返回
【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf

【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf

ID:32032854

大小:1.19 MB

页数:58页

时间:2019-01-30

【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf_第1页
【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf_第2页
【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf_第3页
【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf_第4页
【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf_第5页
资源描述:

《【硕士论文】基于MPBGPMPLS+VPN的安全研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于MP-BGP/MPLSVPN的安全研究摘要建立在IP技术之上的虚拟专用网VPN因其低廉的远程通信成本和较高的安全性受到信息社会各界的普遍关注,VPN的服务目的就是在共享的网络上向用户提供专用的网络连接,VPN连接的质量至少等同于专业网络的通信保障,这种VPN模式正快速成为新一代网络服务的基础,电信运营商可从中获到新的利润增长点。既各具特点又有一定互补性的VPN架构正逐渐在网络的各个层面大显身手,在各种VPN方案中本文主要论述MP-BGP/MPLS、IPSEC、SSL等VPN技术,对其安全机制进行深入的探讨,分析了它们的相似之处、相互之间的差异以及各自

2、的优缺点。指出基于IP网络的各种VPN进行有机结合实现安全层次各不相同的通信需求:在电信提供商的核心网络上架构MP-BGP/MPLSVPN,外围启用IPsec以及用户端使用SSLVPN技术;本文针对这一目标展开层层论述,评价这些VPN的解决方案,为网络管理者以及使用者评估以及最终的选择提供指导。本文首先描述多协议标记交换(MPLS)VPN技术的实现方式,通过标签分发协议(LDP)建立标签转发通道(LSP),在核心网络提供快速转发,采用标签交换技术隐藏MPLSVPN核心路由器的标识及路由,防止攻击PE路由器、P路由器、MPLS信令机制,拒绝标记欺骗;PE限

3、制用户的流量,P采用单播反向路径转发(URPF)检查、设置过滤器、关闭ICMP等流控措施防范DoS攻击;之后介绍了扩展的边界网关协议(MP-BGP)的特点,MPLSVPN融合了MP-BGP技术后实现了PE-PE之间承载VPN成员关系,利用VRF使CE-PE间的连接相互独立,使地址空间和路由独立,防止攻击者通过CE向PE发送大规模的路由或路由变更数据包实施拒绝服务(DoS)攻击。然后分析MP-BGP/MPLSVPN自身的安全机制以及面临的安全问题,主要是自身协议的问题,提出加强其安全的措施:通过ACL包过滤安全管理PE、P等设备。路由协议如BGP要配有安全

4、鉴定选项,所有的对等关系都要加以安全防护,对CE和PE设备间信令机制进行路由鉴权,即CE-PE间的BGP实现加密(如MD5)鉴权;PE-P标签分配协议LDP的加密(如MD5)鉴权以及P-P标签分配协议LDP的加密(如MD5)鉴权,防止引入虚假路由器参加标签的分配。由于BGP使用面向连接的TCP,可用TCP认证算法对MP-BGP消息的完整性进行保护,保证路由信息的安全可靠,确保在传输过程中没有被修改过。为了进一步实现MP-BGP/MPLSVPN两端网络的安全,随后介绍IPSec技术,提出MP-BGP/MPLS与IPSec相结合的方案:在MP-BGP/MPL

5、SVPN网络上运行IPSec,通过头部鉴权(AH)及数据加密(ESP),保护数据的安全,防止内部攻击MPLSVPN网络;IPSec也可配置在CE设备上,对用户的数据安全有积极意义。之后分析IPSec的优缺点,指出复杂的IPSec在使用上带来诸多的不便之处。第I页台服魔兽世界VPNhttp://vpn.3lunche.com/其后又介绍了SSL的技术特点,提出MP-BGP/MPLS与SSL相结合、以及IPSec和SSL相融合的方案,在应用程序协议(如Http)和TCP/IP协议之间提供数据安全性分层的机制,为TCP/IP连接提供数据加密,服务器认证,消息完

6、整性等功能。最后指出必须对SSL+IPSec+MPLSVPN的安全模式按照实际的应用情况加以权衡选择。关键字:安全、VPN、MPLS、MP-BGP、IPSec、SSL第II页台服魔兽世界VPNhttp://vpn.3lunche.com/第一章绪论1.1研究背景传统的电信运营商一直面临这样的一个困惑:要为每一种新型业务重新建立一张全面覆盖的专业网络,比如以前的分组网络(PAD)、数字数据网络(DDN)、帧中继网络(FR)、异步传输模式网络(ATM)、PDH、SDH、WDM、MSTP、MSAP等,这样的建网模式投资巨大,回收缓慢,效益低下,市场才刚刚起步,

7、用户的数量还没有达到规模效应,技术上就已经落后;伴随着电信市场竞争的日益加剧,电信运营商在资金链的压力下,普遍感觉到这种组网方式已经不可为,急需要转换思路,采用新的技术整合网络资源,电信运营商期待已久的梦想就是在一张网络平台上提供所有的业务接入。早些时候,ATM曾有这样的雄心壮志,基于数据链路层的ATM想一通江湖,但ATM过于复杂的算法以及在53个字节中就有5个字节的系统开销,决定了ATM的成长太缓慢;随着IP技术的飞速发展,IP用户群的急剧增加,奠定了IP的统治地位已经不可动摇,ATM在事实面前已经无力回天,但IP的本质是“只关心过程,不注重结果”的“

8、尽力而为”模式,无法承载电信网络高品质的未来。技术发展到今天,基于IP技术又引入

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。