基于MP-BGP-MPLS VPN的安全研究.pdf

1、建立在IP技術之上的虛擬專用網(wǎng)VPN因其低廉的遠程通信成本和較高的安全性受到信息社會各界的普遍關注，VPN的服務目的就是在共享的網(wǎng)絡上向用戶提供專用的網(wǎng)絡連接，VPN連接的質(zhì)量至少等同于專業(yè)網(wǎng)絡的通信保障，這種VPN模式正快速成為新一代網(wǎng)絡服務的基礎，電信運營商可從中獲到新的利潤增長點。 既各具特點又有一定互補性的VPN架構(gòu)正逐漸在網(wǎng)絡的各個層面大顯身手，在各種VPN方案中本文主要論述MP-BGP/MPLS、IPSEC、SSL等

2、VPN技術，對其安全機制進行深入的探討，分析了它們的相似之處、相互之間的差異以及各自的優(yōu)缺點。指出基于IP網(wǎng)絡的各種VPN進行有機結(jié)合實現(xiàn)安全層次各不相同的通信需求：在電信提供商的核心網(wǎng)絡上架構(gòu)MP-BGP/MPLS VPN，外圍啟用Ipsec以及用戶端使用SSL VPN技術；本文針對這一目標展開層層論述，評價這些VPN的解決方案，為網(wǎng)絡管理者以及使用者評估以及最終的選擇提供指導。 本文首先描述多協(xié)議標記交換（MPLS）VPN技

3、術的實現(xiàn)方式，通過標簽分發(fā)協(xié)議（LDP）建立標簽轉(zhuǎn)發(fā)通道（LSP），在核心網(wǎng)絡提供快速轉(zhuǎn)發(fā)，采用標簽交換技術隱藏MPLS VPN 核心路由器的標識及路由，防止攻擊PE路由器、P路由器、MPLS信令機制，拒絕標記欺騙；PE限制用戶的流量，P采用單播反向路徑轉(zhuǎn)發(fā)（URPF）檢查、設置過濾器、關閉ICMP等流控措施防范DoS攻擊；之后介紹了擴展的邊界網(wǎng)關協(xié)議（MP-BGP）的特點，MPLS VPN融合了MP-BGP技術后實現(xiàn)了PE-PE之間承

4、載VPN成員關系，利用VRF 使CE-PE間的連接相互獨立，使地址空間和路由獨立，防止攻擊者通過CE向PE發(fā)送大規(guī)模的路由或路由變更數(shù)據(jù)包實施拒絕服務（DoS）攻擊。 然后分析MP-BGP/ MPLS VPN自身的安全機制以及面臨的安全問題，主要是自身協(xié)議的問題，提出加強其安全的措施：通過ACL包過濾安全管理PE、P等設備。路由協(xié)議如BGP要配有安全鑒定選項，所有的對等關系都要加以安全防護，對CE和PE設備間信令機制進行路由鑒權

5、，即CE-PE間的BGP實現(xiàn)加密（如MD5）鑒權；PE-P標簽分配協(xié)議LDP的加密（如MD5）鑒權以及P-P標簽分配協(xié)議LDP的加密（如MD5）鑒權，防止引入虛假路由器參加標簽的分配。由于BGP使用面向連接的TCP，可用TCP認證算法對MP-BGP消息的完整性進行保護，保證路由信息的安全可靠，確保在傳輸過程中沒有被修改過。 為了進一步實現(xiàn)MP-BGP/MPLS VPN兩端網(wǎng)絡的安全，隨后介紹IPSec技術，提出MP-BGP/MPL

6、S與IPSec相結(jié)合的方案：在MP-BGP/MPLS VPN網(wǎng)絡上運行IPSec，通過頭部鑒權（AH）及數(shù)據(jù)加密（ESP），保護數(shù)據(jù)的安全，防止內(nèi)部攻擊MPLS VPN網(wǎng)絡；IPSec也可配置在CE設備上，對用戶的數(shù)據(jù)安全有積極意義。之后分析IPSec的優(yōu)缺點，指出復雜的IPSec在使用上帶來諸多的不便之處。 其后又介紹了SSL的技術特點,提出MP-BGP/MPLS 與SSL相結(jié)合、以及IPSec和SSL相融合的方案，在應用程序