1、通信标准类技术报主是二t=I YDB 078-2012 基于陀的虚蚓网络动态构建桂架IP-Based virtual network dynamic construction Framework 2012 - 03 -25印发中国通信标准化协会发布YDB 078-2012 目欠前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2、1 范围. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3、 3 术语和定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 缩略语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4、 . 1 5 问题描述. . . . . . . . . . . . . 2 6 应用场景. . . . . . . . . . . . . . . 2 6.1 大企业应用. . . . 2 6.2 中小企业应用. . . . . . . . 2 6.3 家庭应用.2 6.4 个人应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6.5 云计算服务. . . . . .
5、. . . 3 6.6 物联网应用. . . . . . . . 3 7 整体框架. . . . . 3 7. 1 物理环境部署示意图. . . . . . . . . . . . . 3 7.2 桂架中主要组件.4 7.3 框架结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7.4 关键部件主要功能. . . . . . . 5 7.5 框架主要工作流程.6 8
6、安全考虑.9 8.1 接口安全.9 8. 2 防止资源耗尽类型的攻击. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 YD
7、B 078-2012 _._ 自IJ1=王4.:技术报告目的是在建立一个在复杂的网络环境下建立基于TPlJ虚拟网络的柑建框架。该框架规定了这种虚拟网络构建的流和、使用模式、相关设备之间的通信行为规范、标准接口,用于解决在复杂网络环境下,山于IPv4/IPv6共存、NAT/CGN和i)j态IP等各种因素带来的互联网上无法实现任意节点的直接连通问题,从而建立互联网上可以实现统一安全策略的虚拟网络。*技术报告致力于提供一个服务框架,在框架Icl1定义一系列功能组件,标准服务流程,以及服务提供接口。在政框架巾,将尽量采用现有标准协议和标准化流程以实现其服务功能。同时致力于保证现有的通信协议和通信设备在
8、最小改动前提卡,易于被包含于战框架内,可以通过标准界面使用i亥服务框架所提供的各项服务。为适)守信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排f,对于技术尚在发展巾,又需要有相应的标准性文件引导其发展的领域,LLI中国通信标准化协会组织制定通信标准类技术报告推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。II 本技术报告由111国通信标准化协会提出并归口。4(技术报告起草单位:华为技术有限公司、巾国移动通信集团公司、中兴通讯股份有限公司。本技术报告主要起草人:黄敏、十:雨晨、文Ij利锋。YDB 078一一2012基于IP的虚拟网络动态构建框架1 范围
9、本技术报告研究虚拟网络的构建框架,提供种通过虚损网络构建技术,在复杂的真实物理网络中,按照功能划分结构简单的虚拟网纯的方法。本技术报告适用于组建统A安全策略的专用网络。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文作,其最新版本(包括所有的修改单适用于本文件。GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271. 8-2001界定的术语和定义及以下术语和定义适用于本文件。3. 1 管理服务器mediator用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认
10、证/登录/信息、注册,虚拟网内节点的加入/撤离,节点之间的密钥交换,节点之间隧道的建交/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路EI策略分发等事务。3. 2 中继relay用于虚拟网络内节点之间进行通信的数据转发设备。3.3 节店、node位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机CHost)或者网关设备CGateway)。4缩略i吾下列缩回各语适用于本文件。CGN IPsec NAT SSL Carrier Grade NAT Internet Protocol Security Network Address Translation Secure Socke
11、t Layer 运营商级NATInternet协议安全网络地址翻译安全套接层协议YDB 078-2012 TLS Transport Layer Security 安全传输层协议5 问题描述、Ij前互联网规模越来越大,全球有数亿用户通过Internet实现互联。不同Internet用户在实际应用中,根据其不同的问用属性与安全性差异,具有不同的网络连接要求,即:分布在Internet的数亿计算机节点,可以根据应用市求细合成上千万个相对独立的网络,每个网络具有独立的历用策略和安全策略。对应这种需求趋势,网络安全互联技术正在从Site-to-Si te VPN口益转向规模旦大的End-to-End节
12、r问直接互联,虚拟网技术正面临日益复杂的节点查找、节点问互连、安全管理、策略管理、可扩展性、主动态配置等复杂问题。目前,问题主要体现在以下几个方面:a) 由于IPv4/v6共存、NAT/CGN技术,动态IP地址技术打破了网络的统一命名、寻甜、路由机制,影响到网络内节点之间的连接建立:b) 因IPv4/v6共存、NAT/CGN技术的广泛使用,互联网节点之间的直接互连面临技术困难,现有企VPN技术难以满足在当前网络结构下,在任意联网条件的节点之间建立虚拟网络:c) 由于当前网络访问控制、信息安全域的划分部需要依赖网络的物理拓扑结构,对于分处不同物理网络的节点,难以部署统一的安全策略:d) 当前随着
13、移动计算/普适计算/云计算模式的普及,信息资源与用户平有运步分离,用户1: I算坏境的移动性和资源的;)J态自己置己成趋势,在这种环境下,现有的VPN等虚拟网技术经不能适应这种趋势下的配置、可扩展性和管理要求。6 应用场景6. 1 大企业应用一般在比较大的组织或者企业都会部署VPN网关,用于连接分支机构与总部的网络,或者让1111差员工j以远程登录到内部专有网络中。但是由于IPv4地址的消耗,组织或者企业可能没有足够多的IPv4公网地址来分配,或者希望用更有效的方式来部署公网IPv4地址,或者出于安全考虑、希望不用对外暴露内部的网络拓扑结构,另外,由TIPv4地址的紧张,有可能运营商给企业分配
14、的地址本身就是私网地址,私网公网的翻译将由运营商级的NAT(CGN)来进行。所以要访问企业内部所有藏在VPN网关后面的设备和应用,需要解决连迪性问题。6. 2 中小企业应用中小企业可能没有足够的资金米部署专门的VPN设备,但是他们叫能没有固定办公场所,允许员工在家办公,或者出差接入等等,但是他们又有组成个虚拟局域网的需求。比如,可以共享对方电脑上的文件,可以完成某些协同工程,可以访问对方机器上的某些应用。这就要求虚拟的局域网功能能够像物理局域网一样,实现虚拟办公,让中小企业的员工感觉在同一个局域网环境下工作。6. 3 家庭应用家庭中的各种设备和资源越来越多,而且也有越来越多的家用设备可以接入到
15、互联网上,也就产生了远程访问家庭网络的需求。比如,在出差时可能会想从家里的个人电脑上下载一些文件,或者在公司时想通过摄像头监控家里情况,等等。但是,这些家庭设备的出口处往往部署了一个网关设备,这些家2 YDB 078一-2012庭设备往往不可能有静态的全局IP地址,一般都是隐藏在家庭网关NAT后面,甚至运营商提供的层层NAT之jJoiEZE 科简便的方法访问尽j二;二;江个人应用接入互联网的用户,也有很多对等(peerto peer)通信的需求,要求J通信的双方都能平等的发起连接与对方通信。最典型的应用场景就是网络在线游戏。网络游戏的玩家可以在互联网的任何位置,有些游戏需要玩家和合作伙伴进行直
16、接对等的通信。还有很多其它类似的应用,比如,文件共享,照片共享,视频共享。6. 4 云计算服务随着云计算时代的来临,任何人或者机构都可以通过互联网向云服务提供商订购某些服务。其中,由于大量的资源将在云中提供,而这些资源可能没有对外的公有访问地址,市要有一种机制能够方便的找到需要访问的云中资源。另外,由于云服务的灵活性,提供商和用户都将需要一个服务资源可以动态加入和退出的虚拟网络,使得这些资源.可以就像在本地网络上一样使用。6. 5 物联网应用在物联网应用背景下,所有的设备部需要通过互联网互联。设备数量众多,设备的部署无法像当前网络一样事先规划良好的拓扑结构,设备本身不像人一样,不具备自管理性与
17、智能性。需要有一套具有极强扩展性、良好可管理性以及动态结构的虚拟网络组网框架对物联网内的设备组网进行管理,解决其中的各种问题,保证具有相同属性的不同设备,可以跨越地域和网络拓扑差异组网,使用户能以相同的应用策略使用之。6. 6 整体框架在基于IP的虚拟网络动态构建框架内,共有3类核心组件。分别被称为Mediator、Relay和Nodeoj:t3类组件在工程实现中可以作为3种独立的设备,或者作为同时包含有其中1或2个组件功能的若干设备在网络中部署。7 物理环境部署示意图7. 1 一个典型的基于凹的虚拟网络动态构建框架在物理网络中的部署方式如图l所示:/ 茧E们盼院23 号14基于泞的虚拟网络动
18、态构建示意图图1YDB 078-2012 因111Mediatorl、Mediator2表示分别部署在两个不同网络巾的Mediator设备,Mediator设备之间实现数据共享与同步;Relayl 3表示部署在不同网络中的Relay设备,Relay设备之间可保持高速网络连接用以交换数据;Nl附表示网络中分布的Node节点计算机,其巾川、陀、肝、N8分处于不同的物J网络中,但根据应用策略需要划分在同二个虚拟网络中,以上节点计算机之间有条件建立直连隧道:N3、阳、町、阳分处于不同的物理网络巾,但根据应用策略市要划分在同一个虚拟网络巾,上述节点由于处在NAT/CGN网络内,不具备相互之间直接建立直连
19、隧道的条件,需要借助Mediator来帮助建立直连隧道。当上述节点的通信双方同时处于不同的NAT/CGN网络内时,只能经rtl各自的Relay设备建立 rll转隧道。7.2 框架中主要组件Node表示位于网络巾,已经安装了对应软件,具有构建虚拟网能力的主机CHost)或者网关设备CGateway)。在Node是一个网关设备时,可通过Node将一个网段内无须安装特定功能软件的计算机接入虚拟网。Node在网络巾必须具备以下条件:a) Node可以拥有合法的IP地址,或者可以位于NAT内网,被分配保留IP地址:b) Node必须能够直接出间,或者通过其NAT网关访问位于网络中的Mediator以及R
20、elay。Mediator是整个框架的核心,用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/J故离,节点之间的注:钥交换,节点之问隧道的建立/控制,虚拟IJ(J Itl各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。Mediator)j具备以下条件:a) Mediator可看作是为网络中的计算机节点提供虚拟网络接入服务的一个虚拟ISP; b) 在未来的Internet中会存在许多的Medator,用户在有虚拟|对组建/按入需要时,可以任选其一使用:c) 所白可用的Mediator的列表信息会通过某种公开渠道发布,比如通
21、过知名网站的Webpage进行发布;d) 网络中的所有Mediator之间可以进行网络通信:e) Mediator必须是可以被进行全Internet洁围内寻址并且可被访问的。目J:所有的Node必须能够直接向某个Mediator建立连接。Relay是用于虚拟网络内节点之间进行通信的数据转发设备,其在虚拟网中的功能如同一个真实网络中的交换机或者路由器。Relay应具备以下条件:4 a) Relay是NodeiU Node之间通过加密隧远通信时的信息转发设备,可为虚拟网络内节点提供第二层或者第三层通信报文的转发服务。在某个虚拟网内部提供节点之间的二层通信协议报文转发服务时,其在虚拟网中功能如同个交
22、换机:在某个虚拟网内部提供节点之间的三层协议报文转发服务时,其在虚拟网中的功能如同一个二.层交换机:在不同的虚拟网络之间提供报文转发服务时,其在虚拟网中的功能如同一个路由器:b) Relay必须是可以被进行全Internet范围内寻址井且可被访问的。即所有的Node必须能够直接向某个Relay建立连接:c) Relay Node提供隧道服务,-Node可以向Relay建立隧道连接。Relay接收源JIT点发送的双层报文,该、双层报文包括作为数据封装的内层报文和外层报文头,此时外层报文头携带的目的地址为该Relay的全局IP地址,内层报文包括内层报文头,内层报文头携带的口的地址为目的节点在虚拟网
23、内的私有IP地址;Relay根据目的节点在虚拟网内的私有IP地址查找目的节点的全局IP地址;Relay重新封装外层报文头,此时外层报文头携带的曰的I归P地址为日的节点的全局IP地址;Relay将主新封装的双层层-报文发送给所述目的Jd) 在未米的In口1terne创t中会存在许多的Relay,不同的Node可以根据Mediator的指令与选定的某个Relay设备建立加密隧道,以实现Node之间的加密通信:YDB 078-2012 一个Mediator可以管理多个Relay,ap Mediator必须知道Relay的信息:用与小不同的Rduy之间可以建立i句迈的远f;1三tkv、BZJ飞、1/e
24、ni 框架结构一个典型的基于IP的虚拟网络动态构建框架运行中,其中的3个核心组件在物理网中根据不同的功能层次可划分为3个独立的OverlayNetwork,在同层次的OverlayNetwork的不同设备之间需要存在数据通信或者数据共享通道。7.3 M日,/ (Jc i / 飞JVN Mcdiaro 1号0/!二/;:1 J/j i 一一一一!I I RJO / ! ; j ! 电OEUJ J/if i VN RClays / I / / 飞/rl/21 J一一-J._、/lj?/M64131 FfmQM V只二旧金-rJ/j;1:J :;? -_ -盲工w - VN命l VN Nodes C
25、omrol l. ink Dut :J Trm飞ferJunnd 基于IP的虚报网络动态构建逻辑层次图图2中,川、N2、N7、N8分处于不同的物理网络中,可以通过直连隧道构成一个策略统一的虚拟网络:阳、阳、阳、N6分处于不同的物理网络中,不具备相互之间建立直连隧道的条件,因此经由各自的Relay设备建立中转隧道,构成一个策略统一的虚拟网络。图2关键部件主要功能7.4 Node必须是主机或者具有路由功能的网关,具有合法或者保留IP地址,可以访问Mediator以进行信息交互,可以向Relay建立隧道。其具备的功能如下:a) Node可以向Mediator提交自身当前使用的IP地址、服务端口,需妥
26、加入的虚拟专用网ID,身份认证信息,所支持的连接方式,隧道种类,隧道加密参数等信息:Node既是隧道连接的客户端,同时-又是服务器。即:Node即可对外部发起隧道连接,又可接收外部的隧道连接请求:Node具有穿越NAT的隧道建立能力:Node rnJ Mediator提供Client功能类型(是host或连接有site的gateway); 如果Node此时是一个网关设备,Node会从Mediator处获得4个IP地址段:节点Node7.4.1 5 、BJJ币。、,、飞Je、tcde YDB 078-2012 f) Node从Mediator获知自身在某个虚拟网络内的虚拟IP地址、端口、虚拟网内
27、Default Router 的IP地址、虚拟网内DNS服务器IP地址、虚拟网内域名等信息,并可据此配置Node;g) Node可以根据Mediator的反馈,配置Node的网络通信模式和所支持的隧道连接参数;h) Node支持两种密钥协商方法:1) 山Node所支持隧道协议所支持的密钥协商方法。如:IPsec、SSL!TLS隧道协议族本身的密i月协商过程。2) 支持Mediator设备所提供的集中式密切管理协议。7.4.2 管理服务器MediatorMediator必须能在全Internet网络中被寻址。Mediator)JT具有的功能如下:a) Mediator处理Node使用虚拟组网服务
28、的认证请求,对Node进行接入认证,确保Node具有使用Mediator纠网服务的权限。flll:Node通过自身标识及密钊信息,向Mediator表明其合法身份,Mediator确认该Node具有加入某个虚拟网络的权限;b) Mediator处理Node进入某个虚拟网络的登录请求。Node向Mediator提供其希望接入的虚拟网络的凹,以及对应的权限标识信息,Mediator验证其一古效性及权限:c) Mediator需要向经过认证的VN-Node分自己其对应的虚拟同标识ID,Node在虚拟间内IP地址/地tlf段,Node在虚拟网内的第一跳网关,Node在虚拟|对内的节点域名,Node在虚
29、拟附内的DNSServer的IP地址等信息:d) Mediator对VNNode的各种信息进行注册,包括:Node的类型(Host/Site)Node当前IP地址(可以是PublicIP,或者其当前PrivateIP) , Node服务器功能所使用的端仁1,Node所支托的连接方式(如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接), Node所支捋的隧道种类,Node支持的隧道参数等;Node If,J Mediator发起请求时所实际使用的IP地址、!lir,j口,加入信息记录时间等信息:e) Mediator需要跟踪Node的网络状态以及当前的网络参数。Node需要定时向Medi
30、ator发送当前状态消息,以便Mediator确认Node当前在网络中的状态,若Mediator在一定时间内未能获得Node的网络状态信息,Mediator将会回收为该Node分配的资源:若Mediator发现Node的网络参数发生变化,Mediator会更新Node所对应的注册信息:f) Mediator允许某个Node查询处于同一个虚拟网的其他Node的注册信息:g) Mediator可以同时管理多个Rel町,根据负载均衡策略对Client的中转隧道通信请求指派对应的Relay进行处理:h) Mediator可以向Relay发送隧道配置参数,使Relayj确处理Node的隧道中转请求。7.
31、4.3 中继RelayRelay是一个网络中的加密隧道转发设备。Relay必须能在全Internet网络中被寻址,同时a) 可以接受Mediator的配置指令,b) 根据指令,接收特定Node发出的隧道建立请求,并且控制隧边,c) 可根据特定算法将某个Node的隧道内通信数据在不同Relay或者Node之间进行转发。7.5 框架主要工作流程图3描述了虚拟网络动态构建的工作流程:6 YDS 078-2012 图3Node间通信流程7.5.1 Node与Mediator的连接过程7. 5. 1. 1 Node登录虚拟网络Node 向Mediator发送接入请求消息,该请求消息包括:a) Node对
32、Mediator的使用权限认证:Node I句Mediator发送II身ID之所属密钊或口令,通过身份认证过程,证明其具有使用Mediator的什法权限。Node通过认kTF.后,可以从Mediator处获得安全凭证,并在其有效期内,凭此安全凭证与Mediator之间建立安全通信关系。在此阶段Node与Mediator可以建立类如SSL!TLS的连接。b) Node将向Mediator报告其当前网络属性,包括:Node的类型(Host/Site)Node当前IP地址(可以是PublicIP,或者其当前Private1肘,Node的名称,Node服务器功能所使用的端口,Node所支持的连接方式(
33、如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接), Node所支持的隧道种类,Node支持的隧道参数,虚拟网标识IDoc) 在Mediator确认此Node认证信息正确,口J以成为该虚拟网络中的节点之后,Mediator向Node分配其在虚拟网内IP地址或者地址段,Node在虚拟网内的第一跳网关,Node在虚拟网内的节点域名,Node在虚拟网内的DNSServer的IP地址等信息;Node会据此配置自身系统。7.5.1.2 Mediator注册Node信息在Node登录进入特定的虚拟网络后。Mediator会将Node所报告的自身网络属性信息,其为Node所分配的虚拟网信息(虚拟IP
34、地址),以及NodeIJMed i a tor发起请求时所实际使用的真实IP地址、端口,节点名称,是否接受外部连接信息及注册的时间信息,作为注册信息在Mediator的分布式数据库中进行登记,以各查询。7.5.1.3 Mediator对Node的状态追踪Node需要定时向Mediator报告其当前网络属性。如Node的网络属性发生变化,Mediator将更新其注册信息库中关于.:l:.Node的信息:如果在限定时间内Node未能向Mediator报告其网络属性,Mediator 会认为此Node己经离线,将会回收为此Node所分配的虚拟网资源,销毁其安全凭证,删除其在注册信息库中的内容。7 Y
35、DB 078一-20127.5. 1. 4 Node安全凭证的更新如果安全凭证到期,Node将需要重复权限验证过程,更新其安全凭证。7.5. 1. 5 Node的j主2肖Node在离线之前,需要向Mediator提出注销请求,Mediator在获得此请求之后会回收为此Node所分配的虚拟网资源,销毁其安全凭证,则除其在注册信息库中的内容。7.5.2 Node向Mediator查询其他Node的信息a) Node向Mediator提交对特定Node的信息查询申请。通信发起方Node向Mediator提供其欲查询的Node的信息,信息可以是对方Node的名称,虚拟网络凹,目标Node在此虚拟网中的
36、域名,虚拟1P地址,真实1P地址等。b) Mediator对Node的查询权限确认。Mediator根据提交查询申请的Node的凹,以及其查询的Node的1D进行确认。如果他们属于同一个虚拟网,则此次查询合法,否则Mediator会拒绝此次操作,I句Node发送错误信息。c) Mediator 向发起查询的Node返回对方信息。Mediator会向Node提交其所查询的节点在注册信息库中的内容,包括对方节点当前所支持的隧道种类和网络连接属性等信息,包括:对方所支持的隧道种类及参数,是否支持接收外部连接请求,是否在NAT后,能否支持NA穿越技术等。7.5.3 Node建立隧道源Node根据查询到
37、的目标Node的注册信息,建立相应的网络隧道。a) 源Node尝试与目标Node建立直接隧道,该隧道可以是SSL/TLS隧道,1Psec隧道,也可以是某种特别设计的隧道:b) 如果源Node与目标Node无法直接建立隧道,则源Node向Mediator提交目标Node的信息。在Mediator的帮助下,打迪穿越NAT的洞,建立源Node和目标Node之间的隧道:c) 如果源Node与日标Node在Mediator的帮助下仍然,无法直接建立隧道,则可以选择隧道中转通信方式,由Mediator分别与源Node,目标Node建立隧道,然后通过Mediator的中转,实现源Node和目标Node之间通
38、信。7.5.4 Node与Node建立直接连接隧道8 如果网络连接情况支持Node与Node之间建立直接连接隧道,流程可分为2种情况:a) 双方Node使用相同的安全协议自行协商密钥建立安全连接:一一连接发起方Node凭借从Mediator处获得的对方Node的真实1P地址等信息,直接与对方Node协肉密钥,建立安全隧道。一一在安全隧道建立之后,Node之间即可使用双方的虚拟1P进行网络通信。一一隧道拆除:双方通信完成后,可根据所使用隧道协议自行拆除隧道。b) 双方使用本框架时,Mediator所提供的密钥协商过程:一一源Node向Mediator提交与目标Node的直接连接隧道建立申请:源N
39、oder句Mediator提交的内容包括:对方Node的凹,隧道类型,隧道生存期等信息。一-Mediator将根据所获得信息,为该隧道连接生成隧道密钥FP,以及该隧道的TunnelID,生存周期,并将其分发到所涉及的Nodeo一一获得相同Tunnel_1D和YDB 078-2012 一-Node之问的通信:在隧道建立之日,Node之间即可使用双方的虚拟IP进行网络通信。一一隧道密钥的更新:在隧道密钥将要达到其生在期之前,Node需要在保持TunnelID不变的情况1,ri Mediator申请新的隧道密钥,密钥更新信息包括:Tunnel_ID,当前隧道密t月,更新操作标志。Mediator接收
40、到此信息后会将新的密钥分发给对应Node。一一隧道超叫:如隧道达到其牛存期最大值而Mediator未能接收到对应的密钥更新信息,则Mediator会释放所对应Tunnel_ID,隧道密钥等信息。隧道拆除:双方通信完成后,任;在一方可以ltMedi a tor发送隧道拆除申请。申请信息包括:Tunnel ID,隧道密铝,拆除标志。Mediator会释放所对应TunnelID,隧道密饲等信息。7.5.5 Node与Node之间经由Relay建立安全隧道Node与Node之间经巾Rel町建立安全隧道,流程如T:a) Mediator 向Node指据中转隧道的Relay设备,并分发密钥:Mediato
41、r会向Node指派合边的Relay设备,并将Relay的地址信息,为该中转隧道生成的隧道密钥,以及该隧道的Tunnel_ID,生存周期信息分发到所涉及的Nodeob) Mediator控制Relay:Mediator会根据Node的实际情况以及附载均衡算法,向Node指派合洁的Relav设备。c) Node 使用所获得的Tunnel_ID以及对应的隧道密钮,向Relay设备建立安全隧道,从而通过Relay设备的中转建立起中转|怪这。d) Node之间的通信:在中i转隧道建立之后;Node之间即可使用双)J的虚拟IP进行网络通信。e) 隧道密钥的吏新:在隧道密铅将要达到其生存期之前,Node需要
42、在保持TunnelID不变的情况下,liJ Mediator申请新的隧道密钥,密钊更新信息、包括:Tunnel ID,当前隧道帘钊更新操作标志。前ediator接收到此信息后会将新的辛苦钥分发给对应Node。f) 隧道超时:如隧道达到其生存期最大值而Mediator未能接收到对应的密钥更新信息,则Mediator会释放所对应Tunnel_ID,隧道密钥等信息:同时通知Tunnel_ID对应的所有Relay设备释放对应此Tunnel_ID而分自己的资源。g) 隧道拆除:双方通信完成后,任意一方可以向Mediator发送隧道拆除申请。申请信息包括:Tunnel ID,隧道密钥j拆除标志。Media
43、tor会释放其中所对应Tunnel_ID的所有资源:并通知Tunnel_ID对应的所有Rel.y设备释放对应Jl:tunnel_ID而分配的资源。7.5.6 Relay设备之间的信息同步a) Relay接受Mediator的指令,控制中转隧道。b) Relay设备同以接受哪些Node的中转隧远建立请求,由Mediator决定。c) Relay之间的信息转发策略,由特定算法决定。7.5.7 Mediator之间的信患同步a) 所有Mediator设备之间可进智通信。b) 所有Mediator对于No曲的功能都是相同的,只是性能不向。c) Mediator中的注册信息库是一个同步的分布式数据库,任
44、何Node通过任意Mediator设各所注册的信息都可出具有适当权限的Node通过其他Mediator查询获得。8 安全考虑8. 1 接口安全9 YDS 078-2012 该框架中涉及到JNocle-Mediator;Mecliator-Relay; Node-Relay; Nocle-Node 4手中接口都需要相应的立全认国机制。a) 在Node-Mecliator之间建议部署Radius或者口令认证技术。b) 在Mediator-Nocle,Mediator-Relay配置接口部分可以使用RemoteShell,但建议使用SSL!IPsec,或者其它加密隧道对其进行保护:如使用SNMP,建
45、议使用SecureSNMP;对于Mecliator系统,建议严格管理administrator/ root角色;在传输隧道自己置参数时,可使用安全MIME扩展以及HttpsI办议。8.2 防止资源耗尽类型的攻击对于该框架所走义的工作流程,可能道遇资源耗尽型攻击,为了防止这种攻击,可以从以下两个方面加强:10 a) 各实体通信之前必须通过认证:b) 隧道生存周期的管理,可以参照Ad-hoc网络对连接的管理方式,在Node-Mediator、Node-Relay之间开发一种Keep-ali ve I办议。YDB 078-2012 参考文献1 IETF RFC 2246TLS讪、议vl.OThe T
46、LS Protocol Version 1.0 2 IETF RFC 4346TLS协、议vl.1The Transport Layer Securi ty (TLS) Protocol Version 1. 1 3 IETF RFC 52461、LS协、议vl.2The Transport Layer Security (TLS) Protocol Version 1.2 4 IETF RFC 4306互联网密饲交换协议InternetKey Exchange (IKEv2) Protocol 5 IETF RFC 2406IP封装安全有效负载IPEncapsulating Security Payload (ESP) 6 IETF RFC 2402IP认证头协议IP Authentication Header
