d k ) ，c p p d k 作为i n t e li x a s d k 4 1 ( i n t e m e te x c h a n g ea r c h i t e c t u r e - s o f t w a r ed e v e l o p m e n tk i t ) ( i x a - s d k 是i n t e l 为 其网络处理器提供的一套集成开发环境) 的一个组件提供。网络处理技术论坛 ( n e t w o r kp r o c e s s i n gf o r u m ，n p f ) 是由7 0 多家网络行业公司组成的一个组织， 负责制定通用规范，旨在推动和加快基于网络处理技术的网络和电信产品的开 发。p d k 构建于可扩展的体系结构之上，符合n p f 软件基础和i e t ff o r c e s 消 息发送协议。它可将控制平面与数据平面的功能相分离，从而实现了产品的并行 开发，进而大幅缩短产品上市时间。i n t e l 在其c p p d k 中说明使用f o r c e s 协议 作为其控制平面和转发平面的通信标准，但是并没有在其中实现f o r c e s 协议。 2 、我们的工作 我们在通用处理器上开发c e ；以网络处理器为硬件平台，以m o n t a v i s t a l i n u x 为软件平台，在i n t e li x a s d k 4 1 的基础上开发f e ，并依据最新的f o r c e s 协议草案( i n t e m e td r a f t ) ，对f o r c e s 协议软件进行研究与实现。目前，我们正 在根据f o r c e s 协议开发f o r c e s 原型机v 3 。 3 、f l e x i n e t f l e x i n e t 也是基于f o r c e s 结构。和我们一样，该项目的转发件也是基于网 络处理器进行开发的。和我们课题组不同的是控制件采用j a v a 而不是c c + + 作 为编程语言。 4 、d i s t r i b u t e dc o n t r o lf o rd e c e n t r a l i z e dm o d u l a rr o u t e r s 瑞典的m h i d e l l ，o h a g s a n d ，p s j o d i n 实现的路由器，也是基于f o r c e s 结构的。其系统控制件基于u n i x 和z e b r a 路由软件，转发件采用通用l i n u x 。 1 2 2 v p n 研究 虚拟专用网是近几年迅猛发展起来的网络技术，研究的范围和深度也越来越 广泛和深入。i e t f 已经制定了多个关于v p n 方面的r f c 。同时国内外很多厂商 也已经根据这些r f c 以及一些业界标准生产出了许多适合不同应用的v p n 设 备。特别是国外的网络设备、操作系统厂商在v p n 方面都走在了最前端，c i s c o 、 4 浙江t 商入学硕十研究生学位论文 a s c e n d 、n e t s c r e e n 和m i c r o s o f t 等大公司都从不同的方面做着完善v p n 的工 作。根据所选协议的不同，不同的公司会侧重不同的v p n 协议，例如c i s c o 和 很少的几个厂家倾向于l 2 f ，n o v e l l ，在某种程度上包括c i s c o ，也积极探索i p s e c j 【8 】 o 就产品而言，在国外c i s c o 、n e t s c r e e n 的产品处于领先的位置，n e t s c r e e n5 0 0 、 1 0 0 0 系列和5 0 0 0 系列产品为支持v p n 的高端路由器。在使用3 d e s l 6 8 b i t 的算 法时其v p n 的处理速度为2 5 0 m b p s 到6 g b p s 。之所以能够达到如此高的速率， 是因为它使用最多达6 个处理器并行的工作，网络接口使用的是千兆模块。其它 的特性有：l 、最大实现2 5 0 0 0 个隧道；2 、支持手工密钥配置、i k e 密钥协商和 p k i 公共密钥体制x 5 0 9 证书系统；3 、支持3 d e s l 6 8 b i t 、a e s l 2 8 b i t 和d e s 5 6 b i t 的加密算法。低端产品有n e t s c r e e n5 和5 0 系列防火墙产品。其v p n 的通过率 可达1 0 m b p s 。支持d e s 和3 d e s 加密算法。 c i s c o 支持v p n 的路由器很多。在使用3 d e s 结合s h a l 的情况下测试其 v p n 的处理速度如下：c i s c o2 6 0 01 0 m b p s ；c i s c o2 6 5 01 4 m b p s ；c i s c o3 6 6 0 4 0 m b p s ；c i s c o7 1 0 01 4 0 m b p s ；c i s c o7 2 0 01 4 5 m b p s 。这些设备都实现了i p s e c 、 一 g r e 、l 2 t p 和p p t p 隧道协议，使用d e s 、3 d e s 加密算法，支持x 5 0 9 证书系 统、r s a 签证、共享密钥、r a d i u s 协议、c h a p p a p 协议等，使用i k e 密钥管 、 理协议。c i s c o 的p i x 防火墙在安装了v p n 模块后也支持v p n 功能，这些产品 都是用专用的平台和c i s c oi o s 操作系统。 在国内，v p n 产品也很多，有软件实现的v p n ，如安联软件v p n ；有软硬 结合的v p n ，如s w a nv p n 、西马v p n 、大卫n g u a r d e rv p n 系统等。 其中，安联软件v p n 可以使用1 2 8 b i t 硬件加密卡。s w a nv p n 在i o m e t h e r n e t 的环境下，其使用3 d e s 与s h a l 相结合的处理速度只有3 m b p s 。不支 持远程v p n 客户端。西马v p n 为西马安全网关的可选模块，其处理速度不详， 支持r s a 和3 d e s 算法。大卫v p n 系统由安全客户端、安全网关和目录服务器 组成。其中安全客户端为软件实现，安全网关和目录服务器是基于专有硬件平台 实现的，其安全网关的v p n 处理速度不掣9 1 。 就我国互联网的使用现状而言，随着企业上网、政府上网工程的推进，互联 网普及到了学校、政府部门、企业、科研单位、军事单位等等。这些企事业单位 浙江工商人学硕十研究生学位论文 的网络基础设施已经建立，但却没有任何保护，信息安全问题亟待解决。而且目 前国内的相关产品和处理速度过低、或存在安全隐患，远远不能满足需求。 1 2 3 基于n p 的f o r c e s 架构v p n 研究 i e t f 已经就基于f o r c e s 架构的v p n 相关技术进行了研究，并根据f o r c e s 协议制定了相关的一些逻辑功能块( l o g i c a lf u n c t i o nb l o c k ，简称l f b ) 。例如 华为作为i e t f 路由领域的一个工作组成员，就根据f o r c e s 协议提出了一套v p n 相关的l f b 模型库，并列在了i e t f 的d r a f t 中。可以参考： h t t p ：w w w i e t f o r g i n t e r n e t d r a f l s d r a i t h a l p e m - f o r c e s - l f b l i b r a r y - v p n 一0 0 t x t 其它一些大学及其研究机构也在针对网络处理器开发v p n ，并发表了多篇 关于在网络处理器中实现v p n 的论文。例如：中国科技大学研究所、中国科学 院以及福州大学计算机学院等研究和发表的“基于网络处理器的高性能i p s e c v p n 的设计方案 【l l 】、“基于网络处理器的i p s e c 协议实现技术的研究，【1 2 1 、“基于 网络处理器的i p s e c 的实现方案研究”【l3 j 等多篇论文。 同时一些个人和组织也在开发开源的i p s e cv p n 1 4 】【1 5 】，为v p n 的进一步应 用和改进做出了巨大贡献，例如o p e n s w a n t l 6 】，它是一个免费的、公开源代码的 v p n 安全软件，它的开源以及应用为开发基于f o r c e s 架构的v p n 提供了重要 参考，一些公司和组织就是用它来作为f o r c e s 架构路由器中的第三方软件。 一些公司也在针对网络处理器开发i p s e cv p n ，例如信雅达股份有限公司致 力于研究开发基于i n t e li x p l 2 0 0 架构的v p n 网关产品，实现了国际上网络安全 产品的先进设计理念，研制成功了以自我核心技术为主体的虚拟专用网系统 ( v a n ) 。初步形成信雅达( i o m i o o m ) 安全系列产品：信雅达v p n g a t e w a y 、信 雅达v p n r e m o t e 、信雅达v p n s m c 、信雅达v p n o p t s 、信雅达v p n m i n i c a 。 还有i n t e l 开发的i x p 2 8 5 5 网络处理器，它也是利用转发件和控制件分离的思想 进行实现的。他们在单个高性能处理芯片上集成实现数据的加解密，完成的算法 有d e s 、3 d e s 、a e s 和s h a 1 ，数据的加解密速度达到了1 0g b p s 。 此外一些参加f o r c e s 标准协议制定的公司【1 7 】【1 8 】，如z n y x ，也在研究和设 计基于f o r c e s 架构的v p n ，他们采用s g 8 0 0 1 作为f e ，加解密速度达到5 0 m b p s 。 6 浙江工商人学硕十研究生学位论文 1 3 本文的研究内容 本论文依托浙江省科技计划重大专项“f o r c e s 国际标准制定及产品研发与 产业化应用”，主要研究基于网络处理器的f o r c e s 架构开放可编程路由器中v p n 功能的实现技术。主要研究内容如下： 内容l ：f o r c e sv p n 的体系结构研究 在f o r c e sv p n 体系结构中，l f b 作为系统资源是提供各种网络安全服务的 实体和要素。c e 可以实现对l f b 的完全控制，包括l f b 拓扑配置和l f b 属性 配置。 内容2 ：f o r c e sv p n 中相关l f b 的研究 f o r c e sv p n 内的资源被表示成各种不同的l f b ，l f b 及它的属性都是可 以由控制件通过f o r c e s 协议进行控制的，各个l f b 之间的连接关系也是由c e 经过f o r c e s 协议定义，以形成不同的l f b 拓扑结构、进而实现动态资源配置、 以完成各种不同类型的网络安全服务。模型化的l f b 允许我们用很少的l f b 来准确的描述f e 的功能( 例如i p v 4f o r w a r d e r ) ，而且能够描述更加复杂的网络 功能，本文主要研究了i p s e cv p n 相关l f b 的建模技术。 内容3 ：基于i n t e l 网络处理器的f o r c e sv p n 中l f b 的开发实现 i x a 可移植性框架【1 9 】【2 0 】【2 1 1 中的资源管理库为应用提供了访问微引擎的a p i ， 比如硬件的资源管理接口【2 2 1 。开发人员可以利用资源管理库来实现对l f b 属性 库的开发。 内容4 ：基于i n t e l 网络处理器的v p n 的配置协议研究 v p n 配置具有操作的多样性和参数的复杂性，通过对基于i n t e l 网络处理器 的v p n 的配置协议使得软件的开发更具规范性和扩展性。 1 4 本文的创新点与主要贡献 本文的研究内容基于f o r c e s 体系结构的开放可编程路由器【1 8 】【1 9 1 1 2 0 】【2 l 】，这 种路由器的结构设计遵循i e t ff o r c e s 工作组提出的f o r c e s 协议、f o r c e sf e 模型、f o r c e s 框架和f o r c e s 需求等协议。本课题组部分成员作为f o r c e s 协议 规范的主要作者，参与了该协议的设计与编写工作，对该领域有颇深的理解与认 7 浙江工商大学硕j 二研究生学位论文 识。 本文关注f o r c e s 架构下如何实现v p n 的问题，主要的创新点和贡献有： 1 提出了基于n p 的f o r c e s 架构v p n 的体系结构，使得v p n 的扩展非 常灵活，厂商可以在保持控制件上的软件不变的情况下实现新的v p n 转发件。 2 提出了基于f o r c e s 架构v p n 的i p s e c 入站和出站处理l f b 模型。第 三方的安全管理软件可以基于i p s e cl f b 进行开发而不用关心v p n 底 层硬件的实现细节。 3 在基于i n t e l 网络处理器的可移植性框架中开发实现了i p s e cv p n 的 l f b ，验证了本文提出的i p s e cl f b 实施的可行性。 4 设计并实现了一种n p 的嵌入式l i n u x 系统中基于字符设备驱动的用户 空间与内核空间通信的i p s e cs a 的配置协议，用户空间与内核空间的 i p s e cs a 配置遵循这种协议，使得i p s e cs a 的管理具有一定的规范性 和扩展性。 由于f o r c e s 协议还没有成为标准协议，并且基于网络处理器的f o r c e s 架 构路由器的开发在国内外尚处于研究阶段，所以本文的开发工作具有一定的创新 性，为f o r c e s 架构路由器支持网络安全功能提供了实例，而且为f o r c e s 协议 的可行性和推动i e t ff o r c e s 标准协议的制定提供重要依据，同时也为f o r c e s 协议的继续研究提供了参考。 1 5 本文结构 本文的正文部分共分为六章，现将其内容概述如下： 第一章是绪论，首先介绍了本课题的研究背景，包括f o r c e s 技术、网络安 全与v p n ，n p 技术，然后介绍了f o r c e s 框架研究、v p n 研究以及f o r c e s 架 构v p n 研究的现状和意义。在此基础上，提出本文的研究内容、主要贡献及创 新点，最后是本文的内容安排。 第二章介绍了f o r c e sn e 的体系结构和f o r c e sf e 模型，然后介绍了v p n 的一些基本概念、i p s e c 协议以及n p 架构与网络设备，最后在此基础上给出了 基于n p 的f o r c e s 架构v p n 的实现需求。 浙江工商人学硕十研究生学位论文 第三章详细介绍了f o r c e sv p n 中实现i p s e c 的一些关键技术。包括基于网 络处理器i x p 2 8 5 0 的资源研究和分配，i p s e cl f b 及其拓扑结构的研究和设计， 安全关联数据库管理的研究和设计，以及基于n p 的i p s e cs a 的用户空间与内核 空间的通信机制研究和配置协议的设计等。 第四章重点阐述了f o r c e sv p n 内i p s e c 的模块划分和关键模块的具体实 现。包括基于n p 的i p s e c 出站和入站核模块的实现，s a d b 管理微模块和核模 块的实现，并实现了i p s e cs a 的用户空间与内核空间通信，验证了本文设计的 i p s e cs a 的通信协议的正确性和合理性等。 第五章主要根据本文给出的模型及实现方案进行测试，并对测试结果进行了 分析，证明了本文提出的基于n p 的f o r c e s 架构v p n 方案的正确性与可行性。 第六章对现有研究工作做了总结，并对进一步的研究工作提出了自己的想法 和见解。 9 浙江- t 商人学硕上研究生学位论文 2 基于n p 的f o r c e s 架构v p n 实现的需求分析 传统的安全技术是将基于各种安全技术的产品彼此独立的实现、部署实施及 维护，这样的防御系统不断需要巨大的管理配置开销及软硬件成本，重要的是面 对隐藏性强、混合性高、从探测漏洞到发起攻击快的组合型攻击，单个技术已经 不能抵御。基于f o r c e s 的v p n 研究不仅是针对各个技术本身分支的研究，它 通过将网关设备分离为转发件与控制件，同时进一步将内部各资源部件以及相互 连接的接口进行模块化和标准化。f o r c e s 技术可使网关的开发设计过程成为一 个积木化搭建过程，在此基础上可实现网关设备的控制软件和基础硬件分离，不 同的模块、软件和硬件可由不同厂家独立研发生产。基于f o r c e s 的v p n 允许 各种网络安全功能的快速配置和重组，实现智能化的动态安全网络，可大大加快 和方便网络安全升级。本章首先介绍了f o r c e s 的体系结构以及f e 模型，然后 对i p s e c 协议及n p 技术进行了研究，最后提出本文所要做的一些具体的研究内 容。 2 1 f o r c e s 体系结构及f e 模型 按照f o r c e s 的基本思剁1 】【2 】【3 】【4 1 ，将f o r c e s 路由器分为c e 端和f e 端， c e 主要处理f o r c e s 协议消息，并负责建立、配置和更新f e 在处理数据包时需 要查找的表和数据结构等。例如，c e 处理路由信息协议( r o u t i n gi n f o r m a t i o n p r o t o c o l ，r i p ) 的数据包，并发送f o r c e s 协议消息通知f e 更新本地的转发表。 f e 主要负责按线速处理和转发数据包，独立完成大部分数据包的转发，而 对于一些涉及路由和其它协议消息的数据包，则需要递交给c e 进行进一步处理。 在f e 内部，根据对数据包进行的不同处理操作，可将其分成不同的l f b ，常见 的有分类l f b ，转发l f b 和调度l f b 等。 转发件f e 内的体系结构主要由f o r c e sf e 模型标准定义，f e 内基本结构 如图2 1 所示。 1 0 浙江t 商大学顶研究生学位论文 到c e 一璐f e 篇器鬻 t 霎? 毫孵 圈2 - 1 f o r c e s 转发什f e 模型 f e 内的资源被表示成各种不同的l f b 。l f b 及其属性都是可以由c e 通过 f o r c e s 协议进行控制的，各个l f b 之间通过用于i p 数据包传递的数据通道 ( d a t a p a t h ) 相互连接。该连接关系也是由c e 经过f o r c e s 协议定义，以形成 不同的l f b 拓扑结构，进而实现动态资源配置、以完成各种不同的i p 类型服务。 典型的l f b 如分类器( c l a s s i f i e r ) 、调度器( s c h e d u l e r ) 、口v 4 或i p v 6 转发器 ( f o r w a r d e r ) 等。 f e 模型可以表示出f e 的能力、状态和配置。c e 根据这些信息对f e 执行 相应的控制操作。确切地说该模型描述了f e 的逻辑功能，以及这些功能所支 持的能力和如何实现这些能力的。 f e m o d e l 由两个主