基于隧道IKE探测方案的研究和实现.pdfVIP

第31卷增刊 华中科技大学学报(自然科学版) Vol31 Sup Univ．of Science Oct 2003 2003年10月J．HuazhongSci＆Tech(NatureEdition) 基于隧道IKE探测方案的研究与实现 杨昌乐李芝棠 (华中科技大学计算机科学与技术学院) 摘要：讨论了在1PSec应用中遇到的探测问题，对此问题的当前一些解决方案进行了分析，指出了各种方案 的不足之处．提出了一种新的解决方案，并对此方案进行了实验验证，给出了实验结果 关键词：虚拟专用网；IPSec；擐测 文献标识码’：A 中田分类号：TP393 文章编号：1671—4512(2003)$1—0129—03 隧道不一致情况，以便及时进行相应的处理． 1 IPSec的探测问题 1 2问题分析 一个有”台VPN的虚拟网络，其中VPN。 由于IPv4的IP报文并没有实现任何形式的 与vPN，之间的隧道数为％，则共有w条隧道， 加密或者认证，所以很容易就可以伪造、截获、篡 其中w=∑a．设在时间T内，VPN。与 改以及查看IP报文的内容．而IPSee通过提供一 些加密和认证的机制，很好地解决了这些问题…， vPN，某条隧道出现故障的概率为P。平均故障 具体包括以下几种形式：无连接数据报的完整性 恢复时间为to，从而有：VPN。与vPN，有隧道出 验证；数据内容的机密性；抗重播保护；有限的数 现故障的概率为P。=1一(1一P。)4”；在VPN，与 据流机密性保证 VPN，间可能有m。条隧道出现故障m。=aijPo． 1．1问题描述 此时可能有M条隧道出现故障，M=∑n，，． 当两台计算机通过IPSec进行通信时，假如 在最坏情况下(即出现故障隧道的时间不重 因为某种原因(死机、重启、网络故障等等)导致 叠)，在时间t1内，此虚拟网络将不能正常工作： VPN(虚拟专用网)的隧道不可用时，在当前的 VPN应用中，并没有一种有效的方式来发现这一 ‘-一l 情况，因此这两台计算机并不知情，仍然将本机外 出报文通过IPSec加密发送给对方，从而出现网的概率都为P时，上式变为t1=pto二、n。． 令T=24 000，n=10， 络中的“黑洞”——本机的加密外出报文源源不断 h，‘o=1h，p=1／10 地消失在网络中，而本机的管理员无法发现问题 其中每两台VPN间都有隧道，同时每台VPN都 000= 的存在．只有等到VPN的隧道生存期耗尽，并重 带有1000个端用户．则有m=45+10 10 000=1．004 新协商时才发现对方不可达，从而协商失败，管理 045，t，=10045／105．即在此规模 员才可以发现隧道不可用． 下的