论文部分内容阅读
随着世界各国的组织和企业之间越来越频繁的交流,人们对跨越广大地理范围的虚拟专用网VPN的安全性提出了越来越高的要求。MPLS VPN作为一种新的三层VPN技术,以其具有类似二层VPN的安全性而得到日益广泛的重视。而从一个可信网的角度来分析当前采用RFC 2547规范实现的MPLS VPN,可以发现对于该VPN的用户边界设备CE之间彼此并没有采用任何身份认证机制,这无形中给VPN的安全造成了潜在的安全漏洞。
针对目前的MPLS VPN网络安全状况和发展需求,本文实现了一个基于MPLS VPN的CE和CE之间的VPN成员认证机制。该机制主要是通过在CE路由器之间传送一个标志本VPN的身份认证令牌CE-to-CE Verification Token(CVT)。CVT令牌通过BGP协议的扩展共同体属性来承载,当CE发送BGP路由更新报文时,将该路径属性附加到路由更新中,传到对端CE处,并在对端处对该令牌进行验证。在具体的身份验证过程里,采用了随机数加MD5摘要作为CVT令牌的值,通信双方验证该令牌值进行的合法性,在得到验证结果之后,通过对BGP配置相应的路由策略,将未通过认证的路由更新过滤,拒绝将其加入本VPN的路由表。
通过对CE成员身份相互进行认证,使得本地CE能够确认与之交换路由信息的远端CE是属于本VPN的设备,以此确保CE设备接收的路由都是本VPN内部路由。这样,即使在服务供应商处错误配置时也能避免不同VPN路由的混淆,使得VPN用户拥有安全可信的VPN网络平台。