（计算机系统结构专业论文）vpn管理系统的研究与实现.pdf

东南大学硕士论文v p n 管理系统的研究与实现 摘要 随着i n t e r n e t 和i n t r a n e t 的进一步普及，以及全球范围内对远程局域网访问需求的进步 增大网络技术不断革新，并推出了新一代网络：虚拟专用网( v i r t u a lp r i v a t en e t w o r k s ) 。虚 拟专用网为我们带来了网络发展的又一次革命，它的创建可以使企业获得巨大的经济和社会效益。 本论文的研究内容是国家8 6 3 项目“江苏地区现代集成制造系统总体方案与关键技术攻关” 的一部分：v p n 管理系统的设计与实现。旨在针对v p n 的特性，探讨与之相关的网络管理技术， 设计相应的原型系统并实现。 本文在理论研究方面，首先介矧了v p n 的基本原理、运行机制和与管理相关的一些概念，对 丁二v p n 中的核心概念也是v p n 的管理重点对象隧道进行了详细的阐述。由于本原型系统 是对基于i p s e c 的v p n 的管理因此对于i p s e c 协议进行了相关的分析，特别是对于l p s e c 下建 立隧道所要用到的s p d 、s a d 进行了详细的讨论。然后介绍了网络管理的功能、实现结构，并对于 i n t e r n e t 上的网络管理标准s n m p 备版本的协议进行了分析，通过比较给出了v p n 管理系统的总 体结均和所要使用的管理协议。 本文在原型系统开发方面，首先给出了原型系统的实现思想和实现方法。然后给出了总体设 计方案，并就每个模块进行了详细的说明，包括代理端和内核的交互、m i b 的建立、管理端各 子模块的设计、p d u 的具体格式，以及报文处理模块的设计。最后对系统进行了总体调试。 关键字：v p n ，嘲络管理，m i b ，s p 。 东南大学硕_ 上论文 v p n 管理系统的研究与实现 a b s t r a c t n o w a d a y s ，w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e ta n d i n t r a n e t t h ed e m a n do fr e m o t e a c c e s s i n go fl a ni n c r e a s e ss o f a s t n e t w o r kt e c h n o l o g i e sd e v e l o pd a ya n dd a ya n dv p n t e c h n o l o g yiso n eo ft h o s et e c h n o l o g i e s v p ni sa n o t h e rn e t w o r kr e v o l u t i o na n di tw i l l b r i n gu s i m m e n s ee c o n o m i ea n ds o c i a lb e n e f i t s t h et h e s i s ，b a s e do nt h es t a t e8 6 3p r o j e c t ：t h eo v e r a l ls c h e m ea n dk e yt e c h n o l o g y o fc i m si nj i a n g s up r o v i n c e ，“t h ed e s i g na n di m p l e m e n to fv p nm a n a g es y s t e m ”m a i n l y r e s e a r c h e st h en e t w o r km a n a g e m e n tt e c h n o l o g ie sr e l a t e dt ot h es p e c i a l i t i e so fv p n a n d w ed e s i g na n di m p l e m e n tav p nm a n a g e m e n ts y s t e ma n dt e s ti t i nt h e o r yr e s e a r c h ：t h et h e s isf i r s t l yi n t r o d u c e st h eb a s et h e o r yo fv p n ，t h er u n n i n g m e c h a n is ma n ds o m e i m p o r t a n tc o n c e p t s r e l a t e dw i t hv p n m a n a g e m e n tp a r t i e u l a r l y ， d e s c r i b e st h ek e r n e lt e c h n o l o g yo fv p n t u n n e lt e c h n o l o g y s i n c eo a rp r o t o t y p es y s t e m i sa b o u t i p s e cb a s e dv p n 。t h et h e s i sr e s e a r c h e st h ei p s e ep r o t o c o lsa n dt h et u n n e l m e c h a n i s mo fi p s e c t h e ni n t r o d u c e st h ef u n c t i o h sa n da r c h i t e c t u r e so fn e t w o r km a n a g e m e n t s y s t e m a n da n a l y z et h ed i f f e r e n tv e r s i o n so fs pp r o t o c 0 1 b yc o m p a r i s o nw eg i v et h e w h o i ea r c h i t e c t u r eo ft h ev p nm a n a g e m e n ts y s t e ma n d t h ep r o t o c 0 1st h e s y s t e mu s e d i ns y s t e md e v e l o p m e n t ：f i r s t l y 。t h et h e s iss h o wt h es y s t e md e s i g np r i n c i p l e 、a n d i m p l e m e n t a t i o nm e t h o d ，t h e ng i v et h ew h o l ea r c h i t e c t a r eo ft h es y s t e ma n de x p a ti a t ee v e r y m o d u l e so ft h es y s t e m ，i n c l u d i n gt h ea l t e r n a t i o no ft h el i n u xk e r n e la n dt h ea g e n tp r o c e s s ， t h ee s t a b l is ho fm i b ，t h es u bm o d u l e so ft h em a n a g e r ，t h ef o r m a to ft h ep d ua n dt h em e s s a g e p r o c e s s i n gm o d u l e a tl a s t w et e s tt h ew h 0 1 es y s t e m k e y w o r d s ：v p n ，n e t w o r km a n a g e m e n t ，m i b ，s p 东南大学学位论文独创性声明及使用授权的说明 一、学位论文狻蓟链声翡 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 王佟及取褥鹃硬究裁聚。尽我爨鳃，除了文中特别加以拣注秘致谢的 遣方外，论文中不包含其德入己经发表或撰写过的研究成巢，也不包 含为获得东南大学或其它教肖机构的学位或证书而使用过的材料。与 我一溺工作麴阕恚对本硬究辑擞的任何爨欺均邑在论文中 乍了明确 鲢说明并表示了谢意。 签名：蚴啦圜期：2 蔓：塑 二、关予学位论文使瘸授权的说蜗 东南大学、中国科学技术信息研究所、瀚家鍪书馆有权徐黎本人 所送交学位论文夔复印 譬嬲逛子文栏，可以果魈影印、缩印或其他复 箭手段谦存论文。本入电子文档的离容帮纸质论文的内容楣致。除 在僳密麓内的保密论文外，允许论文被查阕翻借阕，可以公布( 包括 刊登) 论文懿全部或部分癌窑。论文的公蠢( 包括予| 登) 授权东潦大学 研究生院办理。 j 参c 签名；垒醴露师签名；望哟日期；兰堕釜! 叁兰! 东南大学硕士论文 v p n 管理系统的研究与实现 i i 论文背景 第一章引言 随着因特网进一步普及，以及全球范围内对远程局域网访问需求的进一步增大，网络技术不 断革新，并推出了新一代网络：虚拟专用网( v i r t u a lp r i v a t en e t w o r k s ) 。 虚拟专用网( v p n ) 是在公用网络的基础上使用专用的、安全的通路即隧道( t u n n e l ) 所形成 的虚拟网络，以支持特定用户的使用，使得用户在公网上的数据传输能够像在专用网络中那样安 全、高效。现在众多网络厂商提供多种虚拟专用网( v p n ) 产品，它们采用隧道技术与数据加解密 技术，从而形成了安全可靠的数据通路。众所周知，在过去人们不愿意通过因特网使用自己公司 的局域网，其根源出于安全及性能方面的顾虑，而新一代网络，即虚拟专用网( v p n ) 的技术使这 种顾虑得以消除，从而打开网络技术发展的新篇章。 v p n 的典型配置是，在局域网的出入口处安装一个v p n 网关。v p n 出口网关接受流出的报文， 对用户身份进行认证，然后根据报文的安全级别来采用不同的方法处理，如果有安全的要求，就 在因特网的“云”里形成一条隧道，一直通往接收方的v p n 网关；如果没有则采用一个旁路机制 转发该报文。在前一种情况下，报文被封装在l 2 t p 、i p s e c 等隧道协议中进行传输，这些报文被 i p s e c 或相关协议进行端到端加密，到达入口网关。入口网关接收所有的流入报文，并根据报头 中的协议字段，对加密请求则解密过后转发至目的地址，其余请求则直接转发至目的地址，同时 入口网关还可以具有访问控制的功能。v p n 的环境环境描述如图卜1 所示。 圈卜1v p n 环境描述 v p n 技术的出现使得用户能够利用i n t e r n e t 得到过去使用专线才能得到的安全保障，从而大 大降低了用户的通讯费用。据估算，如果企业放弃租用专线而采用v p n ，其整个网络的成本可节 约2 1 一4 5 ，至于那些以电话拨号方式联网存取数据的公司，采用v p n 则可以节约通讯成本 5 0 一8 0 。除此之外，v p n 还具有容易管理、易于拓展和开发新应用等优点。因此，v p n 技术自从 问世以来得到了极为迅猛的发展。 在国外，v p n 的市场已经相当成熟。国外的许多网络设备厂商都拥有相应的v p n 产品以及方 案，如c i s c o 的1 7 2 0 、3 6 0 0 v p n 路由器，n o r t e l 提出的混和v p n 解决方案，企业使用v p n 也已经 非常普遍。 东南大学硕士论文v p n 管理系统的研究与实现 在国内，近年来v p n 也已经为中国市场上成长迅速的主流消费产品之一。尤其是电信、金融 等行业，由于异地传输的要求多，安全要求高，对v p n 产品的需求日益增多。国内的大型网络设 备厂商如华为、中兴等也已经推出了自己的v p n 产品及解决方案。华为公司在网络操作系统v r p 和相关网络产品的基础上推出了k o m p e l l am p l sl 2v p n 方案，中兴也推出了基于z x r i o 路由器的 v p n 解决方案。 和其他的网络一样，v p n 也需要网络管理，由于v p n 的功能多样性。对于它的管理也比对 般网络的管理要复杂的多。v p n 的功能模块如用户认证、建立隧道、数据加解密、访问控制、服 务质量保证等都需要相应的管理工作。随着v p n 的日益发展，v p n 管理也变得日益重要。 本文围绕v p n 的管理，对v p n 以及网络管理的相关技术进行了一定的研究，最后给出了一个 v p n 管理系统的原型，并对网管系统的安全性做出了一定的分析。 1 2 论文目标 研究基于i p s e e 的v p n 的运行机制及相关协议。 研究网络管理体系结构和相关协议。 在基于i p s e e 的v p n 之上构建v p n 网络管理系统，包括a g e n t 端的信息收集，管理s e r v e r 端的信息处理以及报文处理模块的构建。以实现一个完整的v p n 网络管理系统。 进行总体测试。 1 3 论文安排 第一章是引言部分。 第二章介绍基于i p s e c 的f p n ，分析基于i p s e c 的f p n 的基本要素，介绍其实现框架。说明本项目 的总体框架结构以及各个模块之间的联系。 第三章是网络管理系统的介绍，包括网管系统体系结构的研究比较。 第四章是s 删p 协议的介绍，包括s n n i p 的发展以及各个版本的改进等。 第五章是v p n 管理系统原型的描述。介绍了系统的整体构架和各组成模块的关系，以及a g e n t 端 和s e r v e r 端的报文处理模块。主要对f p n 的配置管理和性能管理的实现做出了比较详细的阐述。 同时给出了一些运行时的效果图 第六章是结束语。 东南人学坝f 。论文v p n 管埋系统的 i i f 究与实现 2 1v p n 介绍 2 1 iv p n 概述 第二章基于ip s e c 的v p n 利用公共网络来构建的私人专日j 网络称为虚拟专用网络( v p n ，v i r t u a lp r i v a t en e t w o r k ) ， 用于构建v p n 的公共网络包括i n t e r n e t 、帧中继、a t m 等。在公共网络上组建的v p n 象企业现有 的私有网络一样提供安全性、可靠i 生和可管理性等。 “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式 娃通过使用专线来实现的，而v p n 是利用服务提供商所提供的公共网络来实现远程的广域连接。 通过v p n ，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙 伴、企业内部资源享用者只需连八本地i s p 的p o p ( p o i n to fp r e s e n c e ，接入服务提供点) 即可 相互通信：而利用传统的w a n 组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网 组成后，山差员工和外地客户只需拥有本地i s p 的上网权限就可以访问企业内部资源；如果接入 服务器的用户身份认证服务器支持漫游，甚至不必拥有本地i s p 的上网权限。这对于流动性很大 的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设v p n 服务所需的设备 很少，只需在资源共享处放置一台v p n 网关就可以了。 简而言之，v p n 网络就是基于公共网络( 主要是i n t e r n e t ) 的安全专用网络，其目的在于利 用公共网络把企业和其贸易伙伴的i n t r a n e t 网络安全的互联起来，在企业和其贸易伙伴之间共享 信息资源。v p n 可以为企业和服务提供商( i s p ) 带来巨大的好处： 对于服务提供商来说，在通过向企业提供v p n 这种增值服务i s p 可以与企业建立更加紧密 的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，v p n 用户的数据流量较普 通用户要大得多，而且时间上也是相互错开的。v p n 用户通常是上班时间形成流量的高峰，而普 通用户的流量高峰期则在l 作时间之外。i s p 对外提供两种服务，资源利用率和业务量都可以大 大增加，从而给i s p 带来新的商业机会。 而对于企业而言，利用i n t e r n e t 组建专用网，将大笔的专线费用缩减为少量的市话费用和 i n t e r n e t 费用。据报道，局域网互联费用可降低2 0 4 0 ，而远程接入费用更可减少6 0 8 0 ， 这无疑是非常有吸引力的；v p n 大大降低了网络复杂度、v p n 用户的网络地址可以由企业内部进行 统一分配、v p n 组网的灵活方便等特性简化了企业的网络管理，另一方面，企业甚至可以不必建 立自己的广域网和接入网维护系统，而将这一繁重的任务交由专业的i s p 来完成；v p n 提高了整 个企业网的互联性，同时良好的扩展性使得企业更好、更快地适应i n t e r n e t 经济的发展，把握商 机：另外，在v p n 应用中，通过远端刚户验证以及隧道数据加密等技术保证了通过公用网络传输 私有数据的安全性。 2 i 2v p n 服务的技术组成 v p n 的设计包含以下原则：安全性、网络优化、v p n 管理等。 在安全性方面，由丁iv p n 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题 也更为突出。企业必须确保其v p n 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对 网络资源或私有信息的访问。外联网v p n ( e x t r a n e tv p n ) 更是将企业阿扩展到合作伙伴和客户， 对安全- 陛提出了更高的要求。 在网络优化方面，构建v p i 、- 的另一重要需求是充分有效地利用有限的广域网资源，为重要数 东南大学瞅上论文 v p n 管理系统的石j f 究与实现 据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流摄高峰时引起网络阻塞， 产生网络瓶颈，使实时性要求高的数据得不到及时发送：而在流量低谷时叉造成大量的网络带宽 空闲。q o s 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得 各类数据能够被合理地先后发送，并预防阻塞的发生。 在v p n 管理方面，v p n 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客 户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完 成许多网络管理任务。所以，一个完善的v p n 管理系统是必不可少的。v p n 管理的目标为：减小 网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，v p n 管理主要包括安全管理、设 备管理、配置管理、访问控制管理、q o s 管理等内容。 2 1 3v p n 的分类 v p n 实现方式有多种，可以根据不同的着重点来区分v p n 。 按v p n 的部署模式分类： v p n 的部署模式从本质上描述了v p n 的通道是如阿建立和终止的，一般有3 种v p n 部署模式： 1 )端到端( e n d t o e n d ) 模式 该模式是典型的由自建v p n 的客户所采用的模式。虽然在该模式中网络设施是被动的，但是 许多融合了的端到端模式解决方案其实是由服务商为它们的客户集成或捆绑实现的。在端到端模 式中晟常见的通道协议是i p s e c 和p p t p 。 2 )供应商一企业( p r o v i d e r e n t e r p r is e ) 模式 通道通常在v p n 服务器或路由器中，在客户前端关闭。在该模式中，客户不需要购买专门的 通道软件，由服务商的设备来建立通道并验证。然而，客户仍然可以通过加密数据实现端到端的 全面安全性。在该模式中，最常见的通道协议有l 2 t p 、l 2 f 和p p t p 。 3 )内部供应商( i n t r a p r o v i d e r ) 模式 这是很受电信公司欢迎的模式，因为在该模式中服务商保持了对整个v p n 设施的控制。在 该模式中，通道的建立和终止都是在服务商的网络设施中实现的。对客户来说，该模式的最大的 优点是他们不需要做任何实现v p n 的工作。在该模式中客户可以获得v p n 的所有的好处( 包括安 全性、减少访问成本等) 而不需要增加任何设备投资或软件投资，整个网络的负担都由服务商承担。 按服务类型分类： 根据服务类型，v p n 业务大致可分为3 类：i n t r a n e tv p n 、a c c e s sv p n 与e x t r a n e tv p n 。 i n t r a n e cv p n ：即企业的总部与分支机构间通过公网构筑的虚拟网 a c c e s sv p n 又称为拨号v p n ( 即v p d n ) ，是指企业员工或企业的小分支机构通过公网远程拨 号的方式构筑的虚拟网 e x t r a n e t7 p n ：即企业问发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网 米构筑的虚拟网 按v p n 技术分类： 这里我们将v p n 技术分为两大类：o v e r l a yv p n 和m p l sv p n o v e r l a yv p n ：o v e r l a yv p n 要求在帧中继、a t i i 或i p 网上建立隧道或加密，这种方案是建立 在点到点连接的基础上的，需要对每条隧道进行单独的配置。 m p l sv p n ：基于m p l s 的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于 m p l s 的网络以网络到网络的方式提供保密性，如同帧中继以连接到连接的方式提供保密性。 由丁i 实验条件所限，本文中所讨论的v p n 只是上述各种v p n 中的一种，采用了端刮端的部署 模式，根据服务类型来看，属t - e x t r a n e tv p n ，而根据技术来看则属于o v e r l a yv p n 。 东南大学硕 。论史 v p n 管理系统的研究与实现 2 2v p n 隧道技术介绍 作为“专刚网络”，7 p n 必须满足如下基本要求： 支持数据分组的透明传输。 v p n 上传输的分组与支持v p n 的公珥= f 网络上传输的分组没有任何关系，它们可以使用不同的 协议，使i j 不同的寻址结构；如果使刚相同的寻址结构，它们的地址空间可以重叠。特别的对 r 以i n t e r n e t 作为支撑网的v p n 可以使用非唯一的私用i p 地址；另外，同一公用网络可以同时 支持多个v p n ，它们之间也是透明的。 支持安全功能。 公_ 【 j 网络( 如i n t e r n e t ) 通常是不安全的建立于其上的v p n 必须满足用户所需要的安全 功能。这些安全功能包括对用户身份的验证以防止数据欺骗。维持数据的隐密性以防e 被偷看， 保证数据的完整性以防i t 被非法篡改等。 v p n 采用了隧道技术来实现上述要求，隧道技术是v p n 的关键技术之一。所谓隧道实质上 是一种封装，它通过将待传输的原始信息( 协议x ) 经过加密和协议封装处理后再嵌套装入另 种挤议( 协议y ) 的数据包送入网络中像普通数据包一样进行传输，实现跨越公共网络传送私 有数据包的目的。经过这样的处理，只有在隧道的源端和宿端用户能够对隧道中的嵌套信息进行 解释羊处理，而对丁其他_ l j 户而言只是无意义的信息。隧道封装实际上是对信息的结构进行变换， 在隧道内部使h j 的数据包格式和寻址方式可以与传输隧道数据包的公共网络所用的格式和寻址方 式不同。从而也可以提供某种程度的内在数据的安全性。 采心隧道机制实现的v p n 的协议体系结构如图2 - 1 所示，这里协议x 称为被封装协议，协议 y 称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般封装形式为( 协 议y ( 隧道头( 协议x ) ) ) 。隧道协议作为一种网络互联的手段，已被广泛应用于各种场台中，如移 动l p ，多点投递等方面。住实现i n t e r n e t 上的v p n 时，我们使用的封装协议为i p 协议，相应的 隧道协议称为l p 隧道协议。 网关网关 圈2 - 1v p n 的隧道体系结构 现有的隧道协议士要包括通用路由封装协议( g e n e r i cr o u t i n ge n c a p s u l a t i o n ，简称g r e ) 、 p p 隧道协议、点剑点隧道协议( p o i n tt op o i n tt u n n e lp r o t o c o l ，简称p p t p ) 、第二层隧道 协议( l a y e r2t u n n e l i n gp r o t o c o l ，简称l 2 t p ) 、i p 安全协议( i ps e c u r i t y ，简称i p s e c ) 等， 尽管这些协议位丁i 不同的层次，实现方法大相径庭，但它们的基本原理都是一致的，下面分别简 单的介纠f 各隧道协议。 g r e 协议，即通用路由封装协议。它是针对一些特殊的封装方案( 如i p 封装i p x ，i p 封装 x 2 5 等) 而提出的通t l f ! | 封装协议，它允许利用任何一种网络协议封装任何另一种网络协议，g r e 的一般封装形式为( 协议y ( g r e ( 协议x ) ) ) ，当封装协议为i p 协议时，它的封装形式为( i p ( g r e ( 协议x ) ) ) 。同时它也支持所有的路由协议，如r i p 、o s p f 、i g p 、e g p 等。通过g r e 封装，用户 可以通过j p 网络左访问i p x 网络、a p p l e t a l k 网络和使用保留地址进行网络互联，或者对公共网 络隐藏企业内部网络的r p 地址。g r e 的应用范围非常广泛，包括移动i p ，p p t p 等环境。 5 东南足学颐【+ 论文v p n 管埋系统的研究与实现 l 2 f p 协议即第二层隧道协议，我们将它与微软的p p t p ( p o i n tt op o f n tt u n n e lp r o t o c 0 1 ) 协议平【jc i s c o 的l 2 f ( l a y e r2f o r w a r d i n g ) 协议归为一类( 事实上l 2 t p 就是p p t p 和l 2 f 的继 承和发展) ，它们都是为利用i n t e r n e t 作为远程访问的基础设施而设计的隧道协议，t 作在o s i i n 体系结掏的第二层。l 2 t p 结合了l 2 f 和p p t p 的优点，可以让用户从客户端或访问服务器端发起 连接。l 2 t p 把链路层的p p p 帧封装在公共网络设施，如i p 、a t m 、帧中继中进行隧道传输。基于 ip 的l 2 t p 的封装形式为( i p ( u d p ( l 2 t p ( 协议x ) ) ) ) 。 i p7 【p 协议，是i e t f 移动i p 工作组提出的用i p 包封装i p 包的协议，其目的是在移动i p 环 境f 实现移动主机与其本地代理之间的通信，该工作组还提出了用于建立隧道的隧道建立协议 ( t u n n e le s t a b l i s hp r o t o c 0 1 ) 。i p i p 的封装形式为( i p ( 隧道头( i p ) ) ) 。 i p s e e 协议，即i p 层安全协议，是i e t f 的i p s e e 工作组提出的将安全机制引入t c p i p 网络 的一系列标准包括安全协议( 鉴别报头a h 和封装负载协议e s p ) 安全关联，密钥管理和安全 算法等等。l 作在o s i r m 体系结构的第三层。“隧道”模式的i p s e e 的封装形式为( i p ( a f t 或e s p ( i p ) ) ) ，相对于其余隧道协议而言，i p s c c 协议具有如f 的优点： 1 )比其他同类协议具有更好的兼容性。在i n t e m e t 上，主要使用的是t c p f l p 协议，而i p s e c 协议和t c p f l p 协议是完全兼容的。 2 )和高层安全协议( 如s o c k sv 5 ) 相比性能更好；和低层安全协议相比，则更能适应通信 介质的多样性。 3 )对传输层以上的应用来说是完全透明的，操作系统中原有的软件无须修改就可以自动拥 有i p s e c 提供的安全功能。 4 )定义了一个开放的体系结构和一个开放的框架，具有良好的可扩展性。 鉴于以上原因，本项目采用了基于i p s e c 的v p n 。 2 3i p s e c 协议标准 i p s e c 是用来增强v p n 安全性的标准协议。i p s e c 协议套件可以“无缝”地为i p 引入安全 特性，提供一种标准的、健壮的以及包容广泛的机制，包括数据源鉴别、无连接数据的完整性验 证、数据内容的机密性、抗重播保护以及有限的数据流机密性保证，可被i p 及上层协议( 如t c p 、 u d p 等) 使刚。 当前认可的i p s e c 标准包含4 个算法无关的基本规范： 1 ) r f c 2 4 0 1 定义了i p 安全体系结构，并指定了i p 验证头( a i ) 和i p 封装安全载荷( e s p ) 等公共元 素： 2 )r f c 2 4 0 2 对i p 验证头进行定义，采用一种算法无关的机制对i p v 4 和i p v 6 包进行认证； 3 )r f c 2 4 0 6 对i p 封装安全载荷进行定义，采用一种算法无关的机制对i p v 4 和i p v 6 包的加密； 4 )r f c 2 4 0 8 定义了i n t e r n e t 安全关联和密钥管理协议( i s a i c m p ) ，包括建立、协商、修改和删 除安全关联( s a ) 的过程和包格式。 2 3 1i p s e e 安全服务 i p s e c 使用两种协议来为v p n 提供安全服务：验证头和封装安全载荷。 1 )验证头( a h ) 。i p s e c 中的验证头支持数据源的鉴别、保障数据的完挫性以及防j h 相同数据 包的不断重播，但它不能用来保证数据的机密性。因此，a h 只有一个头，a l 头包含一个为 待处理的包定位s a 的安全参数索引( s p i ) 、提供对重播攻击的抵抗的序列号和用于保留数据 包的加密m a c ( 信息验证代码) 的摘要的数据验证字段。a h 通常是可以使用的适当协议。 2 ) 封装安全载荷( e s p ) 。e s p 用于确保i p 数据包的机密性、数据的完整性和对数据源的身份验 东南大学坝l 论文v p n 管理系统的研究与实现 证，同时提供抗重播服务。a h 和e s p 两种协议均通过在i p s e c 数据包中使用专门序列号和滑 动”接收窗口技术提供重播服务。s p i 构成e s p 头，填充项和填充长度指示器构成e s p 尾。 每个e s ps a 都至少有一个加密器和一个验证器，随e s p 使用的所有加密算法必须以“加密 算法块链”模式工作，并需要一个包含在载荷字段内的初始矢量来启动加密过程。由于e s p 包的指定处理顺序是：查验序列号、查验数据的完整性、对数据进行解密。因此，序列号和 验证数据采取明文形式。 a h 或e s p 所提供的安全保障完全依赖于它们采用的加密算法。针对一致性测试及互通性， i p s e c 定义了一系列默认的加密算法，这些算法虽可提供常规性质的安全保障。但不适合高度密 集的数据和需要超长期保密的数据。在i p s e c 中，可方便直接地增加新的算法，并不会破坏它的 共通性。a h 和e s p 均能同时以传送模式或隧道模式工作，在i p s e c 的传送模式中，i p 头与上层 协议头之间插入个特殊的i f s e c 头，用来保护上层协议。在i p s e c 的隧道模式中，耍保护的整 个i p 包都要封装到另一个i p 数据包星，同时在外部与内部i p 头之间插入一个i p s e c 头，用来 保护整个i p 数据包。图2 2 描述了分别处于传送模式和隧道模式下的i p 头。 匝 三二回 原始i p 头 传送模式下的i p 头隧道模式下的i p 头 图2 _ 2 传送模式和通道模式下的i p 头 2 3 2 安全关联和安全策略库 安全关联( s a ) 解决如何保护通信数据、保护什么样的通信数据阻及由谁来实行保护的问题。 s a 是两个通信实体经协商建立起来的一种协定。它详细规定了用于保密通信的一组安全参数，主 要包括：鉴别算法、加密算法、协议模式、s a 的源地址、s a 的生存期( ”l ) 和序列号计数器等。 任何i p s e c 的实现方案中始终会构建一个s a 数据库( s a d b ) ，由它来维护i p s e c 协议用来保障数 据包安全的s a 记录。i p s e cs a 是单向保护、成对存在的。也就是说从a 到b 的数据流如果需要 保护，就需要在a 、b 两端都建立一个s a 。同时如果对输入输出的数据流都需要隧道来处理，则 需要针对输入输出分别建立s a 。一个s a 由一个三元组来唯一标识，此三元组包括安全参数索引 ( s e c u r i t yp a r a m e t e ri n d e x ，s p i ) ，i p 报文的目的地址，安全协议( 包括a i 和e s p 协议) 标 识符。当系统发送个需要i p s e c 保护的包时，它在安全关联数据库( s a d b ) 中查询s a ，并应用指 定的处理和安全协议，把s a 中的s p i 插入到i p s e c 的头中。当i p s e c 的对等实体接收到该包时 它也在其s a d b 中按目的地址、协议标识符和s p i 查询s a ，然后根据需要对该包进行不同的处理。 i p s e c 协议中定义了两类s a ：传输模式的s a 和隧道模式的s a 。传输模式的s a 定义为在两 个主机之间的s a 。在i p v 4 中，传输模式的安全协议头位于i p 头和选项之后，上层协议( 如t c p 、 u d p 等) 之前：在i p v 6 中，安全协议头位于基本的i p 头和扩展头之后，但可能位于目的选项之 前或之后。在e s p 协议中，传输模式的s a 为上层协议提供安全服务，对于i p 报头和位于e s p 报 头之前的扩展不提供安全服务：在a h 协议中传输模式的s a 所提供的安全服务涉及到部分i p 报头和扩展报头及选项字段。 隧道模式的s a 定义为一条i p 隧道上的s a ，隧道的两端必须有一端为安全网关。对于隧道 模式的s a ，存在一外部i p 报头，以确定i p s e c 的处理目的安全协议报头位于外部i p 报头和内 7 v p n 管理系统的研究与实现 部i p 报头之间。在a h 协议中，隧道模式的s a 为外部i p 头的一部分提供安全服务，而在e s p 协 议中，它只为封装的报文提供安全服务。 安全策略决定了为一个报文所提供的安全服务。在i p s e e 协议中，策略一股保存在一个数 据库中这个数据库名为安全策略数据库( s e c u r i t yp o l i c yd a t a b a s e ，s p d ) ，系统根据“选择 符”( s e l e c t o r ) 米对数据库进行检索，数据库内包含了为i p 报文提供安全服务的有关信息。 i p 报文的输出和输入处理都要以安全策略为标准。在输出和输入处理的过程中，需要查找 s p d 以判断为这个报文提供了哪些安全服务。为了提供对非对称策略的支持( 亦即对输入和输出 报文提供不同的安全服务) ，可为输山和输入的数据报文分别维护不同的s p d 。 对丁输出处理而言，在s a d b 中进行s a 检索，得到一个指针，指向s a 或s a 簇。s a 或s a 簇 需要根据策略的要求，按照指定的顺序一次对输出报文进行处理。如果s a 尚未建立，就会调用密 钥管理协议来建立s a 。对于输入处理而言，首先要对数据报文进行安全处理，然后根据选择符对 s p d 进行检索，验证对报文采取的策略。 安全策略要求策略管理应用能够增加、删除和修改策略。由于一般s p d 保存在系统的内核中， 所以一般需要提供一个用户接口，以便用户对其进行操作。 2 3 3 密钥管理 庄i p s e c 中，s a 通过对来自s p d ( 安全策略数据库) 的策略进行“命中”来处理个特定的 i p 包。若没有s a ，便需要密钥管理( i k e ) 在i p s e c 通信双方建立“安全联盟”。i p s e c 的密钥 管理部分负责密钥的分发。i p s e c 支持两种密钥管理方式：手动管理方式是指管理员使用自己的 密钥或其它系统的密钥手工设置每个系统，这种方法在小型网络环境中使用比较实际但在大型 网络环境中，这种方式显得繁琐而且容易产生安全隐患：自动管理方式可以随时建立新的s a 密 钥，并可以对较大的分布式系统上使用的密钥进行定期更新。自动管理模式是很有弹性的，但需 要花费更多的时间及精力去设置。i p s e c 利用密钥交换协议( i n t e r n e tk e ye x c h a n g e ，i k e ) 来 进行自动密钥管理。i k e 是o a k l e y 和s k e m e 协议的混合体，并在互联网安全组织及密钥管理协议 ( i n t e r n e ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c o li s a k _ i p ) 的框架内运作。i s a k m p 为互联网密钥管理的架构以及特定的协议提供支持。i k e 定义了通信实体间进行身份认证、协商 加密算法以及生成共享的会话密钥的方法。i k e 中身份认证采用共享密钥和数字签名两种方式， 密钥交换采用d i f f i e h e l l m a n 协议。 r f c 2 4 0 9 对i k e 协商建立i p s e cs a 作了详细的规定，它把整个协商过程分为两个阶段：第一 阶段，双方协商建立个安全的、经过相互身份鉴别的数据通道，这个通道称之为i k es a ，i k es a 保存着双方继续协商所需的加密算法、密钥等安全参数。在第一阶段i p s e cs a 协商中可以采用两 种模式，即主模式( m a i nm o d e ) 和野蛮模式( a g g r e s s i v em o d e ) 。它们的区别主要在于是否对用 户的身份保护，而且它们需要交换的数据包的数量也不同。身份认证可以采用4 种不同的方法，即 数字签名、公钥加密算法、改进的公钥加密算法、共享密钥算法 在第二阶段双方使用第一阶段 协商产生的i k es a 来产生用于上层应用的i p s e cs a 。 2 3 4c a ( 认证中心) 如上所述，在l e e 中，通信烈方的身份认证可以采用4 种不同的方法，即数字签名、公钥加 密算法、改进的公钥加密算法、共享密钥算法。其中公钥加密算法是最有应用前景的方法。为了 保证通信双方能够拥有对方的公钥，并且保证该公钥属于对方，需要一个可信任的第三方认证中 心( c a ) ，由c a 向各通信实体颁发一个证书，证明该实体确实拥有某个公钥。通信双方通过该证 ”的方式来完成身分认证，以确认对方不是冒充者。 认证中心( c a ) 是一个负责发放和管理数字证 5 的权威机构。对于一个大型的应用环境，认 东南大学硕士论文v p n 管理系统的研究与实现 证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负 责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是根 认证中心( r o o tc a ) ，它是所有人公认的权威，如人民银行总行一样。c a 的主要功能：证书的颁 发、更新、查询、作废和归档等。认证中心作为整个网络安全方案的核心如何维护这个认证中 心将直接影响到整个网络的安全性。在证书管理过程中应注意以下几点：由于证书将公钥和唯一 用户名一一对应，所以c a 在为用户创建证书之前必须对用户进行确认。必须保证不给两个用户分 配相同的证书。证书应当以离线的方式产生并且应当避免使用自动的应答机制。这样就保证了 c a 的私钥只是在c a 本机上操作，防止了外来的攻击。证书是每一个用户都可以获取的公共信息， 所以没有必要对证书的传递采用一些特殊的安全机制。由于证书是以离线的方式产生的，所以用 户都需要在自己的目录入口放置一份证书的拷贝。 每一个证书都应该有一个有效期，当证书的有效期结束时，该证书就失效了。为了保证服务 的连续性，c a 应当及时地产生替代失效证书的新的证书。证书的生效机制如下，当前一个证书失 效时下一个证书应当生效，或者可以允许两者之间有一个重叠期。采用后一种方法的好处是当有 大量证书同时到期时。c a 可以在这个重叠期内适当的分散安装和分配证书的工作。通常失效的证 书将被移出目录。但基于稳定性的考虑，它有必要将失效的证书保存一段时间。证书可能在它的 失效期之前被取消。例如，当用户认为他的私钥被泄漏了，或者用户不再使用原来的c a 进行验证 时，或者证书被破坏了。用户证书的取消必须通知c a ，如果可能的话应当尽快提供一个替代的证 书。然后c a 再通过某些离线的方式将证书失效的消息通知证书的主人。i k e 中使用工业标准x 5 0 9 格式的证书。 2 4 基于i p s e c 的v p n 实现框架 本项目的目的是构建个基于i p s e c 、d i f f s e r v 技术的v p n 网关原型系统，本论文的工作是 完成其中的管理模块( 见图2 - - 3 中的虚线部分) ，涉及隧道的配置管理、运行数据的纪录分析等 丁作。 整个系统分为q o s 管理、i p s e c 处理、密钥管理和管理配置