【文章內(nèi)容簡介】 自的驗證加密參數(shù)。 IKE 交換的最終目的是提供一個通過驗證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP 主要是利用 DiffieHellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。 IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。 IKE 協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級身份認(rèn)證，但同時卻只能支持有限的用戶級身份認(rèn)證，并且不支持非對稱的用戶認(rèn)證。 （ 4）訪問控制技術(shù) 虛擬專用網(wǎng)的基本功能就是不同的用戶對不同的主機(jī)或服務(wù)器的訪問權(quán)限是不一樣 的。由 VPN 服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的訪問權(quán)限， 以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問控制，以實(shí)現(xiàn)對信息資源的最大限度的保護(hù)。 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 13 訪問控制策略可以細(xì)分為選擇性訪問控制和強(qiáng)制性訪問控制。選擇性訪問控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問控制是基于被訪問信息的敏感性。 VPN 兩種協(xié)議的分析 IPSec協(xié)議 IPSec 是 IETF 提出的 IP 安全標(biāo)準(zhǔn) [2] 它在 IP 層上對數(shù)據(jù)包進(jìn)行安全處理提供數(shù)據(jù)源驗證無連接數(shù)據(jù)完整 性數(shù)據(jù)機(jī)密性抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)各種應(yīng)用程序完全可以享用 IP 層提供的安全服務(wù)和密鑰管理而不必設(shè)計和實(shí)現(xiàn)自己的安全機(jī)制因此減少了密鑰協(xié)商的開銷也降低了產(chǎn)生安全漏洞的可能性 IPSec 可連續(xù)或遞歸應(yīng)用在路由器防火墻主機(jī)和通信鏈路上配置實(shí)現(xiàn)端到端安全虛擬專用網(wǎng)絡(luò)(VPN) Road Warrior 和安全隧道技術(shù) [1]。 IPSec 協(xié)議由核心協(xié)議和支撐模塊組成。核心協(xié)議包括 AH(驗證頭 )與 ESP(封裝安全載荷 ) 支撐部分包括加密算法 HASH 算法安全策略安全關(guān)聯(lián) IKE 密鑰交換機(jī)制 [4~7] IP 技術(shù)是在原始的 IP 頭部和數(shù)據(jù)之間插入一個 IPSec 頭部，這樣可以對原始 IP 負(fù)載實(shí)現(xiàn)加密，同時還可以實(shí)現(xiàn)對 IPSec 頭部和原始 IP負(fù)載的驗證，以確保數(shù)據(jù)的完整性。 IPSec 的結(jié)構(gòu)是一種框架性的結(jié)構(gòu)， IPSec 沒有具體的加密和散列函數(shù)，它是每一次的 IPSec 會話所用的具體算法都是通過協(xié)商來確定，這樣更具有安全性。還包括 IPSec 框架中的封裝協(xié)議和模式、密鑰有效期等內(nèi)容都是通過協(xié)商決定，在兩個 IPSec 對等體之間協(xié)商的協(xié)議叫做IKE。協(xié)商完成后產(chǎn)生安全關(guān)聯(lián) SA，實(shí)現(xiàn)安全通信。 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 14 IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù) 傳 輸 的 可 靠 性 、 私 有 性 和 保 密 性 。 IPSec 由 IP 認(rèn)證頭AH(Authentication Header)、 IP 安全載荷封載 ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。 IPSec 的體系結(jié)構(gòu)如圖 22所示： 圖 22 IPSec的體系結(jié)構(gòu) IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。 IPSec 適IPsec 體系 封裝安全負(fù)載（ ESP） 認(rèn)證包 頭（ AH） 加密算法 認(rèn)證算法 解釋域 密鑰管理 策略 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 15 應(yīng)向 IPv6 遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。 IPSec 用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即 : 認(rèn)證：用于對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。 完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改。 加密：加密 IP 地址和數(shù)據(jù)以保證私有性，這樣就算被第三方捕獲后也無法將其恢復(fù)成明文。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行 :一種是隧道模式，一種是傳輸模式。 在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP幀 中 ,這樣保護(hù)從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。 IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。 IPSec 有擴(kuò)展能力以適應(yīng)未來商業(yè)的需要。在 1997 年底， IETF 安全工作組完成了 IPSec 的擴(kuò)展， 在IPSec 協(xié)議中加上 ISAKMP(Inter Security Association and Kay Management Protocol)協(xié)議，其中還包括一個密鑰分配協(xié)議 Oakley。ISAKMP/Oakley 支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和 SSL（ Secure Socket layer）協(xié)議。即使不用 SET 或 SSL,IPSec 都能提供認(rèn)證和加密手段以保證信息的傳輸。 GRE 協(xié)議 GRE（ Generic Routing Encapsulation，通用路由封裝）協(xié)議是對山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 16 某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的數(shù)據(jù)報進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡(luò)層協(xié)議（如 IP）中傳輸。 GRE 是 VPN（ Virtual Private Network）的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為 Tunnel（隧道）的技術(shù)。 Tunnel 是一個虛擬的點(diǎn)對點(diǎn)的連接，在實(shí) 際中可以看成僅支持點(diǎn)對點(diǎn)連接的虛擬接口，這個接口提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通路上傳輸，并且在一個 Tunnel 的兩端分別對數(shù)據(jù)報進(jìn)行封裝及解封裝。 一個報文要想在 Tunnel 中傳輸，必須要經(jīng)過加封裝與解封裝兩個過程，下面 介紹 這兩個過程 如圖 23 所示 ： 圖 23 IPX 網(wǎng)絡(luò)通過 GRE 隧道互聯(lián) (1) 加封裝過程 連接 Novell Group1 的接口收到 IPX 數(shù)據(jù)報后首先交由 IPX 協(xié)議處理，IPX 協(xié)議檢查 IPX 報頭中的目的地址域來確定如何路由此包。若報文的目的地址被發(fā)現(xiàn)要路由經(jīng)過 網(wǎng)號為 1f 的網(wǎng)絡(luò)（ Tunnel 的虛擬網(wǎng)號），則將此報文發(fā)給網(wǎng)號為 1f 的 Tunnel 端口。 Tunnel 口收到此包后進(jìn)行GRE 封裝，封裝完成后交給 IP 模塊 處理，在封裝 IP 報文頭后，根據(jù)此包的目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。 (2) 解封裝的過程 解封裝過程和加封裝的過程相反。從 Tunnel 接口收到的 IP 報文，通過檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時，系統(tǒng)剝掉此報文的IP 報頭，交給 GRE 協(xié)議模塊處理（進(jìn)行檢驗密鑰、檢查校驗和及報文山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 17 的序列號等）； GRE 協(xié)議模塊完成相應(yīng)的處理后，剝掉 GRE 報頭，再交由 IPX 協(xié)議模塊處理， IPX 協(xié)議模塊象對待一般數(shù)據(jù)報一樣對此數(shù)據(jù)報進(jìn)行處理。 系統(tǒng)收到一個需要封裝和路由的數(shù)據(jù)報，稱之為凈荷（ payload），這個凈荷首先被加上 GRE 封裝，成為 GRE 報文；再被封裝在 IP 報文中，這樣就可完全由 IP 層負(fù)責(zé)此報文的向前傳輸（ forwarded）。人們常把這個負(fù) 責(zé)向前傳輸 IP 協(xié)議稱為傳輸協(xié)議（ delivery protocol 或者 transport protocol）。 封裝好的報文的形式如下圖 24 所示： 圖 24 封裝的 Tunnel 報文格式 舉例來說，一個封裝在 IP Tunnel 中的 IPX 傳輸報文的格式如下圖 25所示： 圖 25 Tunnel 中傳輸報文的格式 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 18 PPTP/L2TP 1996 年， Microsoft 和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ， 它集成于 Windows NT 中， Windows NT Workstation 和 Windows 也提供相應(yīng)的客戶端軟件。 PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、 IPX、 AppleTalk 或 NetBEUI 的數(shù)據(jù)包封裝在 PPP 包中，再將整個報文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報文或幀中繼或ATM 中進(jìn)行傳輸。 PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。 PPTP 的加密方法采用 Microsoft 點(diǎn)對點(diǎn)加密 (MPPE: Microsoft Pointto Point) 算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。 1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco 的路由器和撥號訪問服務(wù)器。 1997 年底， Microsoft 和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。 L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實(shí)現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多個物理通道捆綁為單一邏輯信道。 L2TP 使用 PPP 可靠性發(fā)送 (RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。 L2TP 隧道在兩端的 VPN 服務(wù)器之間采用口令握手協(xié)議 CHAP 來驗證對方的身份 .L2TP 受到了許多大公司的支持 . PPTP/L2TP協(xié)議的優(yōu)點(diǎn) : PPTP/L2TP對用微軟操作系統(tǒng)的 用戶來說很方便，因為微軟己把它作為路由軟件的一部分。 PPTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 協(xié)議 ,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。 PPTP/ L2TP 協(xié)議的缺點(diǎn) :PM 和 L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi) ，它們用 IP 幀在兩臺計算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 19 通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。 PPTP 和 L2TP 限制同時最多只能連接 255 個用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強(qiáng)加密和認(rèn)證支持。 PPTP/ L2TP 最適合于遠(yuǎn)程訪問 VPN. 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 20 3. 基于 GRE VPN 的架構(gòu) 基于 GRE 實(shí)驗的需求分析 山東科技大學(xué)有多個校區(qū)，包括青島校區(qū)（總校）、泰安校區(qū)、濟(jì)南校區(qū)，總校與分校之 間不可避免需要訪問彼此私有地址服務(wù)器的信息，為了實(shí)現(xiàn)彼此數(shù)據(jù)的安全訪問，我們學(xué)校使用了 VPN 技術(shù)。所以我對 VPN 進(jìn)行了學(xué)習(xí)，因為兩個校區(qū)可能用到不同網(wǎng)絡(luò)協(xié)議，所以我采用了 GRE 技術(shù)。通過 GRE 技術(shù)在不同的兩個校區(qū)之間建立了一個點(diǎn)到點(diǎn)的GRE 隧道，前期處于學(xué)習(xí)階段，因此在 GRE 的隧道口上運(yùn)行了靜態(tài)路由協(xié)議，又來學(xué)習(xí)彼此的網(wǎng)絡(luò)路由。兩點(diǎn)之間的流量通過 GRE 隧道封裝穿越 Inter。 GRE 實(shí)驗的設(shè)計 本實(shí)驗使用模擬軟件所做的 PT 實(shí)驗，隧道建立在路由器上，沒有專門的 VPN 網(wǎng)關(guān)來管理。在青島校區(qū)和泰安 校區(qū)之間建立 GRE 隧道，通過對兩邊緣路由器的配置，實(shí)現(xiàn)兩校區(qū)之間無障礙通信。 下面是實(shí)驗拓?fù)鋱D圖 31： 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 21 圖 31 GRE 實(shí)驗拓?fù)鋱D GRE 協(xié)議的 VPN 實(shí)現(xiàn)配置 分別各個路由器端口、 PC 機(jī)和服務(wù)器配置地址 IP 規(guī)劃表： Inter Inter Inter 青島總校 青島總校 青島總校 本實(shí)驗配置的關(guān)鍵在青島總校，所以下面主要介紹總校的配置。配置如下： 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 22 interface Tunnel0 ip address tunnel source FastEther0/0 tunnel destination interface Tunnel1 ip address tunnel source FastEther0/0 tunnel destination （ ip route ip route ip route f0/1 主要設(shè)備之間連通性測試 下面是主機(jī) 1對連通性的測試圖 32所示： 山東科技大學(xué)畢業(yè)設(shè)計 (論文 ) 23 圖 32 主機(jī) 1 對服務(wù)器的連通性測試 4. 基于 IPSec VPN 的架構(gòu) 基于 IPSec 實(shí)驗的需求分析 山東科技大學(xué)的教務(wù)管理系統(tǒng)為了實(shí)現(xiàn)安全，只允許在校內(nèi)網(wǎng)上訪問，若老師或同學(xué)在校外就無法訪問，