《一种新的IpsecVPN的实现方式的研究》——论文汇报2010年11月4日论文来源及作者介绍论文来源刊物中文核心期刊《计算机应用与软件》刊期2008年第七期该杂志被收录情况中国科技论文中国学术期刊综合评价数据库万方数据库中文科技期刊数据库美国《剑桥科学文摘》美国《乌利希期刊指南》网址:它以创新、准确、实用为特色突出综述性、科学性、实用性,及时报道国内计算机技术在科研、教学、应用方面的研究成果,并且积极报道国外计算机技术的发展动态。论文来源及作者介绍作者相关信息作者职位主要研究方向单位曹利峰博士研究生讲师网络安全信息工程大学电子技术学院杜学慧硕士生导师教授信息安全与管理信息工程大学电子技术学院陈性元博士生导师教授信息安全中国“VPN”之父信息工程大学电子技术学院曹利峰1982年,主研领域:网络安全。师从陈性元。论文背景及现状研究论文背景VPN的重要性VPN技术是综合运用密码、安全协议、访问控制等信息安全技术,集加密、认证、访问控制、网络审计等多种安全机制为一体的一种较为全面的网络安全技术VPN的划分方式IPsecVPN实现方式的分类,主要从两个方面进行分类:按设备类型分类和按Ipsec协议实现的网络层次分类VPN研究意义VPN技术的优势是安全、经济、便利、可靠、可用;同时组网灵活,具有良好的适应性和可扩展性论文背景及现状研究现状研究现在IPsecVPN多是指基于服务的VPN和基于终端的VPN。基于服务器的实现方式包括基于嵌入式的、基于网络处理器的、基于公共机的、基于服务器架构的几种实现方式;基于终端的VPN实现方式又可分为基于PC机的、基于PDA的、基于手机的几种实现方式。这一块研究的较为成熟。目前也有针对TCP/IP协议,IPsecVPN在基于网络模型上应用,如下图。IPsec协议层次示意图论文背景及现状研究IP整合,使得IPsec协议与网络层紧密集成在一起,有利于一切网络服务。实施于系统内核非常有效。BITS和BITW的实现较为复杂,需实现网络层部分或者所有特性。应用层的实现,则是为了迎合应用层的Web需求而实现的,较为简单。本文通过对这些VPN设计及应用的分析,给出了一种新的同时支持路由和网桥两种模式VPN的一体化设计论文创新点本文设计了多种基于Linux的IPsecVPN,从应用的角度,对设计的这些实现方式进行了比较,总结出其共性及特点设计了一种新的同时支持路由和网桥两种模式的VPN的一体化设计。该设计使防火墙策略和VPN策略的配置统一化,真正做到了配置简单、灵活;而且能和状态检测进行结合,进一步加强网络边界的安全性论文类别科技论文之工程论文《一种新的IPsecVPN的实现方式的研究》本文的关键问题对同时支持路由和网桥两种模式的VPN的设计方案进行了详细的描述和分析。论文题目一种新的IPsecVPN的实现方式的研究RESEARCHONNEWIPSECVPN-BASEDIMPLEMENTATION研究对象:IPsecVPN核心工作:实现方式的研究本文摘要摘要:从VPN设备的灵活性、适应性及扩展性等方面着手,提出并设计了不同网络层次上VPN的实现方案,并在比较分析的基础上,采用一体化的设计方法,给出了一种同时支持路由和网桥两种模式的IPsecVPN的实现方案。英文摘要Consideringtheflexibility,adaptabilityandexpansibilityofVPNdevice,manyimplementationwaysforVPNindifferentnetworklayersareputforwardanddesignedComparisonismadeamongthesemethods.Finally,basedontheviewpointofintegrationdesign,anewimplementationwayforIPsecVPNispresented,whichsupportsbothroutemodeandnetworkbridgemode.关键词中文关键词关键词:虚拟专用网IP安全协议网桥路由英文关键词Keywords:VPNIPsecNetworkbridgeRoute本文引言只有两段:首先叙述了VPN最突出的优点接着介绍了VPN实现方式的不同带来的威胁最后用一句话概括了本文所做的工作即:研究并设计了多种基于Linux的IPsecVPN的实现方式本文正文结构正文2.1基于“透明网桥”实现方案的设计2.2IP层实现方案的设计1IPsecVPN实现方式的分类1.1设备分类1.2实现的层次分类2多种基于Linux的IPsecVPN实现方案的设计4结论2.3应用层实现方案的设计3多模式下VPN实现方案的设计正文1IPsecVPN实现方式的分类(1)设备分类基于服务的VPN包括基于嵌入式的、基于网络处理器的、基于公共机的、基于服务器架构的几种实现方式基于终端的VPN包括基于PC机的、基于PDA的、基于手机的几种实现方式(2)按实现的层次分类正文1IPsecVPN实现方式的分类IPsec协议在TCP/IP协议栈中的实现主要分为四类:IP整合、BIT、SBITW、应用层方式IPsecVPN按实现的层次可以分为:IP的整合,使得IPsec协议与网络层紧密集成在一起。有利于一切网络服务,实施于系统内核非常有效。BITS和BITW的实现较为复杂,需实现网络层部分或者所有特性。应用层的实现,则是为了迎合应用层的Web需求而实现的,较为简单。正文2基于Linux的IPsecVPN实现方案的设计(1)基于“透明网桥”实现方案的设计设计思路:当数据报文或者数据帧进入安全网关后,分别在链路层的接收队列处理和发队列处理之前对数据报文或者数据帧进行IPsec的进入处理和外出处理,然后交由链路层的接收队列和发送队列进行相应的网络处理。优点:安全、透明、有利于支持多协议和多模式的实现,不过实现时必须在IPsec处理层增加IP碎包、组包等必要的IP处理功能。(2)IP层实现方案的设计设计思路:Netfilter提供了一个抽象、通用化的包处理框架。我们可在INPUT处进行IPsec数据包进入处理;在FORWARD处进行转发包的处理(包括IPsecVPN的处理);在OUTPUT处进行本地外出包的VPN处理。VPN处理根据策略区分IPsec包、非IPsec包以及包发往何处,是否丢弃IPsec包。对发往内部网的非IPsec包将发往内部网;对发往外部网的IP包,根据策略进行认证、加密等IPsec处理;从本地发送的数据包,交由OUTPUT进行状态包过滤处理,接着判断是否为VPN策略,处理之后进行外出的处理。正文2基于Linux的IPsecVPN实现方案的设计(3)应用层实现方案的设计设计思路:应用层实现IPsecVPN处理,需要对过往的数据包重定向到VPN网关的应用层进行处理。当被保护的内部网络数据包进入VPN网关后,根据策略判断是否为VPN处理。若是,则重定向到网关应用层。根据对应的安全联盟SA进行VPN处理。由socket根据目标地址和端口号发送出去。对端VPN网关接收到数据包后,同样在应用层进行VPN的解封装、解密等处理,得到原始的IP数据包。再由socket根据原始数据包的目标地址和端口号发送到目的端服务。正文2基于Linux的IPsecVPN实现方案的设计正文3多模式下VPN实现方案的设计(1)传统VPN的特点通过比较传统VPN的设计与实现我们知道:链路层的实现,尽管能够控制所有数据流,防止数据流旁路,具有更高的可控性和安全性,可实现局域网VPN的支持,但是此方式需要把第三层的功能在链路层进行实现。IP层的实现,尽管易实现易扩展,但是由于实现点的问题,仅能够支持路由模式,不支持网桥模式,因此在灵活性和扩展性方面存在着不足;而应用层的实现,在功能上仅仅限于应用层服务,不易扩展。(2)路由网桥一体化VPN的实现方式网桥模式的VPN:先进入网桥的PREROUTING链,进行MAC转换以及去帧的处理,接着交由防火墙的PREROUTING链,进行轨迹跟踪、DNAT的处理;若为外部网络的VPN数据包,则进行VPN的解封装、解密和认证处理,随后进入网桥的FORWARD和防火墙的FORWARD链中,进行数据帧的包过滤以及IP数据包的包过滤处理;然后进入网桥的POSTROUTING链和防火墙的POSTROUTING链,进行数据帧的伪装和IP数据包的伪装、轨迹跟踪处理;若为内网数据裸包,则进行VPN的封装、加密及认证等处理。正文3多模式下VPN实现方案的设计路由模式的VPN:进入防火墙的PREROUTING链,进行轨迹跟踪、DNAT的处理;若为外网的VPN数据包,则进行IPsec解封装、解密和认证等处理;解包后,若发现仍然为封装包,那么HOOK函数返回NF_REPEAT,重复执行VPNHOOK函数,直到为裸包。接着由路由代码决定数据包是进行本地处理还是进行转发处理。若转发,则进入防火墙FORWARD链进行IP包过滤处理,最后进行防火墙POSTROUTING链,进行轨迹跟踪、SNAT处理;若为内网的外出数据包则进行IPsec封装、加密和认证等处理,如果需要进行嵌套处理,则返回NF_REPEAT,重复执行VPNHOOK函数。正文3多模式下VPN实现方案的设计(3)路由网桥一体化VPN的实现优点正文3多模式下VPN实现方案的设计IP整合效率最高,也最为有效,有利于分段、PMTU等服务灵活、易操作;在网桥模式下实现有利于支持第二层局域网VPN应用模式;能够做到真正的即插即用,高度透明。本文结论分析该设计也使防火墙策略和VPN策略的配置统一化,真正做到了配置简单、灵活的功能;而且能和状态检测进行结合,进一步加强网络边界的安全性。参考文献[1]丁松阳Linux内核源代码分析[D]解放军信息工程大学,2002,3[2]李晓波基于IPsec的VPN系统研究与设计[D]电子科技大学,2002,6[3]童立,甘嘉州一个IPsec在Linux平台上的实现框架计算机工程,2003,29:1632165[4]李方敏,彭小兵,斗澄清基于FreeSwan的网络安全研究和VPN的构建小型微型计算机系统,2003,24:7972800[5]陈性元基于虚拟子网的安全VPN技术研究[D]解放军信息工程大学,2003,5