1、第34卷第1期 2004年3月 河南大学学报(自然科学版) Journal of Henan University(Natural Science) Vo134 No1 Mar2OO4 基于L2TPIPSEC的安全隧道技术方案 季超,楚艳萍 (河南大学计算中心,河南开封475001) 摘要:分析L2rIP协议实现VPN时存在的安全问题,提出一种将L2TP协议和IPSec协议相结合,利用IPsec为 L2rIP协议提供保护的安全隧道技术方案 关键词:虚拟专用网;L2TP;IPSec;隧道 中图分类号:TP39308 文献标识码:A 文章编号:10034978(2004)O1009403 Plan
2、 for Secure Tunneling Technology Based on L2TPIPSec JI Chao,CHU Yanping (Computer Center,Henan Universit) ,Henan Kaifeng 475001,China) Abstract:This paper analyses the secure problem for implementing VPN by L2TP,and puts forward a plan for for secure tunneling technology combining L2TP and IPSec wit
3、h IPSec to protect L2TP Key words:Virtual private network;L2TP;IPSec;Tunnel 虚拟专用网VPN(Viaual Private Network)是从专用网业务发展而来,用于替代专用网的一种广域网技 术j它利用开放的公共网络,通过加密、封装、认证以及密钥交换等技术在公共网上建立一条安全的数据 传输通道,将远程的分支办公室、商业伙伴和移动办公人员连接起来,构成一个扩展的企业内部网它的特 点在于利用公共网络传输私有数据,从而大大降低了建网成本和通讯费用VPN主要采用隧道技术、访问控 制技术、密钥管理技术、使用者与设备身份认证技术
4、来保证安全其中,隧道技术是VPN技术的核心隧道 技术是利用一种网络协议来传输另一种网络协议的技术,它涉及了三种网络协议:隧道协议、隧道协议下面 的承载协议和隧道协议所承载的乘客协议,主要利用隧道协议实现VPN功能隧道协议可分为第二层隧道 协议和第三层隧道协议,两者的本质区别在于用户的数据包在网络协议栈的第几层被封装第二层隧道协 议主要有三种:点对点隧道协议(PPTP),第二层转发协议(L2F),第二层隧道协议(L2TP) J前两种隧道协 议基本已被淘汰,IETF的开放标准协议L2TP结合了前两个协议的优点,特别适合于组建远程接入方式的 VPN第三层隧道协议包括通用路由封装协议(GRE)和IP安
5、全协议(IPSec)第三层隧道与第二层隧道相 比,具有更好的安全性、可扩展性和可靠性目前,VPN的实现主要采用基于L2TP协议和IPSec协议的方 案,但是由于这两个方案都有自己的缺陷:L2TP的保密性差;IPSec只可以承载IP包,并只对机器认证,不负 责用户认证因此,本文将引入一种将L2TP和IPSec相结合的方案来提高VPN的安全性和可靠性 1第二层隧道协议 11 L2TP的逻辑结构 L2TP的逻辑结构如图1所示,主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构 成LAC是L2TP的接入集中器,为远程系统提供隧道服务;L
6、AC可以利用隧道传送任何封装在PPP中的网 络层协议数据单元,是输入呼叫的起始方和输出呼叫的接收方;LNS是L2TP的网络服务器,负责建立、维 收稿日期:20031118 基金项目:河南省自然科学基金项目 作者简介:季超(1972一),男,河南省开封市人,河南大学讲师 维普资讯 http:/ 季超,等:基于L2TPIPSEC的安全隧道技术方案 护、释放隧道和呼叫,处理服务器方的L2TP协议和终止L2TP和PPP协 议在传统的PPP连接中,用户拨号的连接终点是LAC,L2TP使得PPP 协议的终点延伸到LNS上图1描述了典型L2TP的情形,远程系统通 过PSTN网络的LAC建立一条PPP连接,接
7、着LAC把PPP连接通过IP 网、帧中继或ATM网络建立隧道连接到LNS,从而获得对归属地企业网 的访问权 图1 L2TP的逻辑结构 L2TP隧道分为被动式隧道和主动式隧道被动式隧道的创建不需要用户的操作,也不允许用户进行任 何选择在被动式隧道中,假设ISP(Intemet服务提供商)的NAS(网络接入服务器)充当L2TP的LAC,用户 将PPP包发送给NASLAC,NASLAC将PPP包封装在L2TP中,通过隧道传送给LNS图1中LAC和LNS 之间的隧道就是被动式隧道主动式隧道是依靠LAC客户,由用户创建的隧道用户发送L2TP包给NAS, NAS再转发给LNS在主动式隧道中,ISP的NAS
8、不需要支持L2TP,LAC驻留在用户系统中图1中LAC 客户与LNS之间的隧道就是主动式隧道 12 L2TP的安全性分析 L2TP支持IP、IPX、Appletalk等多种网络协议,支持任意的广域网技术如ATM、X25、帧中继以及任意 的以太网技术但是,由于L2TP协议自身不提供安全机制,因此通过L2TP隧道在公共网络上传送PPP业 务时,L2TP的控制报文和数据报文很容易受到攻击 L2TP协议存在以下的的安全问题: (1)I211P仅仅定义了对隧道的终端实体进行身份认证,而不是认证隧道中流过的每一个数据报文,这样 的隧道无法抵抗插入攻击和地址欺骗攻击 (2)由于没有针对每个数据报文的完整性校
9、验,就有可能遭到拒绝服务(DoS)的攻击,即发送一些假冒 的控制消息,导致L2TP隧道或PPP连接的关闭 (3)I2TP本身不提供任何加密手段,当数据需要加密时,需要其它技术的支持 (4)虽然PPP报文的数据可以加密,但PPP协议不支持密钥的自动产生和自动刷新,这样进行监听的攻 击者就有可能最终攻破密钥,从而得到所传输的数据 由于I2TP协议存在上述的安全问题,因此在具体部署L2TP时,必须和其它协议结合以最大限度的降 低L2TP的安全隐患 2 L2TPIPSec实现 IPSec是IETF IPSec工作组制订的一组基于密码学的开放网络安全协议,主要由三个协议组成:AH (Authentica
10、tion Header),ESP(Encapsulating Security Payload)和IKE(Interact Key Exchange)其中,AH提供 了数据源身份认证、数据完整性和防重放攻击的能力;ESP为IP包提供数据的加密,同时也实现了AH的所 有功能;IKE负责密钥的建立和管理IPSec工作在IP层,它利用密码技术从三个方面来保证数据的安 全 :通过认证,对主机和端点进行身份鉴别;利用完整性检查来保证数据在传输过程中没有被修改力密 IP地址和数据以保证数据私有性 将L2TP协议和IPSec协议结合起来,不仅可以利用IPSec的安全机制为L2TP隧道提供包括完整性、认 证、
11、防重放保护、保密性等安全保护 ,而且解决了IPSec只支持IP协议的问题,保证了多协议数据报在隧 道中传送的安全性 在图1的L2TP逻辑结构中,为了保证L2TP隧道的安全性,可以在LAC和LNS处实现IPSec,这样使 LAC与LNS成为两个安全网关,对公共网中传送的数据报提供安全服务假设所有隧道和链路都已经建立, 具体的数据流程如下: 首先远程用户端产生一个终止于LNS的、封装了一个内部IP包的PPP包,内部IP包的源地址是 LNS分配给用户的VPN内网地址,目的地址是VPN内网服务器,这个PPP包通过用户和LAC间的PPP物理 链路传送到LAC LAC根据PPP包中的用户名找到对应的L2T
12、P隧道和IPSec隧道并对其进行L2TP封装和IPSec处 理,生成L2TPIPSec包(图2) LAC从自己的动态IP池里分配一个随机IP地址,为L2TPIPSec包封装外部IP头并传送给LNS 维普资讯 http:/ 河南大学学报(自然科学版),2004年,第34卷第1期 LNS收到这个包后,首先进行IPSec的解密和认证处理,然后依次去除 TP头和PPP头,最后根据 内部lP头的目的地址发往VPN内网服务器 图2 封装后的I2TPIPSec数据报文 本实现方案中,由L2TP提供隧道服务,而IPSec提供安全服务,这样可以提供一个更安全的VPN实现 方案 TP的数据报文经过IPSec的封装
13、构成安全报文(图2),其中IP2是内部的lP头部,包含有数据的真 正的源和目的地址选项(一般考虑为私有地址)IP1利用公网的传输特性(如公共网的传输地址、带宽等) 传送内部数据整个PPP帧(不包括帧校验序列、透明字节、链路成帧字节)封装在 TP的数据报文中对 于控制报文,直接封装在 TP的数据报文中进行传输在报文安全性封装的过程中,可首先使用ESP完成 对数据报的加密工作,对整个高层报文进行保护,然后利用AH对加密的数据以及外部头部进行认证通过 将 TP的基于点到点协议(PPP)的特点和lPsec的安全特点结合在一起,不仅利用了 TP的封装机制,而 且对数据分组提供了安全性保护,可以防止非法用
14、户对VPN的攻击,能够满足远程用户接人VPN的要求 3 结语 L2TP协议和IPSec协议的结合,虽然克服了原有的 TP和IPSec协议的不足,具有一定的使用价值,但 同时也产生了因重复封装引起的额外开销随着远程接入VPN技术的进一步完善,还将会出现更为理想的 解决方案 参考文献: 1何宝宏IP虚拟专用网技术M北京:人民邮电出版社,2002 2TOWNSLEY W,VALENCIA A,RUBENS A,et a1RFC2661,Layer Two Tunneling ProtocolS1999 3张颖江,罗婷等虚拟专用网中的安全隧道技术研究J湖北工学院学报,2001,(4):2931 4SKent,RAtkinsonRFC2401,Security Architecture for the Internet ProtocolJCD1998 5陆建业Windows 2000虚拟专用网络M北京:清华大学出版社,2001 6朱昌盛,余冬梅等IPSec与L2TP结合构筑的虚拟专用网络J计算机工程,2002,(11):105107 7赵阿群,吉逸等支持VPN的隧道技术研究J通信学报,2000,(6):8591 维普资讯 http:/
