优·网络安全传输通道技术的研究.docVIP

1 概述 ?? 随着因特网的高速发展，网络上开发的应用越来越多，一些关键业务也开始通过因特网提供。而 Internet 的一大特性是他的开放性，正是这种开放性给因特网上服务的安全构成了严重威胁。为了保证它健康有序的发展，必须在网络安全上提供强有力的保证。 ?? 所谓网络安全传输通道，就是利用安全通道技术 (Secure Tunneling Technology) ，通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源端和目的 端的用户对通道中的嵌套信息能够进行解释和处理，而对于其他用户而言只是无意义的信息。网络安全传输通道应该提供以下功能和特性： 机密性：通过对信息加密保证只有预期的接收者才能读出数据。 完整性：保护信息在传输过程中免遭未经授权的修改，从而保证接收到的信息与发送的信息完全相同。 对数据源的身份验证：通过保证每个计算机的真实身份来检查信息的来源以及完整性。 反重发攻击：通过保证每个数据包的唯一性来确保攻击者捕获的数据包不能重发或重用。 ?? 在因特网上普遍采用的是 TCP/IP 协议， TCP/IP 协议的体系结构相对于 OSI/ISO 体系结构的 7 层模型是比较简单而实用的，其模型如下： 应用层 传输层 网络层 主机到网络层 ?? 此体系结构中，最下面的主机到网络层实际上包括了 OSI 模型中的 2 层：数据链路层和物理层。本文将从 TCP/IP 的各个层次介绍相关的安全传输通道技术。 2 在数据链路层实现安全传输通道的技术 [1] ?? 数据链路层技术涉及到软件和硬件两个方面，硬件方面不在本文中讨论。当前能在此层提供安全通道技术的安全协议主要有： PPTP 和 L2TP 。它们主要是为了组建远程访问 VPN 而提出的。 ?? PPTP 是第 2 层协议，它将 PPP 帧封装在 IP 数据报里以在 IP 网络中传输。它是微软开发的一个较旧的协议。相反， L2TP 是基于 Cisco 的“第 2 层转发（ L2F ）”协议和微软的 PPTP 协议的较新协议。它可以封装在 IP 、 X.25 、帧中继、异步传输模式等上发送的 PPP 帧。虽然 L2TP 比 PPTP 更灵活，但它比 PPTP 需要更多的 CPU 能力。 L2TP 和 PPTP 的主要技术性区别如下： PPTP 要求传输网络基于 IP ，而 L2TP 只要求传输网络提供点对点连通性； PPTP 只支持 VPN 客户机和 VPN 服务器之间的一个隧道， L2TP 允许在终点间使用多个隧道。使用 L2TP 可以为不同服务质量而创建不同的隧道或满足不同安全要求； L2TP 提供信息头压缩，当启用信息头压缩时， L2TP 以 4 字节开销运行相当于 PPTP 以 6 字节运行。 2.1 PPTP 的封装 ?? 原始 IP 数据报在 PPTP 客户机和 PPTP 服务器之间传输时， PPTP 封装它。图 1 显示了 PPTP 信息包的封装格式： ? ? 图 1 PPTP 的封装格式 ?? 在上图中，原始数据报首先封装在 PPP 帧里。使用 PPP 可压缩和加密该部分数据。然后将 PPP 帧封装在 GRE （ Generic Routing Encapsulation ）帧里，该帧是 PPTP 客户机和 PPTP 服务器之间发送的新 IP 数据报的有效负载。该新数据报的源和目标 IP 地址将和 PPTP 客户机及 PPTP 服务器的 IP 地址相对应。执行中该数据报将进一步封装在数据链路层帧里并且有正确的信息头和信息尾。 2.2 L2TP 的封装 ?? 和 PPTP 相似，当经过传输网络传送时， L2TP 封装原始 IP 数据报。由于在 L2TP 中，是靠 IPSec 提供加密功能，所以 L2TP 封装分两个阶段完成：初始 L2TP 封装和 IPSec 封装。 阶段 1 ：初始 L2TP 封装 阶段 2 ： IPSec 封装 ? 图 2 L2TP 的两阶段封装 ? ?? 如图 2 所示， L2TP 首先将原始数据报封装在 PPP 帧里（和 PPTP 一样）；然后将 PPP 帧插入到有 UDP 信息头和 L2TP 信息头的新 IP 数据报。然后结果数据报再应用 IPSec 加密。在这里，应用了 IPSec 标准中的封装安全载荷（ ESP ）协议的信息头和信息尾以及 IPSec 验证信息尾，这样就保证了信息的完整性和机密性以及信息源的身份验证。最外层 IP 报头所包含的源和目标 IP 地址与 VPN 客户机和 VPN 服务器相对应。 3 在网络层实现安全传输通道的技术 [2] ?? 当前，在网络层实现安全