收藏
下载资源

集中管理分布连接式虚拟专网实现与研究

上传人:w****i 文档编号:117594597 上传时间:2019-12-05 格式:PDF 页数:55 大小:2.05MB
返回 下载 相关 举报
集中管理分布连接式虚拟专网实现与研究_第1页
第1页 / 共55页
集中管理分布连接式虚拟专网实现与研究_第2页
第2页 / 共55页
集中管理分布连接式虚拟专网实现与研究_第3页
第3页 / 共55页
集中管理分布连接式虚拟专网实现与研究_第4页
第4页 / 共55页
集中管理分布连接式虚拟专网实现与研究_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《集中管理分布连接式虚拟专网实现与研究》由会员分享,可在线阅读,更多相关《集中管理分布连接式虚拟专网实现与研究(55页珍藏版)》请在金锄头文库上搜索。

1、华中科技大学 硕士学位论文 集中管理分布连接式虚拟专网实现与研究 姓名:张战成 申请学位级别:硕士 专业:软件工程 指导教师:覃中平 20051001 I 摘摘 要要 通过分析对比各种 VPN(Virtual Private Network)的实现方式的优缺点,提出一 种新的 IPSec 隧道 VPN 组建方式,Active VPN。将 VPN 的建立分为注册和会话两个 阶段,在会话阶段利用注册的公网和私网映射信息,在 VPN 客户段和注册服务器之 间建立起一条安全的连接,利用这个连接在会话阶段为两个 VPN 客户端来协商会话 密钥和安全连接参数,并发布公网和私网的映射数据到两个 VPN 客户

2、段,客户端利 用这些信息建立起一条端到端的 IPSec 隧道。 在实现上使用公网私网映射数据的交换来同时交换 IPSec 所需要的安全参数,通 过这种方式替换了 IETF IPSec 安全框架中的 IKE 协议,对标准 IKE 协议中一些缺陷 作了讨论,并利用 KDC(Key Distribution Center)的思想,实现了在两个实体间安全 地交换会话密钥。 分析了注册阶段和会话阶段密钥交换的安全性以及可能遇到的一些攻击作了预 防和讨论。使用预设共享密钥和利用非对称密钥技术协商会话密钥两种方式,预设共 享密钥不能对双方的的身份进行认证,但是可以快速完成注册。使用非对称密钥技术 协商会话密

3、钥需要消耗更多的加密解密资源,但可以对双方的身份进行认证,有效防 止假冒。还考虑了两种密钥交换方式在性能上的区别,以及纯软件加密和使用硬件加 密卡在速度上的区别,提出了提高整机的转发性能不能单纯的提高加密卡的性能,在 同时连接数是400个的时候, CPU的处理能力成为系统转发的瓶颈。 最后对Active VPN 支持多域、域间信任、和其他隧道协议作了分析,表明 Active VPN 的架构上很灵活, 可以通过简单的增加报文属性就能支持这些丰富的安全功能。 关键字:关键字:虚拟专用网 安全会话 认证 注册 II Abstract A new VPN (Virtual Private Networ

4、k) architecture named Active VPN based on IPSec tunneling mode is put forward, and the difference with other kinds of VPNs in use is analyzed. A completed Active VPN connection includes two steps, map step and session step. In map step, all powered up VPN client registers their public and private IP

5、 address information to the register server, which roles as a center of all VPN clients and distributes this information to other register server and VPN clients, in session step, two point-to-point VPN client exchange map information over register server in a security link, which is made up in map

6、step, by those map information, the VPN client builds a point-to-point IPSec tunnel. After map step and session step, The IKE whose defects have been founded is substituted and the new method avoids those defects, the register server also is used as a KDC (Key Distribution Center), which exchanges s

7、ession key and other security arguments that is used by IPSec. Some attacks against Active VPN, some guides to protect the map connection and session connection are discussed. Pre-shared key and agreement key technology to build a encrypted connection between VPN clients and register server is used,

8、 pre-share key has some disadvantages on identity authentication but with quick speed and low delay. On the other hand, agreement key method with more safe characteristic such as anti-relaying, anti-reflection and signature but consumes more CPU resource. The cryptography-card to accelerate encrypti

9、on speed is used, but the result is that the capability of CPU limits the system forwarding speed, when the number of synchronous map connection ups to 400. In the end, the problem how to develop some advanced feature such as multi-domain, trusts in domains and supporting other tunneling protocol by

10、 adding more type format item is analyzed. Key Words:Virtual Private Network Authentication Security Session Registration 1 1 绪言绪言 1.1 研究背景研究背景 随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙 伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业 网的功能缺陷:传统企业网基于固定物理地点的专线连接方式由于建设成本高可扩展 性差已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求, 主要表现在网

11、络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN (Virtual Private Network)以其独具特色的优势赢得了越来越多的企业的青睐,令企 业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。 1.1.1 VPN 的定义的定义 VPN 这一术语最早用在电话网及分组交换网中的闭合用户群业务中,1997 年美 国开始在 Internet 上提供 VPN 服务,其公用网平台是 Internet1。目前通信界对 VPN 的定义为:利用公共网络来构建的私人专用网络称为虚拟私有网络(Virtual Private Network, VPN)2。 用于构建 VP

12、N 的公共网络包括 Internet、帧中继、ATM 等。在公共网络上组建的 VPN 象企业现有的私有网络一样提供安全性、可靠性和可管理性等。 “虚拟”的概念 是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远 程拨号连接来实现的,而 VPN 是利用服务提供商所提供的公共网络来实现远程的广 域连接。通过 VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作 人员以及业务合作伙伴,如图 1.1 所示。 由图 1.1 可知,企业内部资源享用者只需连入本地 ISP(Internet Service Provider, Internet 服务提供商)的 POP(Po

13、int Of Presence,接入服务提供点) ,即可相互通信; 而利用传统的 WAN 组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟 网组成后,出差员工和外地客户只需拥有本地 ISP 的上网权限就可以访问企业内部资 源;如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地 ISP 的 上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意 义的。并且企业开设 VPN 服务所需的设备很少,只需在资源共享处放置一台 VPN 服 2 务器就可以了。 图 1.1 VPN 应用示意图 1.1.2 现有现有 VPN 的类型的类型 VPN 分为三种类型3: 远程

14、访问虚拟网 (Access VPN) 、 企业内部虚拟网 (Intranet VPN)和企业扩展虚拟网(ExtranetVPN) ,这三种类型的 VPN 分别与传统的远程访 问网络、企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应。 1.1.2.1 Access VPN 随着当前移动办公的日益增多,远程用户需要及时地访问 Intranet 和 Extranet。对 于出差流动员工、 远程办公人员和远程小办公室, Access VPN 通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接。在 Access VPN 的应用

15、中,利用了二层网络 隧道技术在公用网络上建立 VPN 隧道(Tunnel)连接来传输私有网络数据。 Access VPN 的结构有两种类型,一种是用户发起(Client-initiated)的 VPN 连接, 另一种是接入服务器发起(NAS-initiated)的 VPN 连接。 用户发起的 VPN 连接指的是以下这种情况:首先,远程用户通过服务提供点 (POP)拨入 Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加 密)连接从而访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道 连接的有关协议和软件。 在接入服务器发起的 VPN 连接应用中,用户通过本地号

16、码或免费号码拨入 ISP, 然后 ISP 的 NAS 再发起一条隧道连接连到用户的企业网。在这种情况下,所建立的 VPN 连接对远端用户是透明的,构建 VPN 所需的协议及软件均由 ISP 负责管理和维 护。 3 1.1.2.2 Intranet VPN Intranet VPN 通过公用网络进行企业各个分布点互联,是传统的专线网或其他企 业网的扩展或替代形式。 利用 IP 网络构建 VPN 的实质是通过公用网在各个路由器之间建立 VPN 安全隧 道来传输用户的私有网络数据,用于构建这种 VPN 连接的隧道技术有 IPSec、GRE 等。结合服务商提供的 QoS 机制,可以有效而且可靠地使用网络资源,保证了网络质 量。基于 ATM 或帧中继的虚电路技术构建的 VPN 也可实现可靠的网络质量,但其不 足是互联区域有较大的局限性。而另一方面,基于 Internet 构建 VPN 是最为经济的方 式,但服务质量难以保证。企业在规划 VPN 建设时应根据自身的需求对以上的各种 公用网络方案进行权衡。 1.1.2.3 Extranet VPN Extranet VP

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号