【文章內(nèi)容簡(jiǎn)介】 功能就是不同的用戶對(duì)不同的主機(jī)或服務(wù)器的訪問(wèn)權(quán)限是不一樣的。由 VPN 服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )13者共同來(lái)協(xié)商確定特定用戶對(duì)特定資源的訪問(wèn)權(quán)限，以此實(shí)現(xiàn)基于用戶的細(xì)粒度訪問(wèn)控制，以實(shí)現(xiàn)對(duì)信息資源的最大限度的保護(hù)。 訪問(wèn)控制策略可以細(xì)分為選擇性訪問(wèn)控制和強(qiáng)制性訪問(wèn)控制。選擇性訪問(wèn)控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問(wèn)控制是基于被訪問(wèn)信息的敏感性。 VPN 兩種協(xié)議的分析　IPSec 協(xié)議　IPSec 是 IETF 提出的 IP 安全標(biāo)準(zhǔn)[2] 它在 IP 層上對(duì)數(shù)據(jù)包進(jìn)行安全處理提供數(shù)據(jù)源驗(yàn)證無(wú)連接數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)各種應(yīng)用程序完全可以享用 IP 層提供的安全服務(wù)和密鑰管理而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制因此減少了密鑰協(xié)商的開(kāi)銷(xiāo)也降低了產(chǎn)生安全漏洞的可能性 IPSec 可連續(xù)或遞歸應(yīng)用在路由器防火墻主機(jī)和通信鏈路上配置實(shí)現(xiàn)端到端安全虛擬專用網(wǎng)絡(luò)(VPN) Road Warrior 和安全隧道技術(shù)[1]。IPSec 協(xié)議由核心協(xié)議和支撐模塊組成。核心協(xié)議包括 AH(驗(yàn)證頭)與ESP(封裝安全載荷) 支撐部分包括加密算法 HASH 算法安全策略安全關(guān)聯(lián) IKE 密鑰交換機(jī)制[4~7]IP 技術(shù)是在原始的 IP 頭部和數(shù)據(jù)之間插入一個(gè) IPSec 頭部，這樣可以對(duì)原始 IP 負(fù)載實(shí)現(xiàn)加密，同時(shí)還可以實(shí)現(xiàn)對(duì) IPSec 頭部和原始 IP負(fù)載的驗(yàn)證，以確保數(shù)據(jù)的完整性。IPSec 的結(jié)構(gòu)是一種框架性的結(jié)構(gòu)，IPSec 沒(méi)有具體的加密和散列函數(shù)，它是每一次的 IPSec 會(huì)話所用的具體算法都是通過(guò)協(xié)商來(lái)確定，這樣更具有安全性。還包括 IPSec 框架中的封裝協(xié)議和模式、密鑰有效山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )14期等內(nèi)容都是通過(guò)協(xié)商決定，在兩個(gè) IPSec 對(duì)等體之間協(xié)商的協(xié)議叫做IKE。協(xié)商完成后產(chǎn)生安全關(guān)聯(lián) SA，實(shí)現(xiàn)安全通信。IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec 由 IP 認(rèn)證頭AH(Authentication Header)、IP 安全載荷封載 ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec 的體系結(jié)構(gòu)如圖 22所示：IPsec 體系封裝安全負(fù)載（ESP ）認(rèn)證包頭（AH）加密算法 認(rèn)證算法解釋域密鑰管理 策略圖 22 IPSec 的體系結(jié)構(gòu)山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )15IPSec 協(xié)議是一個(gè)范圍廣泛、開(kāi)放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應(yīng)向 IPv6 遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec 用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即:認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。完整性檢查：用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。加密：加密 IP 地址和數(shù)據(jù)以保證私有性，這樣就算被第三方捕獲后也無(wú)法將其恢復(fù)成明文。IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP幀 中,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷(xiāo)。IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec 有擴(kuò)展能力以適應(yīng)未來(lái)商業(yè)的需要。在 1997 年底，IETF 安全工作組完成了 IPSec 的擴(kuò)展， 在 IPSec 協(xié)議中加上 ISAKMP(Inter Security Association and Kay Management Protocol)協(xié)議，其中還包括一個(gè)密鑰分配協(xié)議Oakley。ISAKMP/Oakley 支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和 SSL（Secure Socket layer）協(xié)議。即使不用 SET 或 SSL,IPSec 都能提供認(rèn)證和加密手段以保證信息的傳輸。山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )16 GRE 協(xié)議GRE（Generic Routing Encapsulation，通用路由封裝）協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如 IP）中傳輸。GRE 是VPN（Virtual Private Network）的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為 Tunnel（隧道）的技術(shù)。Tunnel 是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，在實(shí)際中可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并且在一個(gè)Tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。 一個(gè)報(bào)文要想在 Tunnel 中傳輸，必須要經(jīng)過(guò)加封裝與解封裝兩個(gè)過(guò)程，下面介紹這兩個(gè)過(guò)程如圖 23 所示：圖 23 IPX 網(wǎng)絡(luò)通過(guò) GRE 隧道互聯(lián)(1) 加封裝過(guò)程 連接 Novell Group1 的接口收到 IPX 數(shù)據(jù)報(bào)后首先交由 IPX 協(xié)議處理，IPX 協(xié)議檢查 IPX 報(bào)頭中的目的地址域來(lái)確定如何路由此包。若報(bào)文的目的地址被發(fā)現(xiàn)要路由經(jīng)過(guò)網(wǎng)號(hào)為 1f 的網(wǎng)絡(luò)（Tunnel 的虛擬網(wǎng)號(hào)） ，則將此報(bào)文發(fā)給網(wǎng)號(hào)為 1f 的 Tunnel 端口。Tunnel 口收到此包后進(jìn)行GRE 封裝，封裝完成后交給 IP 模塊處理，在封裝 IP 報(bào)文頭后，根據(jù)此包的目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。 (2) 解封裝的過(guò)程 山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )17 解封裝過(guò)程和加封裝的過(guò)程相反。從 Tunnel 接口收到的 IP 報(bào)文，通過(guò)檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)剝掉此報(bào)文的IP 報(bào)頭，交給 GRE 協(xié)議模塊處理（進(jìn)行檢驗(yàn)密鑰、檢查校驗(yàn)和及報(bào)文的序列號(hào)等） ；GRE 協(xié)議模塊完成相應(yīng)的處理后，剝掉 GRE 報(bào)頭，再交由 IPX 協(xié)議模塊處理，IPX 協(xié)議模塊象對(duì)待一般數(shù)據(jù)報(bào)一樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行處理。 系統(tǒng)收到一個(gè)需要封裝和路由的數(shù)據(jù)報(bào)，稱之為凈荷（payload） ，這個(gè)凈荷首先被加上 GRE 封裝，成為 GRE 報(bào)文；再被封裝在 IP 報(bào)文中，這樣就可完全由 IP 層負(fù)責(zé)此報(bào)文的向前傳輸（forwarded） 。人們常把這個(gè)負(fù)責(zé)向前傳輸 IP 協(xié)議稱為傳輸協(xié)議（delivery protocol 或者 transport protocol） 。 封裝好的報(bào)文的形式如下圖 24 所示：圖 24 封裝的 Tunnel 報(bào)文格式舉例來(lái)說(shuō)，一個(gè)封裝在 IP Tunnel 中的 IPX 傳輸報(bào)文的格式如下圖 25所示：山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )18圖 25 Tunnel 中傳輸報(bào)文的格式　PPTP/L2TP 1996 年，Microsoft 和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開(kāi)發(fā)了 PPTP ， 它集成于 Windows NT 中，Windows NT Workstation 和Windows 也提供相應(yīng)的客戶端軟件。PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把IP 、IPX、 AppleTalk 或 NetBEUI 的數(shù)據(jù)包封裝在 PPP 包中，再將整個(gè)報(bào)文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報(bào)文或幀中繼或 ATM中進(jìn)行傳輸。PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP 的加密方法采用 Microsoft 點(diǎn)對(duì)點(diǎn)加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco 的路由器和撥號(hào)訪問(wèn)服務(wù)器。1997 年底，Microsoft 和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實(shí)現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多個(gè)物理通道捆綁為單一邏輯信道。L2TP 使用 PPP 可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP 隧道在兩端的 VPN 服務(wù)器之間采用口令握手協(xié)議 CHAP 受到了許多大公司的支持.PPTP/L2TP 協(xié)議的優(yōu)點(diǎn): PPTP/L2TP 對(duì)用微軟操作系統(tǒng)的 用戶來(lái)說(shuō)很方便，因?yàn)槲④浖喊阉鳛槁酚绍浖囊徊糠帧PTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 協(xié)議,還支持流量控制。 它通過(guò)減少丟棄包來(lái)改善網(wǎng)絡(luò)性能，這樣可減少重傳。山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )19PPTP/ L2TP 協(xié)議的缺點(diǎn):PM 和 L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi)，它們用 IP 幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開(kāi)數(shù)據(jù)通道，一旦通道打開(kāi)，源和目的用戶身份就不再需要，這樣可能帶來(lái)問(wèn)題，它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP 和 L2TP 限制同時(shí)最多只能連接 255 個(gè)用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。PPTP/ L2TP 最適合于遠(yuǎn)程訪問(wèn) VPN.山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )203. 基于 GRE VPN 的架構(gòu) 基于 GRE 實(shí)驗(yàn)的需求分析山東科技大學(xué)有多個(gè)校區(qū)，包括青島校區(qū)（總校） 、泰安校區(qū)、濟(jì)南校區(qū)，總校與分校之間不可避免需要訪問(wèn)彼此私有地址服務(wù)器的信息，為了實(shí)現(xiàn)彼此數(shù)據(jù)的安全訪問(wèn)，我們學(xué)校使用了 VPN 技術(shù)。所以我對(duì)VPN 進(jìn)行了學(xué)習(xí)，因?yàn)閮蓚€(gè)校區(qū)可能用到不同網(wǎng)絡(luò)協(xié)議，所以我采用了GRE 技術(shù)。通過(guò) GRE 技術(shù)在不同的兩個(gè)校區(qū)之間建立了一個(gè)點(diǎn)到點(diǎn)的GRE 隧道，前期處于學(xué)習(xí)階段，因此在 GRE 的隧道口上運(yùn)行了靜態(tài)路由協(xié)議，又來(lái)學(xué)習(xí)彼此的網(wǎng)絡(luò)路由。兩點(diǎn)之間的流量通過(guò) GRE 隧道封裝穿越 Inter。 GRE 實(shí)驗(yàn)的設(shè)計(jì)本實(shí)驗(yàn)使用模擬軟件所做的 PT 實(shí)驗(yàn)，隧道建立在路由器上，沒(méi)有專門(mén)的 VPN 網(wǎng)關(guān)來(lái)管理。在青島校區(qū)和泰安校區(qū)之間建立 GRE 隧道，通過(guò)對(duì)兩邊緣路由器的配置，實(shí)現(xiàn)兩校區(qū)之間無(wú)障礙通信。下面是實(shí)驗(yàn)拓?fù)鋱D圖 31：山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )21圖 31 GRE 實(shí)驗(yàn)拓?fù)鋱D GRE 協(xié)議的 VPN 實(shí)現(xiàn)配置 分別各個(gè)路由器端口、PC 機(jī)和服務(wù)器配置地址IP 規(guī)劃表： Inter Inter Inter 青島總校 青島總校 青島總校 本實(shí)驗(yàn)配置的關(guān)鍵在青島總校，所以下面主要介紹總校的配置。配置如下：山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )22interface Tunnel0 ip address tunnel source FastEther0/0 tunnel destination interface Tunnel1 ip address tunnel source FastEther0/0 tunnel destination （ip route ip route ip route f0/1 主要設(shè)備之間連通性測(cè)試下面是主機(jī) 1 對(duì)連通性的測(cè)試圖 32 所示：山 東 科 技 大 學(xué) 畢 業(yè) 設(shè) 計(jì) (論 文 )23圖 32 主機(jī) 1 對(duì)服務(wù)器的連通性測(cè)試4. 基于 IPSec VPN 的架構(gòu) 基于 IPSec 實(shí)驗(yàn)的需求分析山東科技大學(xué)的教務(wù)管理系統(tǒng)為了實(shí)現(xiàn)安全，只允許在校內(nèi)網(wǎng)上訪問(wèn)，若老師或同學(xué)在校外就無(wú)法訪問(wèn)，會(huì)帶來(lái)很大不便。我們可通過(guò)建立 IPSec VPN 的加密隧道，實(shí)現(xiàn)出差和假期期間師生和學(xué)校之間的信息安全傳輸。IPSec VPN 技術(shù)通過(guò)隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和認(rèn)證技術(shù)有效的保證了數(shù)據(jù)在 Inter 網(wǎng)絡(luò)傳輸?shù)陌踩裕悄壳白畎踩?、使用最廣泛的 VPN 技術(shù)。 IPSec 實(shí)驗(yàn)的設(shè)計(jì)PC 機(jī)模擬出差員工的 PC，與 VPN 設(shè)備 A（模擬公司出口 VPN 設(shè)備）通過(guò) IKE 自動(dòng)協(xié)商建立起 IPSec 的 VPN 加密隧道。使得 PC 機(jī)能安全訪問(wèn)到 VPN 設(shè)備 A 所保護(hù)的內(nèi)部服務(wù)器。試驗(yàn)時(shí)，可以在服務(wù)器上開(kāi)設(shè) FTP 服務(wù)或者 Web 服務(wù)，在 VPN 隧道建立成功后，PC 機(jī)將能夠訪問(wèn)到這些服務(wù)。移動(dòng)用戶（即 PC 機(jī)）在和 VPN 設(shè)備建立 VPN 隧道前，需要先獲得VPN 設(shè)備的身份驗(yàn)證許可。該實(shí)驗(yàn)所采用的用戶身份驗(yàn)證為口令方式，并且口令賬號(hào)的頒發(fā)由 VPN 設(shè)備 A 來(lái)完成。移動(dòng)用戶（即 PC 機(jī)）