基于Ipsec和SSL的VPN的网络系统的研究与应用.pdf

资源描述

《基于Ipsec和SSL的VPN的网络系统的研究与应用.pdf》由会员分享，可在线阅读，更多相关《基于Ipsec和SSL的VPN的网络系统的研究与应用.pdf（85页珍藏版）》请在三一文库上搜索。

1、西安电子科技大学硕士学位论文基于Ipsec和SSL的VPN的网络系统的研究与应用姓名：瞿燕英申请学位级别：硕士专业：情报学指导教师：雷震甲 20050101 6 9 5 84 4 创新性声明本人声明所呈交的论文是我个人在导师指导F 进行的研究I i 作及取得的研究成果。尽我所知，除了文中特 A J l ) J 口以标注平致谢中所罗列的内容以外，论文中不包含其他人已经发表业撰弓过的研究成果；也不包含为获得I 撕交电子科技人学或其他教育机构的学何或证15 而使心过的材料。与我一同r 作的同忠对本研究所做的任f u J 贡献均已在论文t f 1 ：了明确的说明升表示了谢意。中

2、淆学何论文与资科若有不实之处，本人承担一切相天责任。本人签名盟叁氐口期丛- ，! 关于论文使用授权的说明本人完全了解阿交电子科技人：学有关保留和使川4 学位论文的规定，即：研究生相! 饺攻战学位期间论文I 作的知识产权单何属曲安电子科技人学。本人保i 止毕业离校屙，发表论文域使川论文l ：作成果时署名单位仍然是西安电子科技人学。学校7 f 权保留送交论文的复印什，允I ：布阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采川影印、缩印域其它复制手段保存论文。( 保密的论文在解密后遵守此规定) 本学位论文属丁保密，在年解密后适州本授权阮本人签名导师签名够垂炙年日

3、期沙，。2 9 日期塑! 主：垄：兰垡摘要摘要随着电子商务的迅速发展，虚拟专用网V P N 作为新一代安全技术以其能够提供简单、廉价、安全和可靠的I n t e r n e t 访问隧道而备受青睐。目前，虚拟专用网主要有I P s e c 和S S L 两种技术。企业很难选择适合自己的建网方案。本文深入分析了虚拟专用网V P N 的系统架构、工作原理和安全协议。重点对I P s e c 和S S L 技术进行了对比研究，总结了I P s e cV P N 和S S LV P N 在系统架构和网络安全方面的各自特点。并且从系统体制和安全架构以及网络效能这三大层面详尽地分析和论

4、证了I P s e cV P N 与S S LV P N 两者之间的差异，并在此基础上提出了V P N 的选用原则：I P s e cV P N 技术更适合运用于L A N t o L A N ，特别是针对那些面向远程用户实现所有办公计算机的联网访问；S S LV P N 则更适合于远程用户进行基于W e b 的远程信息访问工作。最后本文通过对V P N 的基本配置、V P N 的网络协议和V P N 的身份验证方法以及V P N 的加密技术的阐述，提出了新的 V P N 网络构建管理和归纳了V P N 的设计原则。进一步为企业用户制定了三种适用于电子商务的V P N 网络方案并实现了

5、一种S S LP r o x yV P N 软件方案，描述了该方案的模块功能。关键词：虚拟专用网I P s e cS S L 电子商务 2 摘要 A b s t r a c t W i t ht h er a p i d d e v e l o p m e n to fe l e c t r o n i cc o m m e r c e ，V i r t u a lP r i v a t eN e t w o r k ( V P N ) b e c o m e sm o r ep o p u l a ra san e wk i n do fI n t e m e ts e c u r et

6、 e c h n i q u ed u et o i t s s i m p l e ，c h e a p ，s a f e a n dr e l i a b l ea c c e s st oI n t e r a c t A t p r e s e n t ，t h e r e a r et W O i m p r o v e m e n t w e n d so fV P Ni nv i e wo f t e c h n o l o g y ，o n ei s I P s e ca n da n o t h e ri sS S L I t i Sd i f f i c u l tf o

7、rc u s t o m e r st Oc h o o s ew h i c ho n ei sb e t t e rf o rt h e i rn e t w o r k s T h ep a p e ra n N y z e st h ea r c h i t e c t u r e ，m e c h a n i s ma n d s e c u r i t yp r o t o c o l so f V P Ni n d e t a i l I tp a y sm o r ea t t e n t i o nt oc o m p a r ea n d s t u d yV P Ns y

8、 s t e mb a s e d o nI P s e co rS S L r e s p e c t i v e l y ，p r e s e n t sp e c u l i a r i t ya n dd e f i c i e n c y o ns y s t e mf r a m ea n dn e t w o r k ss e c u r i t y T h e nt h ep a p e rd e m o n s t r a t e sr e s p e c t i v ec h a r a c t e r i s t i c sa n dd i f f e r e n c e

9、 sb e t w e e nI P s e c V P Na n dS S LV P Ni nv i e wo fs y s t e mf r a m e w o r k s ，s e c u r i t ya r c h i t e c t u r ea n dn e t w o r k s e f f i c i e n c y M o r e o v e r ，ar u l eo fs o l u t i o ni sp u tf o r w a r d ：I P s e cV P N i ss u i t a b l ef o rL A N t o L A N ，e s p e c

10、i a l l y f o r l o n g d i s t a n c e a c c e s st o c o m p u t e r s a n do t h e re q u i p m e n t s H o w e v e r ，S S LV P Ni ss u i t a b l ef o rl o n g d i s t a n c ea c c e s so n l yt oW e b A tl a s t ，t h ep a p e r e x p l o r e san e w V P Na r c h i t e c t u r em a n a g e m e n

11、tb yc l a r i f y i n gt h ec o n f i g u r a t i o n ，p r o t o c o l a n da u t h e n t i c i t yo fV P N M e a n w h i l e ，ad e s i g nr u l eo fV P Ni ss u m m e du pa n dt h r e e k i n d so fV P Ns o l u t i o n sf o re l e c t r o n i cc o m m e r c ea r ee s t a b l i s h e da n dan e wd e

12、s i g no f S S L P r o x y V P Ns o f t w a r ei Sr e a l i z e da n dt h ef u n c t i o n so f e a c hm o d u l ea r ed e s c r i b e d K e y w o r d ：V i r t u a l P r i v a t eN e t w o r kI P s e cS S LE l e c t r o n i cC o m m e r c e 第一章绪论第一章绪论 1 1 研究背景互联网在近几年以几何级数迅速地发展，给我们的社会生活带来了极大的影响，电子

13、商务随之迅速催生，网上购物，网上办公和网上教学等极大地改善了我们的工作和生活质量。I n t e m e t 作为具有世界范团连通性的“第四媒体”，已经成为一个具有无限商机的场所。如何利用I n t e r n e t 来丌展商务活动，是目f ；各个企业讨论的热门话题。但将I n t e m e t 实际运用到商业中，还存在些亟待解决的问题，其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和I S P 的努力下正在逐步得以解决，而网络安全问题却越来越突出。大型机构的内部局域网或者对外公共网站越来越容易遭到各种病毒和恶意代码的攻击，给正常的电子信息交流和保存带

14、来许多巨大的隐患。个人电脑中的重要帐户信息也容易被窃取盗用，或者被远程控制实旌一些破坏性的操作。所以越来越多的研究机构和软件公司都在致力于更新更有效的网络安全系统的研究，也诞生了许多网络安全技术，其中虚拟专用网V P N 是发展比较迅速的一种。它的产生为解决安全问题提供了一条有效的途径。在虚拟专用网V P N 还没有大规模普及的时候，企业之问为了保证数据传输的安全性，一般都是采用称之为专线的点对点的物理线路连接，从x 2 5 、帧中继到现在的D D N ，从技术上讲已经具有相当的安全性，但同时也暴露出可扩展性不高、不够灵活、可使用的带宽太窄等诸多问题，因此，必须采用新的技术来满

15、足企业安全、快速、数据共享的需求，而V P N 作为新一代I n t e m e t 安全技术以其能够提供简单、廉价、安全和可靠的I n t e m e t 访问隧道丽崭露头角。虚拟专用网技术允许公司用户在家或在公司外，通过公众网络( 例如I n t e m e t ) 来和远程的公司服务器建立连接。从远程用户的观点来看，V P N 是其计算机与公司服务器两者之间的点对点连接。V P N 技术也可以让公司通过公众网络连接到分公司或其它公司。从公司网络的观点来看，V P N 是两个公司计算机网络之间的广域网络连接。在这两种状况下，虽然通讯的过程事实上是通过公众网络进行的，但若经过特

16、别设计，其安全性就像专用网络通信一样可以信赖，甚至更好。 6 基丁I P s e c 和S S L 的Y P N 网络系统的研究与应川当然，V P N 技术也可以应用在I n t r a n e t 之上，以便将公司内部具有极机密性质的部门网络，和公司其它网络隔离行来。使用V P N 技术，系统管理员可以确保只有在公司网络上具有适当凭证的用户，才能通过V P N 服务器来建立和浚机密部门网络之间的V P N 连接，并且获得访问该部门机密资料的权限。除此之外，通过V P N 进行的所有通讯均可以加密。未具备适当凭证的用户，是无法查看这些资料与通讯的。近年来宽带的普及也带动了V P

17、N 的各种高速网络应用，如视频会议、企业 E R P 等应用的飞速发展，而V P N 的应用反过来也促进了宽带内容的不断丰富，并进一步激活了宽带应用。现在宽带V P N 的应用R 趋成熟，并成为一种全新的信息交流渠道。从技术的可行性、可靠性和安全性以及可管理性等几个方面来说，V P N 已经成为目前技术市场的热点。V P N 产品的市场份额也在快速增长。随着企业对网络需求的增加，V P N 这种低价的远程互联方式，将逐渐被企业用户所接受。选择V P N 主要有如下优点： 1 节省总体成本。根据l n f o n e t i c sR e s e a c h 的预测1 ，用V P N

18、替代传统的拨号网络，可节省2 0 4 0 的费用；替代网络互联可减少6 0 8 0 的费用。另外，V P N 还可以保护现有的网络投资。中小企业不再为远程网络连接负担高额运营成本，而且大型企业、政府部门采用V P N 可以在保证专用网络功能的前提下大大降低总体成本。 2 V P N 能大大降低网络复杂度，简化网络设计。 3 V P N 能增强内部网络的互联性和可扩展性。 4 V P N 有助于实现网络安全。V P N 通过用户验证、加密和隧道等技术来保证在公共网络传输专用信息数据的安全性。目前，V P N 主要用于以下场合： 1 已经通过专线连接实现广域网的企业，由于业务的增加，

19、带宽已不能满足业务需要，需要经济可靠的升级方案； 2 企业的内部用户和分支机构分布范围广、距离远，需要扩展企业网以实现远程访问和局域网互联，最典型的是跨国公司、跨地区公司： 3 外派分支机构、远程用户、合作伙伴多的企业，需要组建企业专用网；第一章绪论 4 关键业务多，对通信线路保密和可用性要求高的用户，如银行、证券公司、保险公司等： 5 用于各种远程专线连接的网络连接备份。 1 2 虚拟专用网络V P N 的基本介绍 1 2 1 虚拟专用网络V P N 的定义虚拟专用网络V P N ( V i r t u a lP r i v a t eN e t w o r k ) 是指将物理上分

20、布在不同地点的网络通过公共骨干网联接而成为逻辑上的虚拟子网。用于构建V P N 的公共网络包括I n t e m e t 、帧中继、 A T M 等。在公共网络上组建的V P N 与企业现有的私有网络一样可以提供安全性、可靠性和可管理性等功能。为了保障信息在I n t e m e t 上传输的安全性，V P N 技术采用了认证、存取控制、机密性、数据完整性等措施，保证了信息在传输中不被偷看、篡改和复制。由于使用I n t e m e t 进行信息传输笔记本电脑个人电脑人I 也眦图1 1 虚拟专用网( V P N ) 网络示意图相对于租用专线来说，费用极为低

21、廉，因此V P N 的出现使企业可以通过I n t e r n e t 实现既安全又经济的信息传输。 V P N 网络安全可以在I P 协议的各个层级上进行。在I P 层上实施网络安全的优点是可以用一个统一的形式对各种信息分组进行安全保护，而不需专门针对每 ! 堇王! 坠! ! 塑! ! 塾塑! 型堕堡墨竺丝丛壅兰查塑一种应用执行专用的安全机制。V P N 利用公用的I n t e r n e t 建立安全隧道，可以在保证网络安全的前提下极大地减少建网成本。 1 2 2 虚拟专用网络v P N 的特点 “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通

22、过远程拨号连接来实现的，而V P N 是利用服务提供商所提供的公共网络来实现远程的广域连接。通过V P N ，企业可以以更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。企业内部资源享用者只需连入本地I S P 的接入服务提供点( P o i n tO fP r e s e n c e ) 即可相互通信：而利用传统的W A N 组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网建成后，出差用户和外地客户只需拥有本地I S P 的上网权限就可以访问企业内部资源：如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地I S P 的上网权限。这对于流动性很大

23、的出差用户和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设V P N 服务所需的设备很少，只需在资源共享处放置一台V P N 服务器就可以了。V P N 技术除了可以节省费用外，还具有其它特点：伸缩性：能够随着网络的扩张，很灵活地加以扩展。当增加新的用户或子网时，只需修改已有网络软件配置，在新增客户机或网关上安装相应软件并接入I n t e r n e t ，新的V P N 即可工作。灵活性：能够方便地将新的子网扩充到企业的内部网络，由于I n t e m e t 的全球连通性，V P N 还可以使企业随时安全地访问全球的商贸伙伴和顾客的信息。易于管理：用专线将企业的

24、各个子网连接起来时，当子网数量增加的时候，需要的专线数将以几何级数增长。而使用V P N 时I n t e m e t 的作用类似一个H U B ，只需要将各个子网接入I n t e r n e t 即可，不需要进行各个线路的管理。 1 2 3V P N 的技术优势电子商务采用V P N 的技术优势主要表现在第一章绪论 9 降低费用：首先远程用户可以通过向当地的I S P 申请账户登录到I n t e r n e t ，以I n t e m e t 作为隧道与企业内部专用网络相连，通信费用必将大幅度降低：其次企业可以节省购买和维护通讯设备的费用。增强的安全性：V P N 通过使

25、用点到点协议( P P P ) 用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议( P A P ) 、质询握手身份验证协议( C H A P ) 、S h i v a 密码身份验证协议( S P A P ) 、M i c r o s o f t 质询握手身份验证协议( M S C H A P ) 和可选的可扩展身份验证协议 ( E A P ) ：并且采用微软点对点加密算法( M P P E ) 和网际协议安全 ( I P s e c ) 机制对数据进行加密。以上的身份验证和加密手段出远程V P N 服务器强制执行。对于敏感的数据，可以通过V P N 服务器将高度敏感的数

26、据服务器物理地进行分隔，只有企业网络中拥有适当权限的用户彳能通过远程访问建立与V P N 服务器的连接，- 并且访问敏感部门网络中受到保护的资源。网络协议支持：V P N 支持最常用的网络协议，基于I P 、I P X 和N e t B E U I 协议网络中的客户机都可以很容易地使用V P N 。这意味着通过V P N 连接可以远程运行依赖于特殊网络协议的应用程序。 I P 地址安全：因为V P N 是加密的，V P N 信息分组在I n t e m e t 中传输时， I n t e m e t 上的用户只看到公用的I P 地址，看不到信息分组内包古的专有网络地址。因此远程专用

27、网络上指定的地址是受到保护的。 1 2 4V P N 的市场优势利用公用网络构建V P N 是一个新型的网络概念，它给服务提供商( I s P ) 和 V P N 用户( 企业) 都将带来不少的益处。对于服务提供商来说，通过向企业提供V P N 这种增值服务，可以与企业建立更加紧密的长期合作关系，同时可以充分利用现有的网络资源，提高业务量。事实上，V P N 用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。V P N 用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。I S P 对外提供两种服务，资源利用率和业务量都会大大增加，这将给I S P

28、带来新的商业机会。 0 基于I P s e c 和S S L 的V P N 网络系统的研究与麻用对于企业而言，利用I n t e m e t 组建私有网，将大笔的专线费用缩减为少量的市话费和I n t e m e t 费用。V P N 大大降低了网络复杂度，V P N 用户的网络地址可以由企业内部进行统一分配。V P N 组网的灵活性极大地简化了企业的网络管理。另方面，企业甚至可以不必建立自己的广域网和接入网维护系统，而将这一繁重的任务交出专业的I S P 来完成。V P N 还提高了整个企业网的互联性，同时良好的扩展性使得企业更好、更快地适应I n t e m e t 经济的发

29、展。另外，在V P N 应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输私有数据的安全性。 1 2 5 V P N 的分类 V P N 分为三种类型：远程访问虚拟网( A c c e s sV P N ) 、企业内部虚拟网 ( I n t r a n e tV P N ) 和企业扩展虚拟网( E x t r a n e tV P N ) ，这三种类型的V P N 分别与传统的远程访问网络、企业内部的I n t r a n e t 以及企业网和相关合作伙伴的企业网所构成的E x t r a n e t 相对应。V P N 既可以用于构建企业的I n t r a n e

30、 t ，也可以用于构建E x t r a n e t 。随着全球电子商务热的兴起，V P N 应用势必越来越广泛。就V P N 技术本身而占，主要有I P s e c 和S S L 两种技术。在可行性层面，总是存在对I P s e e 和S S L 这两种技术谁优谁劣的各种争议。本文将对这两种主流技术展开论述。 1 3 研究目的本文重点通过分析对比两种主流V P N 技术I P s e cV P N 和S S LV P N ，对V P N 的协议体系，实现机制和安全机制进行了分析和论述。细化了针对不同客户的基于V P N 的电子商务网络实现方案，并建立了一种V P N 网络管理体系

31、，弥补了现有V P N 网络管理的不足。本篇论文一共分为5 章。 1 4 论文结构第一章绪论第一章介绍研究背景和研究目的。简单介绍V P N 的基本概念和特点，阐述了其技术和市场优势。第二章重点讨论I P s e cV P N 的安全思想和框架，介绍了I P s e c 的基本定义，引入安全关联和隧道的概念，进而介绍了A H 、E S P 和密钥管理协议；在此基础上分析了I P s e c 的工作原理和I P s e cV P N 的结构及其安全机制，并讨论了如何建立I P s e c V P N 系统。第三章重点讨论了S S LV P N 的安全机理和系统架构。从S S

32、L 协议的基本概念入手，解释了S S LV P N 的工作原理，进一步分析了S S LV P N 的安全架构。给出了S S LV P N 的系统设计方法并在此基础上提出了一种新型S S LP r o x yV P N 系统模型，描述了该方案的各个模块的设计和功能。同时通过对这种V P N 的功能分析，提出了S S LV P N 作为一种新型技术存在的不足。第四章从系统和安全架构以及网络效能等层面分析对比两者应用于V P N 的优缺点和两者之问的差异，提出自己的观点。第五章详细讨论了如何建立一个安全可靠的V P N 系统，并展开构建管理与应用的讨论。通过对V P N 的基本配置、

33、V P N 使用的协议和V P N 的身份验证方法以及V P N 的加密技术的阐述，提出了一利，新的V P N 的构建和管理方法，同时归纳了V P N 设计原理并设计了三种适用于电子商务的V P N 网络实现方案。第六章是结束语。第二二章I P s e cV P N 技术第二章 lP s e cV P N 技术传统的安全系统大多与应用程序( 工作平台) 协作设计，往往建立在整个系统的较高层级，但是如果每次都针对不同的应用平台而独立设计其安全机制，是一件费时费力费钱的解决方案。于是诞生了I P s e c B l ( I PS e c u r i t y ) 。这种基于网络层的

34、安全保密系统是由I n t e m e tE n g i n e e r i n gT a s kF o r c e ( I E T F ) 所定义，提供给 I P 协议必要的上层服务安全保密机制。 2 1 I P s e c 协议的基本概念 I P s e c 是一整套协议包而不只是一个单独的协议，它把多种安全技术集合到一起，从而建立一个安全的隧道。最初的一组有关I P s e c 标准由I E T F 在1 9 9 5 年制定，但由于其中存在一些末解决的问题，从1 9 9 7 年开始i E T F 又丌展了新一轮的 I P s e c 的制定工作，截止至1 9 9 8 年11 月份主要

35、协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来I E T F 又会进行下一轮I P s e c 的修订工作。 I P s e c 产生于I P v 6 的制定过程中，用于提供I P 层的安全性。由于所有支持 T C P I P 协议的主机进行通信时，都要经过I P 层的处理，所以提供了I P 层的安全性就相当于为整个网络提供了安全通信的基础。鉴于I P v 4 的应用仍然很广泛，所以后来在I P s e c 的制定中也增添了对I P v 4 的支持。I P s e c 协议弥补了I P 层的安全缺陷，定义了针对I P 分组( 信息分组) 的加密标头和验证标头

36、，以及如何添加和拆分这些标头。密钥是用户按照一种密码体制随机选取的字符串，它是控制明文和密文转换的唯一参数。在计算机上实现信息加密和解密变换都是通过密钥控制的。I P s e c 主要功能为加密和认证。为了进行加密和认证，I P s e c 还需要有密钥的管理和交换功能，以便对加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面 1 4 基y - I P s e c 和S S L 的V P N 网络系统的研究与应用的工作分别由A H ( A u t h e n t i c a t i o nH e a d e r ) ，E S P ( E n c a p s u l a t

37、 i n g S e c u r i t y P a y l o a d ) 和I K E ( I P s e cK e yE x c h a n g e ) 三个协议完成。为了介绍这三个协议，需要先引入一个非常重要的术语：安全关联S A ( S e c u r i t yA s s o c i a t i o n ) 。在I P s e c 安全体系结构中，A H 和E S P 都需要使用S A ，而I K E 的主要功能就是S A 的建立和维护。只要实现A H 和E S P 都必须提供对S A 的支持。 2 1 1 安全关联S A ( S e c u r i t yA s s o c

38、 i a t i o n ) 的概念【4 1 所谓安全关联S A 是指安全服务与它服务的载体之涮的一个“连接”。安全关联( S A ) 是两个网络节点就如何保护其间某一通信所事前达成的一致协议。通信双方如果要用I P s e c 建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个S A 。S A 就是能向其上的数据传输提供某种1 P s e c 安全保障的一个简单连接，可以由A H 或E S P 提供。当给定了一个S A ，就确定了I P s e c 要执行的处理，如加密，认证等。

39、S A 可以进行两种方式的组合分别为传输临近和嵌套隧道。在I P s e c 安全体系结构中包括了3 个最基本的协议：A H ( A u t h e n t i c a t i o n H e a d e r ) 协议为I P 包提供信息源验证和完整性保证；E S P ( E n c a p s u l a t i n gS e c u r i t y P a y l o a d ) 协议提供加密保证；密钥管理协议I S A K M P ( I n t e m e tS e c u r i t y A s s o c i a t i o na n dK e y M a n a g e m

40、e n tP r o t o c 0 1 ) 提供双方交流时的共享安全信息。E S P 和A H 协议都有相关的一系列支持文件，规定了加密和认证的算法。信息分组通过这两种转换协议得以加密保护。但是这两种转换的编码方式并不是只适用少数特定的加密或身份验证演算法，而是由保密安全参数识别码S P I ( S e c u r i t y P a r a m e t e rI n d e x ) 来指明通信的两端以预先约定加密或身份验证。这两种打包方式是可以彼此组合使用的，其组合方式分为隧道模式( T u n n e lM o d e ) 和传输模式 ( T r a n s p o r tM o

41、d e ) 两种。下一节将详细分析安全协议确认性标头 A H f A u t h e n t i c a t i o nH e a d e 0 和植入安全载荷E S P ( E n c a p s u l a t i n gS e c u r i t yP a y l o a d ) 的工作原理。 2 1 2 隧道( T u n n e l ) 概念的引入 ( 1 ) 隧道的基本概念第二章I P s e cV P N 技术 1 5 隧道是网络通信常用的一种模式，是指使用网络的基础设施，将一个网络上的资料通过另一个网络传送的方法。如前面所提到的虚拟专用网络的不同应用中，在两端之间建立的虚

42、拟专用网络，就是一种隧道技术的运用。举例来说，若A 网络在B 网络上建立一条隧道。A 网络在隧道两端的计算机之问要互相传递资料，就必须有一致的通讯协议，但资料在通过隧道传送的过程中，却必须使用B 网络所用的通讯协议。我们称要传送的资料为载荷( p a y l o a d ) ，对B 网络来说，载荷可以是A 网络所用通讯协议的帧( f r a m e ) 或信息分2 H ( p a c k e t ) 。为了让载荷可以在B 网络上的隧道端点( t u n n e le n d p o i n t ) 之间传送，隧道协议 ( t u n n e lp r o t o c 0 1 ) 必

43、须将该帧或信息分组加上一个额外的标头再封装起来。这个额外标头会提供路径选择的信息，让封装后的载荷可以在B 网络上传送到隧道的另一端点去。载荷到达隧道的另一端点时，就会解除封装，还原成原来的帧或信息分组，继续传送到A 网络另一端最终的目的地去。隧道技术包括了上述的封装、传输及解除封装熬个过程。 B 网络在其中所扮演的是一个传输网络，它可以是I n t e r n e t 这个目前最为人所知，最普及且经济的网络服务，但也可以用其它任何可以当作传输网络的公众或专用网络替代。隧道技术的发展已有一段时问。成熟的隧道技术分为：通过I P 网络的S N A 隧道( S y s t e mN

44、e t w o r kA r c h i t e c t u r e ) 的帧会被封装上 U D P 及I P 标头，再通过公司的I P 网络传送。通过I P 网络的I P X 隧道( I P Xt u n n e lf o rN o v e l lN e t W a r eo v e rI P i n t e r n e t w o r k s ) I P X 信息分组会被封装上U D P 及I P 标头，再通过I P 网络传送。点对点隧道协议1 5 1 ( P o i n t t o P o i n tT u n n e lP r o t o c o l ，P P T P ) P P

45、 T P 可以为I P 、 I P X 或N e t B E U I 传输加密，然后封装上I P 标头，再通过公司I P 网络或公众I P 网络如I n t e m e t 传送。第二层隧道协议【6 】( L a y e r2T u n n e lP r o t o c o l ，L 2 T P ) - L 2 T P 可以为I P 、I P X 或N e t B E U I 传输加密，封装上适当标头后，将它们通过任何支持点对点信息流传送的网络，例如I P 、x 2 5 、F r a m eR e l a y 或A T M 传送。 6 基丁I P s e c 和S S L 的V P N

46、网络系统的研究与应 I P s e c 隧道模式( I n t e m e tP r o t o c o lS e c u r i t y ( I P s e c ) T u n n e lM o d e ) I P s e c 隧道模式可以为I P 载荷加密，然后封装上I P 标头，再通过公司I P 网络或公， I P 网络如I n t e m e t 传送。 ( 2 ) 隧道的运作原理隧道由用户终端及服务器端构成，两端必须使用相同的隧道协议( t u n n e l p r o t o c 0 1 ) 。大部分隧道是使用隧道传输协议来传送数据的，丽隧道维护协议则可视为一种管理隧道的机

47、制。隧道技术可以以第二层或第三层的隧道协议为基础，这里所谓的层是对应到O S I 参考模型的。第二层对应到数据链路( D a t a L i n k ) 层，以帧为单元交换信息。P P T P 、L 2 T P 及L a y e r2F o r w a r d i n g ( L 2 F ) 都是第二层的隧道协议，这些协议都会将载荷封装在点对点通讯协议( P P P ) 帧中，再以隧道协议封装，继而通过网络传送。因为第二层隧道协议是以P P P 通讯协议为基础，因此也就继承了一些很有用的功能，例如用户验证、动态地址指派、数据压缩、数据加密等。第三层对应到网络层，以信息分组为信息交换

48、单位。I P 。o v e r I P 及I P s e c 隧道模式，就是第三层隧道协议的范例，这些协议先将I P 信息分组进行处理( 如压缩、加密) 后，封装上额外的I P 标头，然后再将它们通过I P 网络传送。对于第二层隧道技术来说，隧道就像是一个s e s s i o n 。隧道的两个端点必须同意该隧道的建立，并协商两者间的设定，例如地址的指派或加密、压缩的参数等。隧道必须具有建立、维护和终止的过程。第三层隧道技术通常会假设所有关于配置方面的问题，不是在通讯过程中协商，而是在通讯前以手动方式处理。对于这些协议来说，可能没有隧道维护阶段。当隧道建立之后，就可以开始传输

49、数据。隧道的用户终端或服务器端会使用隧道传输协议来准备要传输的数据，当数据到达另一端之后，就会移除隧道传输协议的标头，再将数据转送到目标网络上。 ( 3 ) 隧道的类型根据隧道的不同建立方式，可以分为自愿型隧道及义务型隧道两种类型。第二章I P s e cV P N 技术 J7 自愿型隧道( V o l u n t a r yT u n n e l ) ：如果用户需要使用隧道用户终端软件，先要发出建立虚拟连接的请求，连接到目标隧道服务器时，由于用户的计算机就是隧道的端点之一，且自愿作为隧道的用户终端，所以称为自愿型隧道。为了实现此功能，用户终端计算机上必须安装适当的隧道协议。在拨接的情况下，用户终端必须在建立隧道之前，先建立一个拨号连接到网络。这是最常见的隧道类型。最佳的例子，就是拨接到I n t e r n e t 的用户，他们必须先拨接到I S P 连上 I n t e r n e t ，才能建立通过I n t e r n e t 的隧道。对于和L A N 连接的计算机来说，用户终端已经与网络连接，而段网络已提供将数据传送到隧道服务器端的服务。这种情况通常

展开阅读全文