于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)_圖文

1、大連理工大學(xué)碩士學(xué)位論文基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn) 姓名:于海深申請(qǐng)學(xué)位級(jí)別:碩士專業(yè):軟件工程指導(dǎo)教師:江賀20050521大連理.大學(xué)碩士學(xué)位論文摘 要虛擬專用網(wǎng)(VPN被定義為通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,是 一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。承載在VPN上的數(shù)據(jù)應(yīng)該與P骨干網(wǎng) 沒有任何關(guān)系,可以實(shí)現(xiàn)不透明包傳輸。VPN的實(shí)現(xiàn)必須通過某種類型的隧道機(jī)制,以 便VPN的數(shù)據(jù)包格式以及編址能夠與P骨干網(wǎng)上的數(shù)據(jù)包互不相干。VPN可以在VPN 作用的范圍內(nèi)提供一定程度數(shù)據(jù)安全保障。本文所研究的是軟件VPN產(chǎn)品,使用的是安 全套接層(SSL協(xié)議。C/S結(jié)構(gòu)的S

2、SL VPN會(huì)提供更靈活的網(wǎng)絡(luò)安全解決方案,國內(nèi) 外同類產(chǎn)品都處于起步階段,目前還沒有成熟的產(chǎn)品。本課題的任務(wù)是獨(dú)立研發(fā)VPN的體系結(jié)構(gòu)并設(shè)計(jì)功能模塊。網(wǎng)絡(luò)數(shù)據(jù)包過濾是VPN 系統(tǒng)必需的底層模塊之一,然而在VPN的相關(guān)技術(shù)資料中關(guān)于這方面的介紹極其匱乏。 本文將討論如何過濾網(wǎng)絡(luò)層數(shù)據(jù)包,在數(shù)據(jù)包過濾基礎(chǔ)上分析如何實(shí)現(xiàn)VPN數(shù)據(jù)包封 裝。通過協(xié)議轉(zhuǎn)換將數(shù)據(jù)包嵌入SSL協(xié)議記錄層,被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所 經(jīng)過的邏輯路徑被稱為“隧道”。本文深入剖析VPN隧道的概念,在分析結(jié)果上結(jié)合實(shí) 際提出隧道對(duì)接模塊的概念。在本文中將詳述所開發(fā)的VPN系統(tǒng)的功能模塊,以及如何 設(shè)計(jì)這些功能模塊來實(shí)現(xiàn)該V

3、PN工程。對(duì)SSL隧道模塊進(jìn)行詳細(xì)的分析,并結(jié)合實(shí)際 開發(fā)過程,說明如何使用Winpcap和Opcnssl實(shí)現(xiàn)VPN隧道的主要功能的原理。本文還 針對(duì)VPN網(wǎng)關(guān)服務(wù)器效率問題引入多線程同步與單線程異步模式之間的比較,對(duì)多線程 并發(fā)問題進(jìn)行了深入的探討,同時(shí)分析了部分windows平臺(tái)上實(shí)現(xiàn)同步阻塞的技術(shù),并 輔以設(shè)計(jì)過程中的UML構(gòu)件圖和順序圖來解釋服務(wù)器的多線程設(shè)計(jì)。改進(jìn)了VPN網(wǎng)關(guān) 的多線程設(shè)計(jì),保證了多個(gè)隧道線程之間的高質(zhì)量的數(shù)據(jù)交換,提高VPN的性能。 本文所研究的內(nèi)容是實(shí)際開發(fā)VPN系統(tǒng)的技術(shù)總結(jié),同時(shí)對(duì)該VPN項(xiàng)目的進(jìn)一步 丌發(fā)起指導(dǎo)作用。本文所著重討論的VPN底層數(shù)據(jù)包過濾技術(shù)、

4、多線程之間數(shù)據(jù)交換的 解決方法以及隧道對(duì)接的概念對(duì)于同類網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)都具有一定的應(yīng)用價(jià)值和意 義。關(guān)鍵詞:虛擬專用網(wǎng);安全套接層;隧道技術(shù)基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)Design and Realization ofVirtual Private NetworkBased Oil SSL Tunnel TechnologyAbstractThe Viaual Private Network is deftned in order to set up a temporary,safe connection through a public network;it is a sec

5、urity and steady tunnel cmssing the confused public network. The data carried on VPN should not have any relation with the public IP network.It can realize the nontrans!carent transmission of data packet.The realization of VPN must use some kind of ttt!-lnel mechanisms.So that data packet ofVPN form

6、at as well as the address is irrelevant with the data packets carried on the public IP network.VPN call offer certain data security within the range ofVPN,眥s thesis concentrates on soRware VPN system,using SSL(security Socket Layerprotoc01.砥s kind ofClient/Server SSL VPN can provide more flexible so

7、lution曲out network sag;urity,There is no mature product ofthis kind ofVPN intemational矗eld.T11is essays task is to develop and research血e VPN arc陸tccture and design the modules ofVPN.The network packet filter is an essential basic module ofVPN system.however there is few issue in this field ofinform

8、ation that concerning VPN.In this text,the way offilter packet carried on network layer will be discussed,meanwhile witl aRatyses how to realize the encapsulation of VPN packet.nle packet is injected into the record layer of SSL through protocol convemioil.The logical path ofthat the encapsulated pa

9、ckets pass iscalled tunnel,This thesis construes the VPN tunnel concept deeply,and educes a result with tunnel entry module based oll development.In this text,the functional modules of the developed VPN system are descfibed in detail.There is description ofdesigning these functional modules洫order to

10、 realize the VPN project.The SSL module is analyzed particularly.It Presents the practical development for instance of principle how to use Winpcap and Openssl to realize essential functions ofthe VPN tunnel.To solve the problem of the servers performance,the comparison between multithreading synchr

11、onization and singlethreading asynchronism is explained i11this text.The mulfithreading is discussed deeply,meanwhile some synchronization blocking technologies used onwindows platform is analyzed assisted with some UML diagrams such as component diagram and sequence diagram in order to explain the

12、multithreading design ofthe server.Improved on the design ofN gatewa37s multithreading,it guarantees the higll quaiity data exchange oftunnel multithreads and enhance the VPNs performance.111e content ofthis articles research is a conclusion ofdeveloping the VPN systern.at the same time it can be di

13、rection of the farther development ofthisN projeet.What are 一.人連理r人學(xué)碩士學(xué)位論文emphasized in this article,such as the packet filter technology of VPNs substratc,solution of data exchange between multithreads and the concept oftunnel-threads-joint,have useful value and meaning in developing same type ofne

14、tworks security software.Key Words:Virtual Private Network;Security SocketLayer:Tunnel Technology .一獨(dú)創(chuàng)性說明作者鄭重聲明:本碩士學(xué)位論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究 工作及取得研究成果。盡我所知,除了文中特別加以標(biāo)注和致謝的地方 外,論文中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果,也不包含為獲得 大連理工大學(xué)或其他單位的學(xué)位或證書所使用過的材料。與我一同工作 的同志對(duì)本研究所做的貢獻(xiàn)均已在論文中做了明確的說明并表示了謝 意。基于SSL隧道技術(shù)的虛擬專H|網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)本學(xué)位論文作者及指導(dǎo)教師完全了

15、解“大連理工大學(xué)碩士、博士學(xué)位論文版權(quán)使用 規(guī)定”,同意大連理工大學(xué)保留并向國家有關(guān)部門或機(jī)構(gòu)送交學(xué)位論文的復(fù)印件和電子 版,允許論文被查閱和借閱。本人授權(quán)大連理工大學(xué)可以將本學(xué)位論文的全部或部分內(nèi) 容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索,也可采用影印、縮印或掃描等復(fù)制手段保存和匯編學(xué)位論 文。作者簽名導(dǎo)師簽名于酒派竺年三月衛(wèi)目大連理工大學(xué)碩士學(xué)位論文1緒論基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)課題屬于計(jì)算機(jī)科學(xué)軟件工程中網(wǎng) 絡(luò)通訊與網(wǎng)絡(luò)安全領(lǐng)域。在實(shí)施“盤錦市稅銀聯(lián)網(wǎng)系統(tǒng)”項(xiàng)目過程中對(duì)自主技術(shù)的VPN 系統(tǒng)的迫切需求而設(shè)立了該課題。本課題在分析和比較目前VPN最新發(fā)展趨勢的基礎(chǔ)上,采用基于SSL隧道技術(shù)

16、實(shí) 現(xiàn)C/S架構(gòu)的VPN,并將把成果應(yīng)用到“稅銀聯(lián)網(wǎng)系統(tǒng)中”。解決網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)報(bào) 稅所側(cè)重的安全性和可靠性需求。我國越來越多的行業(yè)和企業(yè)用戶開始逐漸熟悉和使用VPN產(chǎn)品。VPN已經(jīng)成為中 國市場的主流消費(fèi)產(chǎn)品之一。VPN已成為各種大中型企業(yè)級(jí)解決方案的主要部分。 VPN的基礎(chǔ)是各種安全協(xié)議。近幾年出現(xiàn)的一些新的網(wǎng)絡(luò)協(xié)議,如點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP1、第二層隧道協(xié)議(L2TP2、安全I(xiàn)P(IPSec3協(xié)議、安全套接層(SSL4】 協(xié)議等,都在各種VPN系統(tǒng)中得以應(yīng)用。目前IPSec VPN在國內(nèi)市場上應(yīng)用較多。一般都是IPSec VPN集成防火墻產(chǎn)品配合 使用。自20世紀(jì)90年代末以來,基

17、于IPSec協(xié)議的VPN模式成為企業(yè)VPN的主流。 但由于IPSecVPN的一些缺點(diǎn)和不足,國內(nèi)外的VPN研發(fā)都在尋找新的技術(shù)。VPN領(lǐng)域里還有新發(fā)展的比較熱門的兩種技術(shù)。MPLS(MultiprotocolLabelSwitch, 多協(xié)議標(biāo)簽交換【5VPN和基于SSL的VPN。MPLS VPN在國內(nèi)外的發(fā)展勢頭強(qiáng)勁。BGP/MPLS vPN5,61可以作為傳統(tǒng)的基于二 層吲專線的VPN、純?nèi)龑拥腎P VPN和隧道方式的VPN的替代技術(shù),是未來構(gòu)建VPN 技術(shù)的發(fā)展方向。但是由于VPN路由存在于PE路由器上,由運(yùn)營商代替用戶維護(hù)路由, 所以對(duì)于一些網(wǎng)絡(luò)安全意識(shí)較高的高端用戶,他們更傾向于使用傳

18、統(tǒng)的二層VPN技術(shù)或 者新興的Layer281MPLS VPN。SSL的發(fā)展很快,國內(nèi)外已經(jīng)出現(xiàn)很多SSLVPN產(chǎn)品。就技術(shù)上而言,國內(nèi)在SSL VPN產(chǎn)品的研發(fā)上還處于應(yīng)用層開發(fā)。少有自主實(shí)現(xiàn)SSL協(xié)議的VPN產(chǎn)品。很多SSL VPN硬件設(shè)備中使用的是國外生產(chǎn)的SSL加速芯片。但是可以預(yù)見,SSL VPN將在中基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)國市場蓬勃發(fā)展。根據(jù)市場分析,到2006年80%的公司都會(huì)使用SSL作為遠(yuǎn)程接入手 段之一9。1.3本課題的研究的理論和技術(shù)、研究方法和內(nèi)容(1軟件工程理論。軟件生命周期的內(nèi)容屬于軟件工程理論,從提出項(xiàng)目計(jì)劃開始, 就應(yīng)用軟件工程理論。將項(xiàng)目需求

19、分析,系統(tǒng)設(shè)計(jì),系統(tǒng)實(shí)現(xiàn),系統(tǒng)維護(hù)等軟件生命周 期的相關(guān)內(nèi)容做好計(jì)劃和準(zhǔn)備。應(yīng)用瀑布模型,并在瀑布模型的基礎(chǔ)上結(jié)合極限編程的 少量特點(diǎn)作為該項(xiàng)目的軟件生命周期模型。(2面向?qū)ο罄碚?。在系統(tǒng)分析與設(shè)計(jì)過程中,應(yīng)用面向?qū)ο罄碚?。包括面向?qū)ο?分析(OOA方法、面向?qū)ο笤O(shè)計(jì)(OOD方法。在面向?qū)ο蠼５倪^程中使用UML 建模工具。C/S結(jié)構(gòu)的VPN按照功能模塊建模成若干構(gòu)件,再對(duì)構(gòu)件進(jìn)行更詳細(xì)的面向 對(duì)象分析和設(shè)計(jì)。分別對(duì)客戶端、服務(wù)端、隧道模塊、前端模塊等部分的類設(shè)計(jì)、數(shù)據(jù) 流、活動(dòng)狀態(tài)等等做更細(xì)致的建模。(3信息安全理論。VPN系統(tǒng)通常屬于網(wǎng)絡(luò)信息安全解決方案的一部分。信息安 全技術(shù)的一個(gè)重要變

20、化是由于網(wǎng)絡(luò)和通信設(shè)施的產(chǎn)生和應(yīng)用引起的。這些網(wǎng)絡(luò)和通信設(shè) 施用來在用戶各種終端以及計(jì)算機(jī)之間傳輸數(shù)據(jù)信息,這個(gè)傳輸過程很容易受到非法竊 聽等攻擊,這就需要對(duì)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)采取安全的保護(hù)措施。VPN、SSL等技術(shù)就 是針對(duì)這種需求發(fā)展起來的。(1數(shù)據(jù)包過濾技術(shù)。過濾數(shù)據(jù)包的需求一般來自于過濾、轉(zhuǎn)換協(xié)議、截取報(bào)文分 析等。過濾型的應(yīng)用比較多,典型為包過濾型防火墻。轉(zhuǎn)換協(xié)議的應(yīng)用局限于一些特定 環(huán)境。比如第三方開發(fā)網(wǎng)絡(luò)協(xié)議軟件,不能夠與原有操作系統(tǒng)軟件融合,只好采取“嵌 入?yún)f(xié)議棧的塊”(Brrs10方式實(shí)施。截取包用于分析的目的, “截包”一般表示有 截?cái)嗟哪芰? “抓包”只需要能夠獲取即可。

21、實(shí)現(xiàn)上一般作為協(xié)議層實(shí)現(xiàn)。本文將研究 如何過濾VPN內(nèi)部數(shù)據(jù)包,通過協(xié)議轉(zhuǎn)換將數(shù)據(jù)包嵌入SSL協(xié)議記錄層,并分析如何 實(shí)現(xiàn)VPN服務(wù)器報(bào)文分析。(2網(wǎng)絡(luò)安全技術(shù)。VPN是在不安全的Interact中通信,通信的內(nèi)容可能涉及企 業(yè)的機(jī)密數(shù)據(jù),因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交 換與管理組成。.2.大連理工大學(xué)碩士學(xué)位論文(3隧道技術(shù)。隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是 ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)?數(shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負(fù)載。被封裝的數(shù)據(jù)包 在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)

22、過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及 解封裝,通信協(xié)議是保證的核心。(4UML建模。UML是面向?qū)ο蠹夹g(shù)領(lǐng)域內(nèi)占主導(dǎo)地位的建模語言。通過使用 UML建模,把設(shè)計(jì)的VPN部署結(jié)構(gòu)和VPN系統(tǒng)的行為溝通起來,并對(duì)系統(tǒng)的體系結(jié)構(gòu) 進(jìn)行可視化控制。在實(shí)現(xiàn)階段使用設(shè)計(jì)階段的建?？梢愿玫睦斫庹跇?gòu)造的系統(tǒng),并 在簡化和復(fù)用的時(shí)候提供完整性依據(jù)。在代碼重構(gòu)的時(shí)候保證正確性。同時(shí)UML建模 還可以管理風(fēng)險(xiǎn)11。(1理論與實(shí)踐相結(jié)合。本文論述SSL隧道的技術(shù)理論的同時(shí),將實(shí)現(xiàn)大量實(shí)例。同時(shí)分析其它隧道協(xié)議的 技術(shù),結(jié)合相應(yīng)的編程技術(shù)實(shí)現(xiàn)一些模塊的改進(jìn)方案。(2從整體分析到重點(diǎn)設(shè)計(jì)。在開發(fā)S

23、SLVPN系統(tǒng)的過程中,靈活運(yùn)用各種理論知識(shí),從設(shè)計(jì)的初期做到照顧到 全局的接口部分,同時(shí)完善VPN系統(tǒng)SSL隧道需要重點(diǎn)解決的問題。在做到提高現(xiàn)有 管理功能的基礎(chǔ)上,提供可擴(kuò)展的接口,從而為升級(jí)和維護(hù)做準(zhǔn)備。本論文的內(nèi)容結(jié)構(gòu)有三個(gè)特點(diǎn)。采用由整體到細(xì)節(jié)進(jìn)行理論分析,由上層到底層進(jìn) 行系統(tǒng)分析,再由系統(tǒng)設(shè)計(jì)到實(shí)現(xiàn)實(shí)施開發(fā)過程。第一章引言部分講述了該課題的來源 和研究思路。第二章詳細(xì)分析VPN系統(tǒng)的相關(guān)內(nèi)容,為SSL VPN項(xiàng)目的功能需求分析 做準(zhǔn)備。第三章分析SSL協(xié)議的同時(shí)分析SSL VPN的安全性需求。第四章主要講述數(shù) 據(jù)包過濾技術(shù)。第五章是系統(tǒng)設(shè)計(jì)部分,分別從系統(tǒng)模塊、UML建模、SSL

24、隧道模塊、 實(shí)現(xiàn)多線程幾個(gè)方面論述VPN系統(tǒng)設(shè)計(jì)內(nèi)容。第六章是主要隧道構(gòu)件的設(shè)計(jì)和實(shí)現(xiàn)部 分,將說明一些程序設(shè)計(jì)和實(shí)現(xiàn)的細(xì)節(jié)。最后是總結(jié)。一3一基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)隨著信息化辦公的日益普及和企業(yè)規(guī)模的不斷擴(kuò)大,許多企業(yè)都在多個(gè)不同地方建 立了分支機(jī)構(gòu),而且與供應(yīng)商、合作伙伴的合作也是越來越密切了,如何在企業(yè)中建立 遠(yuǎn)程移動(dòng)、分支機(jī)構(gòu)、供應(yīng)商、合作伙伴和公司總部互聯(lián)的網(wǎng)絡(luò)系統(tǒng)已成為大勢所趨。而 建設(shè)這些所需安全和費(fèi)用,一直是困擾眾多中小型企業(yè)的難題,還有如何保證數(shù)據(jù)的傳 輸安全和數(shù)據(jù)的完整陛,也是一個(gè)非常關(guān)鍵的問題。虛擬專用網(wǎng)(VPN被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng)建立

25、一個(gè)臨時(shí)的、 安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的 擴(kuò)展。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立 可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上,一個(gè) 企業(yè)的VPN解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同 時(shí),這將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理,加速連接新的用戶和網(wǎng)站。另外,VPN還可以保護(hù)現(xiàn) 有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展,企業(yè)的VPN解決方案可以使用戶將精力 集中到自己的生意上,而不是網(wǎng)絡(luò)上。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接 入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)

26、企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有 效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)VPN。根據(jù)TF【12草案,基于疋的VPN為“使用P機(jī)制仿真出個(gè)是有的廣域網(wǎng)”。 可以理解為以下兩點(diǎn)。第一,虛擬VPN是指VPN網(wǎng)絡(luò)用戶之間不需要架設(shè)相應(yīng)的符合 邏輯線路的物理長途數(shù)據(jù)線路,而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。第二, 專用網(wǎng)絡(luò),意味著VPN網(wǎng)絡(luò)連接和業(yè)務(wù)是針對(duì)用戶需要定制的,該網(wǎng)絡(luò)對(duì)公眾數(shù)據(jù)網(wǎng)絡(luò) 是邏輯上有層次的或者分離的。 因此可以理解VPN為通過是有隧道技術(shù)在公共數(shù)據(jù)網(wǎng) 絡(luò)上仿真的一種點(diǎn)到點(diǎn)的專線技術(shù)。根據(jù)/ETFR.FC276412,13的說明,任何IP VPN的實(shí)現(xiàn)都必須具有以下基

27、本功能。 (1不透明包傳輸承載在VPN上的數(shù)據(jù)應(yīng)該與P骨干網(wǎng)沒有任何關(guān)系。一方面,VPN的傳輸協(xié)議可 能是多種協(xié)議的,甚至用戶數(shù)據(jù)可能是多種協(xié)議的。另一方面,VPN用戶所使用的虛擬 P地址應(yīng)與骨干網(wǎng)絡(luò)節(jié)點(diǎn)所使用的口地址不重復(fù)。這兩方面保證了VPN的使用不會(huì)對(duì).d.大連理工大學(xué)碩士學(xué)位論文用戶物理網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)協(xié)議和編址方式做出任何限制,實(shí)現(xiàn)了VPN數(shù)據(jù)包骨干P 網(wǎng)絡(luò)中傳輸?shù)牟煌该鳌?2隧道VPN的事先必須通過某種類型的隧道機(jī)制,以便VPN的數(shù)據(jù)包格式以及編址能夠 與P骨干網(wǎng)上的隧道包互不相干。VPN的部署可以使用多種隧道結(jié)構(gòu)。隧道的實(shí)現(xiàn)可以 使用多種協(xié)議,可以提供某種程度的數(shù)據(jù)安全保證。但是

28、在同一個(gè)VPN域內(nèi)只可以使用 一種隧道協(xié)議。另外,這樣的隧道機(jī)制可以隨著P數(shù)據(jù)流量管理機(jī)制的發(fā)展而發(fā)展。 (3數(shù)據(jù)安全VPN可以在VPN作用域范圍內(nèi)的一定程度數(shù)據(jù)安全保障。同時(shí)VPN應(yīng)該提供分層 次的數(shù)據(jù)安全保障,這一點(diǎn)通過訪問權(quán)限控制和隧道連接管理實(shí)現(xiàn)。在VPN作用域范圍 之外的用戶數(shù)據(jù)安全由用戶負(fù)責(zé)。用戶可以根據(jù)數(shù)據(jù)的安全敏感程度來選擇使用VPN。 大多數(shù)情況下,VPN數(shù)據(jù)的安全性還取決于用戶網(wǎng)絡(luò)所使用的防火墻等網(wǎng)絡(luò)實(shí)施方面的 因素。(4QoS(Quality ofService14,15服務(wù)質(zhì)量保證VPN在更廣的范圍內(nèi)采用之后,市場也一定需要這樣的保證,以便能夠保證端到端 的應(yīng)用透明性。

29、P VPN的QoS保證主要依賴于P骨干網(wǎng)基礎(chǔ)設(shè)施的響應(yīng)能力,隨著p QoS技術(shù)的發(fā)展,VPN也必將利用這些手段使VPN具有QoS保證的能力。通過VPN的定義可知,VPN就是通過共享公共網(wǎng)絡(luò)在兩臺(tái)機(jī)器或兩個(gè)網(wǎng)絡(luò)之間建 立的專用連接。實(shí)際上,VPN技術(shù)是組織可以安全的通過因特網(wǎng)將網(wǎng)絡(luò)服務(wù)延伸至遠(yuǎn)程 用戶、分支機(jī)構(gòu)和合作公司。把因特網(wǎng)用作專用廣域網(wǎng),需要克服兩個(gè)主要障礙。首先,網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議, 但因特網(wǎng)只能處理口流量。所以,VPN就需要提供一種方法,將非P協(xié)議從一個(gè)網(wǎng)絡(luò) 傳送到另一個(gè)網(wǎng)絡(luò)。其次,網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸,因而,只要看得到因特 網(wǎng)流量,就能讀取包內(nèi)所含數(shù)據(jù)。如果希望利用因特

30、網(wǎng)傳輸重要的商業(yè)機(jī)密信息,這顯 然是一個(gè)問題。VPN克服這些障礙的辦法就是采用了隧道技術(shù):數(shù)據(jù)包不是公開在網(wǎng)上傳輸,而是 首先進(jìn)行加密以確保安全,然后由VPN封裝成P包的形式,通過隧道在網(wǎng)上傳輸,如 圖2.1所示。一5-基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)上的一個(gè)VPN用戶端接入VPN網(wǎng)關(guān)(或稱作VPN服務(wù)器,兩者協(xié)商一致的 隧道協(xié)議,包括加密方案和IP分配。當(dāng)?shù)卿沄PN的用戶有訪問VPN網(wǎng)絡(luò)內(nèi)容的數(shù)據(jù)包 時(shí),用戶端使用協(xié)商好的隧道協(xié)議封裝數(shù)據(jù)包。封裝數(shù)據(jù)包的隧道協(xié)議可以提供多種驗(yàn) 證強(qiáng)度,比如有用戶名和口令的弱驗(yàn)證,還有用證書的強(qiáng)驗(yàn)證,以及口令加證書(或者 USBkey和智能卡等的多

31、因素驗(yàn)證。封裝好的數(shù)據(jù)包使用珥協(xié)議,不管原數(shù)據(jù)包時(shí)何種協(xié)議,它都能在純P因特網(wǎng)上 傳輸。又因?yàn)閿?shù)據(jù)包進(jìn)行了加密。保證了原始數(shù)據(jù)不會(huì)泄露。當(dāng)數(shù)據(jù)包通過公共網(wǎng)絡(luò)到達(dá)目標(biāo)網(wǎng)絡(luò)VPN網(wǎng)關(guān)或者目標(biāo)用戶VPN終端,都可以根 據(jù)VPN隧道協(xié)議對(duì)數(shù)據(jù)包進(jìn)行解密,解密后的數(shù)據(jù)包在目標(biāo)網(wǎng)絡(luò)到達(dá)最終目標(biāo)終端。 根據(jù)不同的VPN部署情況,有兩種隧道結(jié)構(gòu),一種是VPN用戶終端之間點(diǎn)對(duì)點(diǎn)的 隧道。這種情況下,點(diǎn)到點(diǎn)之間的連接就是隧道。一種是通過VPN網(wǎng)關(guān)或服務(wù)器對(duì)接的 隧道。這種青況下,VPN終端到VPN服務(wù)器之間的連接就是隧道。H孚2.1Abstract ofVPN tunnel .6.大連理工大學(xué)碩士學(xué)位論文VPN提

32、供了安全、可靠的Internet訪問通道,而且VPN能提供專用線路類型服務(wù), 是方便快捷的企業(yè)私有網(wǎng)絡(luò)。節(jié)省了企業(yè)建立自己的廣域網(wǎng)和維護(hù)的開銷。由于VPN的 出現(xiàn),用戶可以從以下幾個(gè)方面獲益:實(shí)現(xiàn)網(wǎng)絡(luò)安全。高度的安全|生對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行、 在線交易都需要絕對(duì)的安全,而VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。簡化網(wǎng)絡(luò)設(shè)計(jì)。網(wǎng)絡(luò)管理者可以使用VPN代替租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這 樣就可以將遠(yuǎn)程鏈路的安裝、配置和管理的任務(wù)減少,極大地簡化企業(yè)廣域網(wǎng)的設(shè)計(jì)。 減低成本。VPN可以節(jié)省建設(shè)廣域網(wǎng)的大量人力物力開銷?？梢越档鸵苿?dòng)用戶通信 成本、租用線路成本和設(shè)備成本。

33、容易擴(kuò)展。由于VPN是虛擬的專用網(wǎng),因此擴(kuò)展網(wǎng)絡(luò)容量和覆蓋范圍只需對(duì)VPN 進(jìn)行配置和更新,一般很少做網(wǎng)絡(luò)物理結(jié)構(gòu)上的改動(dòng)?？呻S意與合作伙伴聯(lián)網(wǎng)。4削k2_間聯(lián)網(wǎng),VPN相比專用網(wǎng),VPN省去了企業(yè)之間 協(xié)商建立租用線路或禎中繼線路的麻煩。支持新應(yīng)用。專用網(wǎng)必須更新升級(jí)或者徹底改造才有可能支持互聯(lián)網(wǎng)絡(luò)新的業(yè)務(wù)應(yīng) 用,而VPN因?yàn)槭墙⒃贗P骨干網(wǎng)絡(luò)上的虛擬專用網(wǎng),因此VPN對(duì)新業(yè)務(wù)應(yīng)用的支持 與骨干網(wǎng)絡(luò)支持能力樣。同時(shí)VPN還存在以下不足:數(shù)據(jù)包進(jìn)入VPN隧道需要一個(gè)加密過程,因此VPN的網(wǎng)絡(luò)連接速度和數(shù)據(jù)吞吐量 受隧道處理能力的限制,一般比實(shí)際接入網(wǎng)絡(luò)的速度慢一倍以上。數(shù)據(jù)包的安全性與所使用

34、的隧道協(xié)議和加密算法有關(guān),不能達(dá)到理想狀態(tài)的專用線 路的安全性。根據(jù)用戶使用的情況和應(yīng)用環(huán)境的不同特點(diǎn),VPN技術(shù)大致分為三種典型的應(yīng)用方 式,即:內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN和遠(yuǎn)程接入VPN業(yè)務(wù)。內(nèi)聯(lián)網(wǎng)VPN應(yīng)用主要是實(shí)現(xiàn)用戶內(nèi)部網(wǎng)絡(luò)各LAN的安全互聯(lián)。.7.基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)在VPN技術(shù)出現(xiàn)以前,如果企業(yè)的兩個(gè)異地的局域網(wǎng)想要互聯(lián),就需要租用專線。 租用專線的成本很高,如果兩個(gè)局域網(wǎng)絡(luò)是跨國的,這種租用專線的成本將不可想象。Fig.2.2Inner VIN應(yīng)用內(nèi)聯(lián)網(wǎng)VPN連接異地的局域網(wǎng)絡(luò),建立各分支機(jī)構(gòu)的安全的連接,只需各分支 機(jī)構(gòu)和網(wǎng)絡(luò)服務(wù)供應(yīng)商的網(wǎng)絡(luò)服務(wù)成本。不再

35、需要昂貴的專線連接。同時(shí)輕而易舉的就 增強(qiáng)了企業(yè)的地域覆蓋能力。內(nèi)聯(lián)網(wǎng)VPN如圖2.2所示。外聯(lián)網(wǎng)悄應(yīng)用主要是將Intcmvt在范圍上向外擴(kuò)展,將若干個(gè)企業(yè)的Intranet VPN 結(jié)合起來構(gòu)成一個(gè)大的虛擬企業(yè)內(nèi)部網(wǎng)絡(luò),從而為企業(yè)與他的業(yè)務(wù)伙伴提供靈活、安全 的連接。外聯(lián)網(wǎng)VPN業(yè)務(wù)用于將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接。外聯(lián) 網(wǎng)VPN是公司與其它供應(yīng)商、銷售商和客戶之間能進(jìn)行電子商務(wù)等活動(dòng),其最主要的好 處是改善提供商務(wù)服務(wù)的速度和效率。外聯(lián)網(wǎng)VPN的基本拓?fù)淙鐖D2-3所示。 .8.大連理工大學(xué)碩士學(xué)位論文圖23外聯(lián)網(wǎng)VPNFig.2.3Exteraal VPN遠(yuǎn)程接入VPN

36、拼0用公共網(wǎng)絡(luò)的撥號(hào)及接入網(wǎng),實(shí)現(xiàn)虛擬專用網(wǎng),為企業(yè)、小型ISP、 移動(dòng)辦公人員提供接入服務(wù)。VPN的一個(gè)基本應(yīng)用就是滿足漫游用戶訪問企業(yè)網(wǎng)絡(luò)資源的要求。遠(yuǎn)程用戶有時(shí)需 要訪問企業(yè)內(nèi)部網(wǎng)的高層應(yīng)用軟件和各種企業(yè)內(nèi)部資源,以往的解決方法是企業(yè)設(shè)置網(wǎng) 絡(luò)接入服務(wù)器,移動(dòng)用戶長途撥號(hào)的方式接入公司內(nèi)部業(yè)務(wù)網(wǎng)。這種方法需要額外的建 網(wǎng)成本和長途通信費(fèi)用。通過接入VPN提供的移動(dòng)用戶接入企業(yè)網(wǎng)的業(yè)務(wù)充分利用了因特網(wǎng)資源,通過共享 的m網(wǎng)絡(luò)承載用戶業(yè)務(wù),使業(yè)務(wù)成本大大降低。但是這種使用方式也帶來了安全問題, 用戶的數(shù)據(jù)流在共享P網(wǎng)絡(luò)中傳遞,容易被別人監(jiān)聽和攔截,也容易被黑客偽冒攻擊, 因此在漫游用戶的使用

37、過程中,可以選擇使用多種驗(yàn)證、授權(quán)、加密機(jī)制,以最大限度 的防治受到攻擊。使用VPN后的拓?fù)浞桨溉鐖D24 9-基于SSL隧道技術(shù)的虛擬專用阿設(shè)計(jì)與實(shí)現(xiàn)圖2.4遠(yuǎn)秸裝入VPNFig.2.4Remote access VPN2_22實(shí)現(xiàn)VPN的協(xié)議VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道 協(xié)議(PPTP、第二層隧道協(xié)議(L2TP以及IPSee。PPTP封裝了PPP數(shù)據(jù)包中包含的用戶信息,支持隧道交換。隧道交換可以根據(jù)用 戶權(quán)限,開啟并分配新的隧道,將PPP數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸。另外,隧道交換還可以將 用戶導(dǎo)向指定的企業(yè)內(nèi)部服務(wù)器。PPTP便于企業(yè)在防火墻和內(nèi)部服務(wù)

38、器上實(shí)施訪問控 制。位于企業(yè)防火墻16,17道終端器接受包含用戶信息的PPP數(shù)據(jù)包,然后對(duì)不同來源 的數(shù)據(jù)包實(shí)施訪問控制。L2TP協(xié)議綜合了唧P協(xié)議和L2F18(Layer 2Forwarding協(xié)議的優(yōu)點(diǎn),并且支持 多路隧道,這樣可以使用戶同時(shí)訪問Intemet和企業(yè)網(wǎng)。IPSec是用來增強(qiáng)VPN安全陛的標(biāo)準(zhǔn)協(xié)議。PSec包含了用戶身份認(rèn)證、查驗(yàn)和數(shù) 據(jù)完整性等內(nèi)容。該協(xié)議標(biāo)準(zhǔn)由IETF組織制訂,其中規(guī)定了用以在兩個(gè)口工作站之間 進(jìn)行加密、數(shù)字簽名等而使用的一系列邛級(jí)協(xié)議。IPSec實(shí)現(xiàn)來自不同廠商的設(shè)備在進(jìn) .10.大連理工大學(xué)碩士學(xué)位論文行隧道開通和終止時(shí)的互操作。另外,由于IPSec的

39、安全性功能與密鑰管理系統(tǒng)松散耦 合,所以當(dāng)密鑰管理系統(tǒng)發(fā)生變化時(shí),IPSec的安全機(jī)制不需要進(jìn)行修改。基于MPLS的VPN是一種基于網(wǎng)絡(luò)的新型VPN解決方案,它要求廣域網(wǎng)支持 MPLS,利用MPLS的標(biāo)記交換在廣域網(wǎng)絡(luò)上為VPN用戶提供虛擬連接。MPLS VPN的 優(yōu)點(diǎn)是全網(wǎng)統(tǒng)一管理的能力很強(qiáng),由于MPLS VPN是基于網(wǎng)絡(luò)的,全部的VPN網(wǎng)絡(luò)配 置和VPN策略配置都在網(wǎng)絡(luò)端完成,可以大大降低管理維護(hù)的開銷。rrUT形成的基于網(wǎng)絡(luò)IP VPN草案中提出了關(guān)于基于MPLS的IP VPN技術(shù)要求, 在業(yè)務(wù)提供商的網(wǎng)絡(luò)中采用m技術(shù),且骨干網(wǎng)用MPLS,對(duì)于IP VPN業(yè)務(wù)只能在邊緣 設(shè)備上提供,而對(duì)

40、于骨干設(shè)備,IP VPN業(yè)務(wù)是透明的,這樣才有利于可擴(kuò)展性。采用SSL協(xié)議實(shí)現(xiàn)的VPN是最熱門的VPN解決方案。SSL的驗(yàn)證與數(shù)據(jù)加密功能 子集可以提供VPN的數(shù)據(jù)安全性保證。同時(shí)SSL協(xié)議使得SSLVPN能對(duì)加密隧道進(jìn)行 細(xì)分,從而使得終端用戶能夠同時(shí)接入Intemet和訪問內(nèi)部企業(yè)網(wǎng)資源,也就是說它具備 可控功能。另外,SSL VPN還能細(xì)化接入控制功能,易于將不同的訪問權(quán)限賦予不同用 戶,實(shí)現(xiàn)伸縮性訪問;這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSec VPN來說幾乎是不可 能實(shí)現(xiàn)的?；赟SL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)向整個(gè)經(jīng)濟(jì)社會(huì)各層次延伸,整個(gè)社會(huì)表現(xiàn)對(duì)Inteme

41、t、Intranet、 Extranet等使用的更大的依賴性。隨著企業(yè)間信息交互的不斷增加,任何一種網(wǎng)絡(luò)應(yīng)用和 增值服務(wù)的使用程度將取決于所使用網(wǎng)絡(luò)的信息安全有無保障,網(wǎng)絡(luò)安全已成為現(xiàn)代計(jì) 算機(jī)網(wǎng)絡(luò)應(yīng)用的最大障礙,也是急需解決的難題之一。由于Web上有時(shí)要傳輸重要或敏感的數(shù)據(jù),因此Netseape公司在推出w曲瀏覽器 首版的同時(shí),提出了安全通信協(xié)議SSL(SeeureSocketLayer,目前已有2.0和3.O版本。SSL 采用公開密鑰技術(shù)。其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性,可在服務(wù)器和客戶 機(jī)兩端同時(shí)實(shí)現(xiàn)支持。目前,利用公開密鑰技術(shù)的SSL協(xié)議,并已成為Intemet上保密 通訊

42、的工業(yè)標(biāo)準(zhǔn)?，F(xiàn)行web瀏覽器普遍將HTTP和SSL相結(jié)合,從而實(shí)現(xiàn)安全通信。 3.SSL協(xié)議概述安全套接層協(xié)議(SSL是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它 能使客戶朋艮務(wù)器應(yīng)用之間的通信不被攻擊者竊聽,并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證,還可選 擇對(duì)客戶進(jìn)行認(rèn)證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議19-22】(例如:TCP之上。 SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。高層的應(yīng)用層協(xié)議(例如:m耶-, FTP,TEL.NET能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就 已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送 的數(shù)據(jù)

43、都會(huì)被加密,從而保證通信的私密性。JSSL握手協(xié)議 SSL侮改巷文 SSL告警協(xié)議 HTTP、FTP虹。ELNET協(xié)議 等應(yīng)用層協(xié)議SSL記錄協(xié)議TCPD Fig.3.1SSL protocol stack通過以上敘述,SSL協(xié)議提供的安全信道有以下三個(gè)特性-12大連理工大學(xué)碩士學(xué)位論文(1私密性。因?yàn)樵谖帐謪f(xié)議定義了會(huì)話密鑰后,所有的消息都被加密。(2確認(rèn)性。因?yàn)楸M管會(huì)話的客戶端認(rèn)證是可選的,但是服務(wù)器端始終是被認(rèn)證的。(3可靠性。因?yàn)閭魉偷南ㄏ⑼暾詸z查(使用MAC。SSL協(xié)議被設(shè)計(jì)成使用TCP協(xié)議提供端到端的安全服務(wù),實(shí)際上,SSL有一組協(xié)議 組成,而不是單個(gè)協(xié)議。SSL的協(xié)議棧

44、如圖3.1。SSL記錄協(xié)議2326為不同的高層協(xié)議提供安全服務(wù),哪、m等高層應(yīng)用協(xié)議 都可以在SSL協(xié)議上運(yùn)行。SSL握手協(xié)議、SSL修改密文協(xié)議和SSL告警協(xié)議也是SSL 協(xié)議的一部分,它們的作用是用來管理與SSL有關(guān)的交換。SSL協(xié)議中有兩個(gè)重要的概念,即連接和會(huì)話。連接是指兩臺(tái)主機(jī)之間提供特定類 型服務(wù)的傳輸,是點(diǎn)對(duì)點(diǎn)的關(guān)系。一般來說,連接是短暫的,每一個(gè)連接都與一個(gè)會(huì)話 想關(guān)聯(lián)。會(huì)話是客戶和服務(wù)器之間的關(guān)聯(lián),會(huì)話是通過握手協(xié)議進(jìn)行創(chuàng)建的。會(huì)話是加 密安全參數(shù)的一個(gè)集合,包含了比如加密算法、臨時(shí)加密密鑰和初始向量等。會(huì)話可以 被多個(gè)連接所共享,這樣可以避免為每個(gè)連接重新進(jìn)行安全參數(shù)的協(xié)商

45、而花費(fèi)昂貴的時(shí) 間代價(jià)。任何一對(duì)服務(wù)器和客戶之間可以存在多個(gè)安全SSL連接,這些連接可以共享一 個(gè)會(huì)話,也可以共享不同的會(huì)話。理論上說,一對(duì)服務(wù)器和客戶之間也可以存在多個(gè)會(huì) 話,但是由于這樣付出相當(dāng)高的代價(jià),所以一般來說不支持這種做法。SSL修改密文協(xié)議是一個(gè)最簡單的SSL相關(guān)協(xié)議,它只有一個(gè)報(bào)文,報(bào)文由值為l 的單個(gè)字節(jié)組成。這個(gè)協(xié)議的唯一作用就是將掛起狀態(tài)被復(fù)制到當(dāng)前狀態(tài),改變連接將 要使用的密文族。SSL告警協(xié)議是將SSL有關(guān)的告警信息傳送給通信的對(duì)方實(shí)體。SSL 告警協(xié)議跟其它使用SSL的應(yīng)用協(xié)議(如HrrP協(xié)議一樣,報(bào)文安裝當(dāng)前狀態(tài)的被壓 縮和加密。SSL記錄協(xié)議為SSL連接提供了機(jī)

46、密性和報(bào)文完整陛兩種服務(wù)。機(jī)密性和報(bào)文完整 性所需要的密鑰都是在握手協(xié)議中協(xié)商提供的。記錄協(xié)議接受到傳輸?shù)膽?yīng)用報(bào)文后,將 數(shù)據(jù)分片成可管理的塊,可選地壓縮數(shù)據(jù),應(yīng)用MAC(Message Authentication Code, 加密和增加首部,然后使用TCP報(bào)文傳輸。記錄層接收到底層發(fā)來的數(shù)據(jù)后,進(jìn)行解密、 驗(yàn)證、解壓和重新排序組合,然后交給上層的應(yīng)用協(xié)議。.13.基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)記錄協(xié)議單元壓縮單元加密數(shù)據(jù)TCP數(shù)據(jù)Fig.3.2Routine ofthe SSL record protocol creating packet在SSL協(xié)議中,所有的傳輸數(shù)據(jù)

47、都被封裝在記錄中。記錄是由記錄頭和長度不為0的記錄數(shù)據(jù)組成的。所有的SSL通信包括握手消息、安全空白記錄和應(yīng)用數(shù)據(jù)都使用SSL 記錄層。SSL記錄協(xié)議包括了記錄頭和記錄數(shù)據(jù)格式的規(guī)定。1SSL記錄頭格式:SSL的記錄頭可以是兩個(gè)或三個(gè)字節(jié)長的編碼。SSL記錄頭的包含的信息包括:記 錄頭的長度、記錄數(shù)據(jù)的長度、記錄數(shù)據(jù)中是否有粘貼數(shù)據(jù)。其中粘貼數(shù)據(jù)是在使用塊 加密算法時(shí),填充實(shí)際數(shù)據(jù),使其長度恰好是塊的整數(shù)倍。最高位為1時(shí),不含有粘貼 數(shù)據(jù),記錄頭的長度為兩個(gè)字節(jié),記錄數(shù)據(jù)的最大長度為32767個(gè)字節(jié);最高位為0時(shí), 含有粘貼數(shù)據(jù),記錄頭的長度為三個(gè)字節(jié),記錄數(shù)據(jù)的最大長度為16383個(gè)字節(jié)。當(dāng)

48、數(shù)據(jù)頭長度是三個(gè)字節(jié)時(shí),次高位有特殊的含義。次高位為1時(shí),標(biāo)識(shí)所傳輸?shù)?記錄是普通的數(shù)據(jù)記錄;次高位為0時(shí),標(biāo)識(shí)所傳輸?shù)挠涗浭前踩瞻子涗?被保留用于 將來協(xié)議的擴(kuò)展。記錄頭中數(shù)據(jù)長度編碼不包括數(shù)據(jù)頭所占用的字節(jié)長度。記錄頭長度為兩個(gè)字節(jié)的 記錄長度的計(jì)算公式:記錄長度=(b,ceO&0x7f“8I byte1。其中byteO、byte1分別表示傳輸?shù)牡谝粋€(gè)、第二個(gè)字節(jié)。記錄頭長度為三個(gè)字節(jié)的記錄長度的計(jì)算公式: .14.大連理工大學(xué)碩士學(xué)位論文記錄長度=(byteO】&ox308I byte1。其中byteo、byte1的含義同上。判斷是否 是安全空白記錄的計(jì)算公式:(byte0&0x40!

49、=O。粘貼數(shù)據(jù)的長度為傳輸?shù)牡谌齻€(gè)字節(jié)。 2SSL記錄數(shù)據(jù)的格式:SSL的記錄數(shù)據(jù)包含三個(gè)部分:MAC數(shù)據(jù)、實(shí)際數(shù)據(jù)和粘貼數(shù)據(jù)。MAC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。計(jì)算MAC所用的散列函數(shù)由握手協(xié)議中的 CIPHER-CHOICE消息確定。若使用MD2和MD5算法,則MAC數(shù)據(jù)長度是16個(gè)字 節(jié)。MAC的計(jì)算公式:MAC數(shù)據(jù)=HAsH密鑰,實(shí)際數(shù)據(jù),粘貼數(shù)據(jù),序號(hào)】。當(dāng)會(huì)話 的客戶端發(fā)送數(shù)據(jù)時(shí),密鑰是客戶的寫密鑰(服務(wù)器用讀密鑰來驗(yàn)證MAC數(shù)據(jù);而當(dāng)會(huì) 話的客戶端接收數(shù)據(jù)時(shí),密鑰是客戶的讀密鑰(服務(wù)器用寫密鑰來產(chǎn)生MAC數(shù)據(jù)。序號(hào) 是一個(gè)可以被發(fā)送和接收雙方遞增的計(jì)數(shù)器。每個(gè)通信方向都會(huì)建立一對(duì)計(jì)數(shù)

50、器,分別 被發(fā)送者和接收者擁有。計(jì)數(shù)器有32位,計(jì)數(shù)值循環(huán)使用,每發(fā)送一個(gè)記錄計(jì)數(shù)值遞增 一次,序號(hào)的初始值為0。SSL握手協(xié)議包含兩個(gè)階段,第一個(gè)階段用于建立私密性通信信道,第二個(gè)階段用 于客戶認(rèn)證。(1第一階段:第一階段是通信的初始化階段,通信雙方都發(fā)出HELLO消息。當(dāng)雙方都接收到 印u。O消息時(shí),就有足夠的信息確定是否需要一個(gè)新的密鑰。若不需要新的密鑰,雙方 立即進(jìn)入握手協(xié)議的第二階段。否則,此時(shí)服務(wù)器方的S職R一印juD消息將包含足 夠的信息使客戶方產(chǎn)生一個(gè)新的密鑰。這些信息包括服務(wù)器所持有的證書、加密規(guī)約和 連接標(biāo)識(shí)。若密鑰產(chǎn)生成功,客戶方發(fā)出CLIEbFr-MASTER-KEY消

51、息,否則發(fā)出錯(cuò) 誤消息。最終當(dāng)密鑰確定以后,服務(wù)器方向客戶方發(fā)出SERVER-VERIFY消息。因?yàn)?只有擁有合適的公鑰的服務(wù)器才能解開密鑰。圖3.3為第一階段的流程:需要注意的一點(diǎn)是每一通信方向上都需要一對(duì)密鑰,所以一個(gè)連接需要四個(gè)密鑰, 分別為客戶方的讀密鑰、客戶方的寫密鑰、服務(wù)器方的讀密鑰、服務(wù)器方的寫密鑰。 (2第二階段:第二階段的主要任務(wù)是對(duì)客戶進(jìn)行認(rèn)證,此時(shí)服務(wù)器已經(jīng)被認(rèn)證了。服務(wù)器方向客 戶發(fā)出認(rèn)證請(qǐng)求消息:REQUEST-CERTIFICATE。當(dāng)客戶收到服務(wù)器方的認(rèn)證請(qǐng)求消 息,發(fā)出自己的證書,并且監(jiān)聽對(duì)方回送的認(rèn)證結(jié)果。而當(dāng)服務(wù)器收到客戶的認(rèn)證,認(rèn) 證成功返回SERVER-

52、FINISH消息,否則返回錯(cuò)誤消息。到此為止,握手協(xié)議全部結(jié)束。.15基于SSL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)Fig.3.3Flow ofthe first stage ofHandshake protocol上面簡單介紹了SSL協(xié)議,與所有的協(xié)議一樣,都只是一些規(guī)則而已,真正要應(yīng)用, 必須將所有的協(xié)議規(guī)則轉(zhuǎn)換成代碼,對(duì)于任何個(gè)人和組織來說,這都是一個(gè)艱巨的任務(wù), 尤其是SSL協(xié)議這樣一種涉及到諸多專業(yè)知識(shí)的協(xié)議。.16.大連理工大學(xué)碩士學(xué)位論文Openssl是一個(gè)開放源代碼的SSL協(xié)議的產(chǎn)品實(shí)現(xiàn),它采用C語言作為開發(fā)語言, 具備了跨系統(tǒng)的性能。Openssl項(xiàng)目最早由加拿大人Eric A Y

53、ang和Tim J.Hudson開發(fā), 現(xiàn)在由Opemsl項(xiàng)目小組負(fù)責(zé)改進(jìn)和開發(fā)。Openssl當(dāng)前最新的版本是0.9.7e版本,完全實(shí)現(xiàn)了對(duì)SSLvl、SSLv2、SSLv3和TLS 的支持。由于采用c語言開發(fā),Openssl的源代碼庫具有良好的跨平臺(tái)性能,支持Linux、 Unix、Windows、Mac和VMS等多種平臺(tái)。目前,Openssl已經(jīng)得到了廣泛的應(yīng)用,許 多類型的軟件中的安全部分都使用了Openssl的庫,如VOIP的openI-1323協(xié)議、Apache 服務(wù)器、Linux安全模塊等等。Openssl事實(shí)上包括了三部分:SSL協(xié)議、密碼算法庫和應(yīng)用程序。SSL協(xié)議部分完全實(shí)

54、現(xiàn)和封裝了SSL協(xié)議的三個(gè)版本和TLS協(xié)議,SSL協(xié)議庫的實(shí) 現(xiàn)是在密碼算法庫的基礎(chǔ)上實(shí)現(xiàn)的。密碼算法庫是一個(gè)強(qiáng)大完整的密碼算法庫,它是Openssl的基礎(chǔ)部分,它實(shí)現(xiàn)了目 前大部分主流的密碼算法和標(biāo)準(zhǔn)。主要包括公開密鑰算法、對(duì)稱加密算法、散列函數(shù)算 法、X509數(shù)字證書標(biāo)準(zhǔn)、PKCSl2、PKCS7等標(biāo)準(zhǔn)。這個(gè)庫除了可以使用本身的缺省算 法外,在0.9.6版本之后,還提供了Engine機(jī)制,用于將如加密卡這樣外部的加密算法 實(shí)現(xiàn)集成到Openssl中。應(yīng)用程序郭分基于上述的密碼算法庫和SSL協(xié)議庫實(shí)現(xiàn)了很多實(shí)用和范例性的應(yīng)用 程序,覆蓋了眾多的密碼等墟用。主要包括了各種算法的加密程序和各種類

55、型密鑰的產(chǎn) 生程序(如RSA、Md5、Enc等等、證書簽發(fā)和驗(yàn)證程序(如Ca、X509、Crl等、SSL 連接測試程序(如S和 等以及其它的標(biāo)準(zhǔn)應(yīng)用程序(如 和. c l i e n t S serve-Pkcsl2Smime 等。Openssl具有以下優(yōu)點(diǎn):(1采用C語言開發(fā),支持多種操作系統(tǒng),可移植性好。(2功能全面,支持大部分主流密碼算法、相關(guān)標(biāo)準(zhǔn)協(xié)議和SSL協(xié)議。(3開放源代碼,可信任,能夠根據(jù)自己的需要進(jìn)行修改,對(duì)技術(shù)人員有借鑒和研 究的價(jià)值。(4具備應(yīng)用程序,既能直接使用,也可以方便進(jìn)行二次開發(fā)。 .17.基于SsL隧道技術(shù)的虛擬專用網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)(5免費(fèi)使用,能夠用于商業(yè)和非商業(yè)目

56、的。當(dāng)然,Openssl也有如下一些缺點(diǎn):采用非面向?qū)ο蟮腸語言開發(fā),對(duì)于初學(xué)者來說有一定的困難,也不利于代碼的剝 離。文檔不全面,增加了使用的困難性。.18.大連理工大學(xué)碩士學(xué)位論文在VPN系統(tǒng)中,一次連接的兩個(gè)VPN終端通過隧道使用虛擬的P地址互相尋找對(duì) 方。由于VPN的存在,每個(gè)終端的應(yīng)用層并不知道所訪問的虛擬疋地址是實(shí)際上不存 在的,所有訪問VPN網(wǎng)絡(luò)口地址的數(shù)據(jù)包都會(huì)被以太網(wǎng)硬件設(shè)備嘗試發(fā)送到網(wǎng)絡(luò)上。 在以太網(wǎng)中,所有的通訊都是廣播的,也就是說通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口 都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù),而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址, 這個(gè)硬件地址也就是網(wǎng)卡的MAC

57、地址,大多數(shù)系統(tǒng)使用48比特的地址,這個(gè)地址用來 表示網(wǎng)絡(luò)中的每一個(gè)設(shè)備,一般來說每一塊網(wǎng)卡上的MAC地址都是不同的,在硬件地 址和P地址間使用ARP和RARP協(xié)議進(jìn)行相互轉(zhuǎn)換。在正常的情況下,個(gè)網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀:1.與自己硬件地址相匹配的數(shù)據(jù)幀。2.發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀。在一個(gè)實(shí)際的系統(tǒng)中,數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的,網(wǎng)卡接收至q傳輸來的數(shù)據(jù), 網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀的且的MAC地址,根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的 接收模式判斷該不該接收,認(rèn)為該接收就接收后產(chǎn)生中斷信號(hào)通知CPU,認(rèn)為不該接收 就丟掉不管,所以不該接收的數(shù)據(jù)網(wǎng)卡就截?cái)嗔?計(jì)算機(jī)根本就不知道。CPU

58、得到中斷 信號(hào)產(chǎn)生中斷,操作系統(tǒng)就根據(jù)網(wǎng)卡的驅(qū)動(dòng)程序設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序 接收數(shù)據(jù),驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。而對(duì)于網(wǎng)卡來說一般有 四種接收模式:廣播方式:該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。組播方式:設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。直接方式:在這種模式下,只有目的網(wǎng)卡才能接收該數(shù)據(jù)。混雜模式:在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù),而不管該數(shù)據(jù)是否是 傳給它的。根據(jù)以上原理,繼續(xù)分析訪問VPN網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送過程。數(shù)據(jù)包進(jìn)入隧道后被封 裝,承載在SSL協(xié)議上傳輸。但是在隧道之外,也就是應(yīng)用層發(fā)出的數(shù)據(jù)包會(huì)試圖通過 以太網(wǎng)發(fā)送。所以在進(jìn)入隧道之前必須有一個(gè)介于網(wǎng)