BGP/MPLS VPN安全性研究——一种基于CE路由器的路由认证新方案

摘要

虚拟专用网(Virtual Private Network：VPN)的提出基于企业的需求。随着Internet业务的不断发展和完善，导致大量企业内部网络之间的信息交流。而过去企业要与外界或分散在全国乃至全世界的分支机构和人员进行联系，最常用的方法就是使用国内国际直拨电话或租用模拟、数字专线，这种方式既不经济，又不方便，很多企业难以承受，同时造成网络的重复建设和投资。采用基于公网的虚拟局域网，能够使跨地区的企业的不同部门之间通过公共网络实现互连，可以使企业节省大量的通信资金和重复建设费用，同时保证企业内部的数据通过公共网络传输的安全性、保密性和服务质量(Quality of Service．QOS)。目前，VPN技术正得到广泛的应用，已成为宽带运营商获取利润的一个新突破点。但传统IP网络在实现VPN扩展性、安全性、管理性和服务质量保证等方面有很大的缺陷，而基于边界网关协议(Border Gateway Protocol：BGP)和多协议标签交换技术(Multi-protocol Label Switch：MPLS)的VPN方案能很好地适应客户对VPN业务的需求。 BGP/MPLS VPN由于自身的诸多特点，已经具备很高的安全性，这一点已获得了实验的证明。但在其标准RFC4364中并没有针对可能由于路由目标(RouteTarget：RT)属性的配置错误引起的不同站点间非法访问的问题提出相关应对措施。国内外针对这一问题的研究也相对较少，所以提出一种基于用户边缘(CustomerEdge：CE)路由器的路由认证方案，通过用户和服务提供商(Service Provider：SP)合作并对分发的路由进行加密签名来控制VPN路由信息的更新，从而解决该安全隐患，进一步增强BGP/MPLS VPN的安全性。通过与现有的一种称为基于令牌的VPN成员认证方案的比较和仿真模拟对该方案进行了验证，结果证明是合理可行的。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究背景

1.2 VPN分类概述

1.2.1覆盖VPN模型和对等VPN模型

1.2.2 BGP/MPLS VPN

1.3论文结构

第二章MPLS技术和BGP协议

2.1 MPLS技术

2.1.1 MPLS中的关键概念

2.1.2 MPLS技术的基本原理

2.1.3 MPLS技术的特点和优势

2.2 BGP协议

2.2.1 BGP工作原理和过程

2.2.2 BGP消息

2.2.3 BGP多协议扩展(MP-BGP)

2.2.4在BGP-4中携带标签

2.2.5 BGP的团体(Community)属性

第三章基于CE路由器的路由认证方案

3.1 BGP/MPLS VPN原理

3.1.1 BGP/MPLS VPN拓扑结构

3.1.2 BGP/MPLS VPN技术细节

3.1.3 BGP/MPLS VPN的路由分发和数据传送原理

3.2 BGP/MPLS VPN的安全性

3.2.1 BGP/MPLS VPN的安全特征

3.2.2 BGP/MPLS VPN的安全缺陷和现有解决方案

3.3基于CE路由器的HMAC MD5路由认证方案

3.3.1问题模型

3.3.2方案原理

3.3.3方案约束条件

3.3.4 CE认证者属性

第四章方案比较与仿真

4.1方案比较

4.2仿真及结果分析

4.2.1仿真工具和配置

4.2.2 VPN可达性测试

4.2.3仿真结论

第五章结论及未来的工作

5.1结论

5.2未来的工作

致谢

攻读硕士学位期间从事的科研工作

参考文献