第一章绪论
1.1课题研究背景随着计算机技术、通信技术的迅速发展和信息时代的到来,计算机网络在军事、政治、经济中的应用日益广泛,在国家和军队信息化建设中的重要性不断增强。然而计算机网络是一个开放式系统〔’〕,将军事、政治、经济等敏感信息,通过现有公共网络直接进行传输无疑是极其危险的,如何解决敏感信息在现有公共网络中的安全传输,或者说实现远程安全组网问题始终是信息安全领域研究的一项重要课题。最初解决远程安全组网问题是通过构建专线网络来实现,但是专线网络代价昂贵,而且并不能完全保证安全性。随着互联网等公共网络的迅速发展,公共网络的低廉高效促使了利用公共网络实现专用网络技术的出现,这就是VPN技术(VirtualPrivateNetwork:虚拟专用网)。二十世纪九十年代以来,VPN技术迅速成长,并得到广泛应用。各大型网络厂商诸如3Com,Cisco,NortelNetworks,Lucent和Shiva等都把VPN作为重要市场目标,纷纷推出了各自的VPN解决方案。
在国内,据诺达咨询在《2007-2008中国IPUPN设备与服务市场研究报告》中预计,2007年国内IPUPN市场收入规模为11.88亿元,2008年将达到19.6亿元。用户规模方面,2006年国内IPUPN总用户数达到15000户,比2005年的9650户增加55.4}0。预计2007年将达到22010户,2008年将达到35500户。市场仍处于高速发展阶段。整个市场还处于发展初期,并随着经济发展和企业对信息化需求的持续旺盛而快速成长「0。图1.1是目前中国企业信息安全产品分类的比例图【0,其中68%的企业使用了VPN产品,是所有安全产品中使用最多的一类,这一数据也可以看出VPN在解决信息安全问题中所起的重要作用。目前使用较多的VPN解决方案包括IPSecVPN,MPLSVPN,SSLVPN等,其中IPSecUPN经过十几年的发展,技术不断完善成熟,加之工PSec协议簇提供了完善的安全机制,工PSecVPN目前占据了VPN的绝大部分市场。另一种主要的VPN解决方案是MPLSVPN,2001年工ETF公布了MPLS标准闭,该协议被认为是下一代网络的基础协议。与基于工PSec的VPN不同,MPLS使用路由转发和数据传输分离技术,实现了灵活的第三层路由和高效的第二层数据转发功能,MPLSUPN以其高质量的传输服务占据了很大的市场份额。近年来,应用于远程访问领域的SSLVPN技术发展十分迅速。
SSLVPN的特点是简单易用,由于主要的浏览器厂商都在其产品中加入了对SSL协议的支持「钊,SSLVPN可以方便地支持B/S模式的应用。目前国内外各大通信设备厂商(如Cisco,Juniper,Nortel和Nokia等)都在各个关键领域研究和发展自己的SSLVPN设备。市场研究家们预计〔司在今后几年中,SSLVPN设备的全球销售将会出现持续增长,同时整个VPN市场将在近几来得到极快增长。以上主流类型VPN在解决远程安全组网方面各有优势,但也存在一些本身固有的不足,主要表现在以下方面:(1)MPLSVPN使用范围仅局限于MPLS网络,网络适用性不够,而且本身不提供安全方案,不能满足特定行业和部门对敏感信息处理的要求。(2)IPSecVPN与NAT(NetworkAddressTranslator)〕防火墙、代理服务器等网络设备不能很好兼容、对复杂网络环境穿透性较弱、部署相对固定、使用管理复杂、灵活性不够;(3)SSLVPN网络穿透性好「H},但是由于作用于应用层,所以并不能象IPSecVPN那样针对所有应用起效,每个厂商的解决方案和支持的应用种类各不相同;支持的应用和协议有限,在基于网络到网络的远程组网方面能力较弱。远程安全组网的目的是在复杂的公共网络上实现主机及子网的安全互连,从以上分析可以看出,现有VPN存在以下两种缺点之一:(1)对复杂网络环境的穿透性差,使用环境受限,灵活性不够。
(2)支持协议或应用受限,适应性差。由于目前军队一些业务部门网络环境或所处位置的局限,不能方便构建传统的VPN,或者由于办公位置经常变动,不适于通过传统VPN方式实现远程组网,因此在保证安全性的前提下,远程安全组网系统的适应性和灵活性是现实应用中一个重要的考虑因素。这也是本课题需要解决的问题。,.2课题研究意义虚拟以太网技术提供了一种不同于传统VPN的新的隧道构造方式,基于虚拟以太网在应用层构建安全隧道从而实现远程安全组网可以避免传统VPN在修改IP协议栈时引起的问题,有效改善复杂网络环境下远程安全组网中的灵活性和适应性,因此本文研究虚拟以
参考文献
[1]Younglove, R. Virtual private networks-how the work[J].Computing&control EngineeringJournal, 2000, 11(6) :260-262.
[2〕诺达咨询2007-2008中国IP VPN设备与服务市场研究报告【R].show report. asp?id=231, 2007, 12.
[3] JohnChina中国企业信息安全解决方案发展趋势分析报告【R].
[4] E. Rosen, A. Viswanathan, R. Callon. Multiprotocol Label Switching Architecture[S].IETFRFC3031. January 2001.
[5]陈牙贤,廖洪奎,冯登国.一种基于SSL / TLS的Web安全代理的设计与实现[J]。计算机_L程,2004, 30 (11):40-42.
摘要 7-8
Abstract 8
第一章 绪论 9-13
1.1 课题研究背景 9-10
1.2 课题研究意义 10-11
1.3 论文主要工作 11-12
1.4 论文组织结构 12-13
第二章 VPN及虚拟以太网相关技术研究 13-30
2.1 VPN技术研究 13-24
2.1.1 VPN的概念及分类 13-14
2.1.2 VPN关键技术 14-17
2.1.3 现有主要类型 VPN研究 17-24
2.2 虚拟以太网技术研究 24-29
2.2.1 虚拟以太网的提出 24-25
2.2.2 虚拟以太网原理 25
2.2.3 虚拟网卡 25-27
2.2.4 基于虚拟以太网构建 VPN原理 27-28
2.2.5 基于虚拟以太网构建 VPN性能特点 28-29
2.3 本章小结 29-30
第三章 基于虚拟以太网的 VPN系统设计 30-51
3.1 系统总体设计 30-37
3.1.1 应用需求分析 30-31
3.1.2 系统应用模式 31-33
3.1.3 系统框架结构设计 33-35
3.1.4 系统工作流程设计 35-37
3.2 身份认证及会话协商协议设计 37-41
3.2.1 PKI技术及军队数字证书认证系统 37-38
3.2.2 身份认证及密钥协商过程设计 38-40
3.2.3 身份认证安全性分析 40
3.2.4 会话密钥协商安全性分析 40-41
3.3 P2P组网协议设计 41-47
3.3.1 对以太网模式下通信方式的分析 41
3.3.2 P2P技术介绍 41-42
3.3.3 基于 P2P的网络通信架构设计 42-44
3.3.4 P2P网络节点状态处理 44-46
3.3.5 系统 P2P模式的安全性分析 46-47
3.4 隧道结构设计 47-50
3.4.1 数据压缩处理 47-48
3.4.2 数据包 ID号处理 48-49
3.4.3 加解密和 HMAC值处理 49
3.4.4 数据包类型码和隧道 ID号 49-50
3.5 本章小结 50-51
第四章 基于虚拟以太网的VPN系统实现 51-63
4.1 虚拟网卡模块 51-53
4.1.1 虚拟网卡结构 51-52
4.1.2 虚拟网卡数据处理流程 52-53
4.1.3 虚拟网卡设备的使用 53
4.2 隧道封装模块 53-55
4.2.1 数据压缩和解压缩 54
4.2.2 数据包 ID号处理 54
4.2.3 加解密和 HMAC处理 54-55
4.2.4 数据包类型和隧道 ID号处理 55
4.3 认证及密钥管理模块 55-56
4.3.1 消息类型说明 55
4.3.2 身份认证及会话协商实现 55-56
4.4 P2P网络管理模块 56-58
4.4.1 服务器端 P2P网络管理的实现 56-57
4.4.2 客户节点 P2P网络管理的实现 57-58
4.5 隧道管理模块 58-59
4.6 用户管理模块 59-60
4.7 SOCKET通信模块 60-61
4.8 其它辅助模块 61-62
4.8.1 日志管理模块 61
4.8.2 用户接口模块 61-62
4.9 本章小结 62-63
第五章 系统性能测试及分析 63-72
5.1 系统测试环境 63-64
5.2 组网性能测试 64-65
5.2.1 连通性测试 64
5.2.2 NAT穿透测试 64-65
5.2.3 P2P连接测试 65
5.3 传输性能测试 65-70
5.3.1 直接传输性能测试 65-68