MPLS—VPN環(huán)境中數據安全隱患分析與防護論文

時間：2022-10-09 07:59:19 論文范文我要投稿

相關推薦

　　通過對MPLS-VPN網絡環(huán)境進行分析，得出MPLS VPN環(huán)境中數據傳輸存在的安全隱患，針對安全隱患分析提出路由間認證、安全審計、Ipsec數據加密、冗余鏈路解決方案和措施。對網絡環(huán)境防護前后進行對比得出MPLS-VPN的應用特點。

MPLS—VPN環(huán)境中數據安全隱患分析與防護論文

　　企業(yè)信息化和規(guī)模的擴大使得不同地區(qū)之間數據實時互訪需求越發(fā)強烈，如何為企業(yè)提供高效、靈活、安全的網絡訪問技術，MPLS (多協(xié)議標簽交換)VPN應運而生。MPLS VPN通過結合數據鏈路層和三層路由技術的優(yōu)勢，在現代快速網絡中得到了廣泛的應用，尤其是電信運營商、大型企業(yè)及政府單位，但在MPLS VPN的環(huán)境中數據傳輸存在的隱患卻值得思考。

　　1 基本理論

　　1.1 MPLS簡介

　　多協(xié)議標簽交換(Multiprotocol Label Switching)起源于IPv4，是一種用于數據包快速交換和路由的體系。LSR(Label Switching Router)是MPLS網絡的基本構成單元，由LSR構成的網絡稱為MPLS域。位于MPLS域邊緣、連接其他用戶網絡的LSR稱為LER(Label Edge Router，邊緣LSR)，區(qū)域內部的LSR稱為核心LSR。

　　1.2 VPN簡介

　　VPN是一個可靠的，在公用網絡上搭建的臨時連接，它通過邏輯隧道連接地理上分散的網絡。VPN技術通常用于擴大企業(yè)網絡，通過VPN可以將遠程接入的用戶、企業(yè)分支機構和合作伙伴與企業(yè)內部之間建立信息安全連接，并能保證可靠的數據傳輸。VPN主要采用安全隧道技術，用戶認證技術，訪問控制技術和加解密技術。

　　1.3 MPLS VPN原理

　　MPLS VPN是一種基于MPLS技術的IP虛擬專用網絡，是在網絡路由和交換設備上應用MPLS技術[1]。它融合了傳統(tǒng)路由技術，使用標簽交換，簡化運營商網絡的路由選擇方式，可用來構造寬帶的企業(yè)內部網絡和外網，滿足多種靈活的業(yè)務需求[2]。

　　1.3.1 MPLS VPN的設備角色

　　組成MPLS VPN網絡的路由器共有三個類別：用戶邊緣路由器(CE)，運營商邊緣標簽轉發(fā)路由器(PE LSR)和運營商骨干標簽轉發(fā)路由器(P LSR)：

　　CE是用戶端邊緣路由器，VPN用戶的網絡終端直接與服務提供商相連的設備，為用戶提供到達PE路由器的連接。

　　PE LSR是運營商的邊緣標簽轉發(fā)路由器。它與用戶的邊緣路由器直接相連，對進入MPLS網絡的流量進行劃分，把相同的流量歸于同一個FEC然后分配相應的標簽，進行流量的劃分，標簽的壓入和彈出功能，并且負責和其他PE路由器進行交換路由信息，充當數據轉發(fā)的載體，把來自CE路由器的信息通過標簽交換傳遞給另一端的CE端[3]。

　　P LSR是運營商網絡除了邊緣路由器的核心設備，提供標簽分發(fā)和標簽交換功能，在數據包的傳輸過程中使用添加外層標簽來代替?zhèn)鹘y(tǒng)路由的繁雜查找。

　　1.3.2 標簽轉發(fā)原理

　　當數據包到達PE 路由器時，找到到達目的地的下一跳所給的標簽，通過CEF轉發(fā)給下一跳標簽轉發(fā)路由器，下一跳路由器接收到數據包時，執(zhí)行標簽轉發(fā)表，并為數據包交換標簽，再發(fā)給下一跳路由器。倒數第二跳標簽轉發(fā)路由器執(zhí)行標簽查找時，將數據包的標簽彈出，即倒數第二跳標簽機制，數據包傳輸到靠近分支的PE路由器，通過三層路由查找到達分支用戶端，實現MPLS VPN的這個傳輸過程[4]。

　　2 基于MPLS VPN網絡數據傳輸的隱患分析

　　為了對基于MPLS VPN網絡數據傳輸的隱患分析，本文使用GN3搭建網絡仿真，網絡拓撲圖如圖1所示，總部HQ網絡與分部Branch網絡通過由ISP構建的MPLS VPN網絡互聯(lián)。通過對總部網絡到達分部網絡的數據傳輸為基礎尋找安全隱患路徑。

　　2.1 PE-CE間的入侵

　　當總部的網絡鎖傳輸的數據到達邊緣時，MPLS VPN在PE和CE間只是簡單地使用IGP協(xié)議完成連接，而且企業(yè)邊緣設備和運營商邊緣設備的連接不屬于內部網絡，中間長距離的部署連接中間可能存在入侵問題，如圖2所示。

　　在PE和CE間只要插入一臺交換機，入侵者配置與CE和PE間相同網段的路由，就可以實現入侵，無論是數據的監(jiān)聽，還是偽裝成第三方與VPN內部進行通信，都是可行的。

　　2.2 運用商內部的配置失誤

　　當數據傳輸到運營商內部時，如果沒有實施必要的安全措施，可能存在內部人員的配置失誤導致不同用戶之間的數據傳輸混亂。如新PE端與連接分部網絡的邊緣路由器配置一致時，就可以造成分部網絡與總部之間的信息間斷，而且總部在沒有得到故障報告時，無法正確地感知失去分部的聯(lián)系，這樣可能造成數據的泄漏和第三方的惡意訪問和身份隱藏，如圖3所示。

　　2.3 MPLS VPN本身的不加密

　　在總部的CE端到分部的CE端之間使用wireshark抓包工具進行抓包分析，觀察數據以明文形式傳輸，可以直接截獲或者篡改。數據在MPLS VPN的環(huán)境中是以明文形式傳輸的，說明了MPLS VPN本身的不加密性。

　　2.4 單鏈路問題

　　用戶VPN依靠因特網服務提供商來進行不同地域之間的網絡互連，這就需要用戶支付專門的服務費用，因此一般的用戶只通過單鏈路來維持通信，這樣容易造成鏈路故障，對于某些實時的企業(yè)或政府來說有時損失時巨大的。

　　3 防護措施

　　MPLS VPN的安全性問題使得它無法單一的為一些對數據傳輸的安全性有特殊要求的客戶服務如電子商務應用、金融行業(yè)的應用等，單純依靠網絡服務提供商提供的網絡服務存在一定的安全漏洞。因此用戶需要在自己管理的網絡范圍內以及對于提供商的鏈路配置采取一定的安全措施，雖然會增加用戶管理和配置網絡的復雜性，但可以增加額外的安全可靠[5]。

　　3.1 路由間認證

　　消息摘要算法(MD5)在CE-PE間是用OSPF協(xié)議的，OSPF協(xié)議對路由器之間的所有數據包都具有認證的能力。認證有簡單口令認證和MD5加密校驗和認證。簡單口令認證雖然可以起到一定的作用，但是它是明文傳輸，沒有經過加密，很容易被中間網絡截獲并竊取。所以建議使用MD5認證來解決路由認證問題[6]。

　　配置完MD5認證后通過對比可以發(fā)現CE-PE間的入侵者已經斷開鄰居關系。如圖4所示.

　　3.2 安全審計

　　無論是內部人員的誤操作還是外部入侵者的惡意訪問，都可能導致網絡的癱瘓，如何清晰的了解網絡資源的使用情況和訪問者的實施操作動作，是提高系統(tǒng)安全性的重要舉措。采用日志審計，把系統(tǒng)資源的使用情況和訪問者的操作記錄下，在追究責任和排查問題時也有據可查。

　　3.3 Ipsec數據加密

　　IPSEC(因特網安全協(xié)議)是專門針對TCP/IP路由協(xié)議沒有安全機制而制定的，它工作在IP層，為IP層及其以上協(xié)議提供保護。Ipsec通過加密隧道傳送信息，提供訪問控制機制、信息的源認證、數據的私密性、完整性、防重放保護、自動密鑰管理等安全服務[7]。

　　ISP所提供的MPLS VPN骨干網服務中，所提供的安全措施基本為一般的認證、數據完整性和機密性方法，滿足不了用戶的數據安全性需求，因此用戶可通過在邊緣設備CE上進行Ipsec數據加密，保障用戶數據在公網上傳輸的安全。在總部的CE端到分部的CE端之間使用wireshark抓包，分析經過Ipsec加密后的數據如圖5所示。

　　3.4 冗余鏈路

　　在骨干網設備連接中，單一鏈路連接較容易實現，但一個簡單的故障都會造成網絡的中斷.因此為了保持網絡的穩(wěn)定性，在實際組網過程中通常都使用備份連接，以提高網絡的穩(wěn)定性、健壯性。同時為了使線路利用最大化，可在線路上應用負載均衡技術。

　　4 總結

　　本文分析了MPLS VPN環(huán)境中數據傳輸的安全隱患，分析了中間網絡侵入問題、第三方隱藏、明文傳輸、單鏈路故障等常見問題，提出了相應的保護措施保證了路由間的認證、數據的私密性、完整性和不間斷性。對網絡拓撲防護前后進行配置分析，發(fā)現各有優(yōu)缺點。對于簡單的MPLS VPN，它支持高速聯(lián)網服務，且可伸縮性強，但數據安全性低，適用于MPLS VPN的兩端位置固定不變、對網絡的服務質量、實時性和可管理性要求較高的客戶，例如辦公地點固定的超市、連鎖遠程辦公點;而對于IPSec加密的MPLS VPN適用于位置分部廣泛，比如各街道辦事處、連鎖店等、移動站點多、對線路的保密性和可用性要求比較苛刻的但對實時性要求不高的用戶，例如教育行業(yè)、設計公司高度機密的企業(yè)等。

【MPLS—VPN環(huán)境中數據安全隱患分析與防護論文】相關文章：

分析電子商務中的數據安全論文04-26

Hadoop物聯(lián)網數據挖掘的算法分析論文10-10

實驗數據的計量經濟分析挑戰(zhàn)與機遇論文10-10

大數據與統(tǒng)計學分析方法比較論文11-13

環(huán)境分析與現代儀器分析方法論文09-17

環(huán)境公益訴訟濫用的規(guī)制分析論文10-10