基于mp-bgp%2fmpls+vpn的安全研究 (1)

《基于mp-bgp%2fmpls+vpn的安全研究 (1)》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、上海交通大学硕士学位论文基于MP-BGP/MPLSVPN的安全研究姓名：罗伟军申请学位级别：硕士专业：计算机技术指导教师：黄征20071101基于MP-BGP/MPLSVPN的安全研究摘要建立在IP技术之上的虚拟专用网VPN因其低廉的远程通信成本和较高的安全性 受到信息社会各界的普遍关注，VPN的服务目的就是在共享的网络上向用户提供 专用的网络连接，VPN连接的质量至少等同于专业网络的通信保障，这种VPN模 式正快速成为新一代网络服务的基础，电信运营商可从中获到新的利润增长点。既各具特点又有一定互补性的VPN架构

2、正逐渐在网络的各个层面大显身手，在各 种VPN方案中本文主要论述MP-BGP/MPLS、IPSEC、SSL等VPN技术，对其安全 机制进行深入的探讨，分析了它们的相似之处、相互之间的差异以及各自的优缺点。指出基于IP网络的各种VPN进行有机结合实现安全层次各不相同的通信需 求：在电信提供商的核心网络上架构MP-BGP/MPLSVPN，外围启用IPsec以及用 户端使用SSLVPN技术；本文针对这一目标展开层层论述，评价这些VPN的解决 方案，为网络管理者以及使用者评估以及最终的选择提供指导。本文首先描述多协议标记

3、交换（MPLS）VPN技术的实现方式，通过标签分发协议 （LDP）建立标签转发通道（LSP），在核心网络提供快速转发，采用标签交换技 术隐藏MPLSVPN核心路由器的标识及路由，防止攻击PE路由器、P路由器、MPLS 信令机制，拒绝标记欺骗；PE限制用户的流量，P采用单播反向路径转发（URPF） 检查、设置过滤器、关闭ICMP等流控措施防范DoS攻击；之后介绍了扩展的边 界网关协议（MP-BGP）的特点，MPLSVPN融合了MP-BGP技术后实现了PE-PE之 间承载VPN成员关系，利用VRF使CE-PE间的连接

4、相互独立，使地址空间和路 由独立，防止攻击者通过CE向PE发送大规模的路由或路由变更数据包实施拒绝 服务（DoS）攻击。然后分析MP-BGP/MPLSVPN自身的安全机制以及面临的安全问题，主要是自身 协议的问题，提出加强其安全的措施：通过ACL包过滤安全管理PE、P等设备。 路由协议如BGP要配有安全鉴定选项，所有的对等关系都要加以安全防护，对 CE和PE设备间信令机制进行路由鉴权，即CE-PE间的BGP实现加密（如MD5） 鉴权；PE-P标签分配协议LDP的加密（如MD5）鉴权以及P-P标签分配协议LDP 的

5、加密（如MD5）鉴权，防止引入虚假路由器参加标签的分配。由于BGP使用面 向连接的TCP，可用TCP认证算法对MP-BGP消息的完整性进行保护，保证路由 信息的安全可靠，确保在传输过程中没有被修改过。为了进一步实现MP-BGP/MPLSVPN两端网络的安全，随后介绍IPSec技术，提 出MP-BGP/MPLS与IPSec相结合的方案：在MP-BGP/MPLSVPN网络上运行IPSec， 通过头部鉴权（AH）及数据加密（ESP），保护数据的安全，防止内部攻击MPLSVPN 网络；IPSec也可配置在CE设备上，对用

6、户的数据安全有积极意义。之后分析 IPSec的优缺点，指出复杂的IPSec在使用上带来诸多的不便之处。第I页其后又介绍了SSL的技术特点,提出MP-BGP/MPLS与SSL相结合、以及IPSec 和SSL相融合的方案，在应用程序协议(如Http)和TCP/IP协议之间提供数据安 全性分层的机制，为TCP/IP连接提供数据加密，服务器认证，消息完整性等功 能。最后指出必须对SSL+IPSec+MPLSVPN的安全模式按照实际的应用情况加 以权衡选择。关键字：安全、VPN、MPLS、MP-BGP、IPSec、SSL第

7、II页THERESEARCHOFSECURITYONTHEBASEOFTHEMP-BGP/MPLSVPNABSTRACTTheVPNwhichissetupontheIPtechnologyiswildlyconcernedinthemostpartsoftheinformationsocietyforitslowpriceoftheremotecommunicationandhighsecurity.TheaimoftheVPNserviceistoprovideappropriateconnectivityf

8、orusersonthesharenetwork,andthequalityoftheVPNisatleastequaltotheprivatenetwork,sothekindoftheVPNisquicklybecomingthebasicserviceofthenewgenerationnetwork,andtheprovidercommunicationscana