YDB 078-2012
基本信息
标准号: YDB 078-2012
中文名称:基于 IP 的虚拟网络动态构建框架
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1594354
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 078-2012.IP-Based virtual network dynamic construction Framework.
1范围
YDB 078报告研究虚拟网络的构建框架,提供--种通过虚拟网络构建技术,在复杂的真实物理网络中,按照功能划分结构简单的虚拟网络的方法。
YDB 078报告适用于组建统一安全策略的专用网络。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注8期的引用文件,仅所注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8-2001 信息技术词汇第8部分:安全
3术语和定义
GB/T 5271. 8-2001界定的术语和定义及以下术语和定义适用于本文件。
3.1
管理服务器mediator
用于管理Internet.上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撤离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。
3. 2
中继relay
用于虚拟网络内节点之间进行通信的数据转发设备。
3.3
节点node
位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。
4缩略语
下列缩略语适用于本文件。
CGN Carrier Grade NAT 运营商级NAT
IPsec Internet Protocol Security Internet协议安全
NAT Network Address Trans lation 网络地址翻译
1范围
YDB 078报告研究虚拟网络的构建框架,提供--种通过虚拟网络构建技术,在复杂的真实物理网络中,按照功能划分结构简单的虚拟网络的方法。
YDB 078报告适用于组建统一安全策略的专用网络。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注8期的引用文件,仅所注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8-2001 信息技术词汇第8部分:安全
3术语和定义
GB/T 5271. 8-2001界定的术语和定义及以下术语和定义适用于本文件。
3.1
管理服务器mediator
用于管理Internet.上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撤离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。
3. 2
中继relay
用于虚拟网络内节点之间进行通信的数据转发设备。
3.3
节点node
位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。
4缩略语
下列缩略语适用于本文件。
CGN Carrier Grade NAT 运营商级NAT
IPsec Internet Protocol Security Internet协议安全
NAT Network Address Trans lation 网络地址翻译
标准图片预览
标准内容
通信标准类技术报告
YDB078—2012
基于IP的虚拟网络动态构建框架IP-Based virtual network dynamic construction Framework2012-03-25印发
中国通信标准化协会
1范围
规范性引用文件
3术语和定义
缩略语
问题描述:
6应用场景
6.1大企业应用
6.2中小企业应用
家庭应用
个人应用
云计算服务
物联网应用
整体框架
物理环境部署示意图
框架中主要组件
框架结构
7.4关键部件主要功能
框架主要工作流程
8安全考虑
接口安全
8.2防止资源耗尽类型的攻击
参考文献
YDB0782012
YDB0782012
本技术报告目的是在建立一个在复杂的网络环境下建立基于IP的虚拟网络的构建框架。该框架规定了这种虚拟网络构建的流程,使用模式,相关设备之间的通信行为规范、标准接口,用于解决在复杂网络环境下,由于IPv4/IPv6共存,NAT/CGN和动态IP等各种因素带来的互联网上无法实现任意节点的直接连通问题,从而建立互联网上可以实现统一安全策略的虚拟网络。本技术报告致力于提供一个服务框架,在框架中定义一系列功能组件,标准服务流程,以及服务提供接口。在该框架中,将尽量采用现有标准协议和标准化流程以实现其服务功能。同时致力于保证现有的通信协议和通信设备在最小改动前提下,易于被包含于该框架内,可以通过标准界面使用该服务框架所提供的各项服务。
为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位:华为技术有限公司、中国移动通信集团公司、中兴通讯股份有限公司。本技术报告主要起草人:黄敏、王雨晨、刘利锋。I
HiiKAoNiKAca
1范围
基于IP的虚拟网络动态构建框架YDB078—2012
本技术报告研究虚拟网络的构建框架,提供一种通过虚拟网络构建技术,在复杂的真实物理网络中,按照功能划分结构简单的虚拟网络的方法。本技术报告适用于组建统一安全策略的专用网络。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。B/T5271.8-2001信息技术词汇第8部分:安全3术语和定义
GB/T5271.8-2001界定的术语和定义及以下术语和定义适用于本文件。3.1
管理服务器mediator
用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撤离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。3.2
中继relay
用于虚拟网络内节点之间进行通信的数据转发设备。3.3
节点node
位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。4缩略语
下列缩略语适用于本文件。
Carrier Grade NAT
InternetProtocolSecurity
NetworkAddressTranslation
Secure Socket Layer
运营商级NAT
Internet协议安全
网络地址翻译
安全套接层协议
iiiKAoNikAca
YDB0782012
5问题描述
Transport Layer Security
安全传输层协议
当前互联网规模越来越大,全球有数亿用户通过Internet实现互联。不同Internet用户在实际应用中,根据其不同的应用属性与安全性差异,具有不同的网络连接要求,即:分布在Internet的数亿计算机节点,可以根据应用需求组合成上干方个相对独立的网络,每个网络具有独立的应用策略和安全策略。对应这种需求趋势,网络安全互联技术正在从Site-to-SiteVPN日益转向规模更大的End-to-End节点间直接互联,虚拟网技术正面临日益复杂的节点查找、节点间互连、安全管理、策略管理、可扩展性、动态配置等复杂问题。
目前,问题主要体现在以下几个方面:由于IPv4/v6共存、NAT/CGN技术,动态IP地址技术打破了网络的统一命名、寻址、路由机a
制,影响到网络内节点之间的连接建立;因IPv4/v6共存、NAT/CGN技术的广泛使用,互联网节点之间的直接互连面临技术困难,现有b)
VPN技术难以满足在当前网络结构下,在任意联网条件的节点之间建立虚拟网络:由于当前网络访问控制、信息安全域的划分都需要依赖网络的物理拓扑结构,对于分处不同物c
理网络的节点,难以部署统一的安全策略;当前随着移动计算/普适计算/云计算模式的普及,信息资源与用户平台逐步分离,用户计算环d)
境的移动性和资源的动态配置已成趋势,在这种环境下,现有的VPN等虚拟网技术已经不能适应这种趋势下的配置、可扩展性和管理要求。6应用场景
6.1大企业应用
一般在比较大的组织或者企业都会部署VPN网关,用于连接分支机构与总部的网络,或者让出差员工可以远程登录到内部专有网络中。但是由于IPv4地址的消耗,组织或者企业可能没有足够多的IPv4公网地址来分配,或者希望用更有效的方式来部署公网IPv4地址,或者出于安全考虑希望不用对外暴露内部的网络拓扑结构,另外,由于IPv4地址的紧张,有可能运营商给企业分配的地址本身就是私网地址,私网公网的翻译将由运营商一级的NAT(CGN)来进行。所以要访问企业内部所有藏在VPN网关后面的设备和应用,需要解决连通性问题。6.2中小企业应用
中小企业可能没有足够的资金来部署专门的VPN设备,但是他们可能没有固定办公场所,允许员工在家办公,或者出差接入等等,但是他们又有组成一个虚拟局域网的需求。比如,可以共享对方电脑上的文件,可以完成某些协同工程,可以访问对方机器上的某些应用。这就要求虚拟的局域网功能能够像物理局域网一样,实现虚拟办公,让中小企业的员工感觉在同一个局域网环境下工作。6.3家庭应用
家庭中的各种设备和资源越来越多,而且也有越来越多的家用设备可以接入到互联网上,也就产生了远程访问家庭网络的需求。比如,在出差时可能会想从家里的个人电脑上下载一些文件,或者在公司时想通过摄像头监控家里情况,等等。但是,这些家庭设备的出口处往往部署了一个网关设备,这些家2
iiKAoNhikAca
YDB078—2012
庭设备往往不可能有静态的全局IP地址,一般都是隐藏在家庭网关NAT后面,甚至运营商提供的层层NAT之后。需要一种简便的方法访问层层NAT之后的家庭网络设备。6.4个人应用
接入互联网的用户,也有很多对等(peertopeer)通信的需求,要求通信的双方都能平等的发起连接与对方通信。最典型的应用场景就是网络在线游戏。网络游戏的玩家可以在互联网的任何位置,有些游戏需要玩家和合作伙伴进行直接对等的通信。还有很多其它类似的应用,比如,文件共享,照片共享,视频共享
6.5云计算服务
随着云计算时代的来临,任何人或者机构都可以通过互联网向云服务提供商订购某些服务。其中,由于大量的资源将在云中提供,而这些资源可能没有对外的公有访问地址,需要有一种机制能够方便的找到需要访问的云中资源。另外,由于云服务的灵活性,提供商和用户都将需要一个服务资源可以动态加入和退出的虚拟网络,使得这些资源可以就像在本地网络上一样使用。6.6物联网应用
在物联网应用背景下,所有的设备都需要通过互联网互联。设备数量众多,设备的部署无法像当前网络一样事先规划良好的拓扑结构,设备本身不像人一样,不具备自管理性与智能性。需要有一套具有极强扩展性、良好可管理性以及动态结构的虚拟网络组网框架对物联网内的设备组网进行管理,解决其中的各种问题,保证具有相同属性的不同设备,可以跨越地域和网络拓扑差异组网,使用户能以相同的应用策略使用之。
7整体框架
在“基于IP的虚拟网络动态构建框架”内,共有3类核心组件。分别被称为Mediator、Relay和Node。此3类组件在工程实现中可以作为3种独立的设备,或者作为同时包含有其中1或2个组件功能的若干设备在网络中部署。
7.1物理环境部署示意图
个典型的“基于IP的虚拟网络动态构建框架”在物理网络中的部署方式如图1所示:Mediatorl
\Netjofki
Trnterhet
Relay2:
Mediator2
Relays
图1基于IP的虚拟网络动态构建示意图3
HiiKAoNiKAca
YDB0782012
图1中Mediatorl、Mediator2表示分别部署在两个不同网络中的Mediator设备,Mediator设备之间实现数据共享与同步:Relayl3表示部署在不同网络中的Relay设备,Relay设备之间可保持高速网络连接用以交换数据:N1~N8表示网络中分布的Node节点计算机,其中N1,N2,N7,N8分处于不同的物理网络中,但根据应用策略需要划分在同一个虚拟网络中,以上节点计算机之间有条件建立“直连”隧道:N3、N4、N5、N6分处于不同的物理网络中,但根据应用策略需要划分在同一个虚拟网络中,上述节点由于处在NAT/CGN网络内,不具备相互之间直接建立“直连”隧道的条件,需要借助Mediator来帮助建立”直连”隧道。当上述节点的通信双方同时处于不同的NAT/CGN网络内时,只能经由各自的Relay设备建立“中转”隧道。
7.2框架中主要组件
Node表示位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。在Node是一个网关设备时,可通过Node将一个网段内无须安装特定功能软件的计算机接入虚拟网。Node在网络中必须具备以下条件:a)Node可以拥有合法的IP地址,或者可以位于NAT内网,被分配保留IP地址;b)Node必须能够直接访问,或者通过其NAT网关访问位于网络中的Mediator以及Relay。Mediator是整个框架的核心,用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撒离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。Mediator应具备以下条件:a)Mediator可看作是为网络中的计算机节点提供虚拟网络接入服务的一个“虚拟ISP”;b)在未来的Internet中会存在许多的Mediator,用户在有虚拟网组建/接入需要时,可以任选其一使用:
所有可用的Mediator的列表信息会通过某种公开渠道发布,比如通过知名网站的Webpage进c)
行发布:
网络中的所有Mediator之间可以进行网络通信:d)wwW.bzxz.Net
Mediator必须是可以被进行全Internet范围内寻址并且可被访问的。即:所有的Node必须e)
能够直接向某个Mediator建立连接。Relay是用于虚拟网络内节点之间进行通信的数据转发设备,其在虚拟网中的功能如同一个真实网络中的交换机或者路由器。Relay应具备以下条件:a)Relay是Node到Node之间通过加密隧道通信时的信息转发设备,可为虚拟网络内节点提供第二层或者第三层通信报文的转发服务。在某个虚拟网内部提供节点之间的二层通信协议报文转发服务时,其在虚拟网中功能如同一个交换机:在某个虚拟网内部提供节点之间的三层协议报文转发服务时,其在虚拟网中的功能如同一个三层交换机:在不同的虚拟网络之间提供报文转发服务时,其在虚拟网中的功能如同一个路由器:Relay必须是可以被进行全Internet范围内寻址并且可被访问的。即所有的Node必须能够直b)
接向某个Relay建立连接;
Relay向Node提供隧道服务,Node可以向Relay建立隧道连接。Relay接收源节点发送的双C
层报文,该双层报文包括作为数据封装的内层报文和外层报文头,此时外层报文头携带的目的地址为该Relay的全局IP地址,内层报文包括内层报文头,内层报文头携带的目的地址为目的节点在虚拟网内的私有IP地址;Relay根据目的节点在虚拟网内的私有IP地址查找目的节点的全局IP地址:Relay重新封装外层报文头,此时外层报文头携带的自的IP地址为目的节点的全局IP地址;Relay将重新封装的双层报文发送给所述目的节点:在未来的Internet中会存在许多的Relay,不同的Node可以根据Mediator的指令与选定的d)
某个Relay设备建立加密隧道,以实现Node之间的加密通信;4
iiiKAoNikAca
一个Mediator可以管理多个Relay,即Mediator必须知道Relay的信息;f)网络中不同的Relay之间可以建立高速的通信连接。7.3框架结构
YDB078—2012
个典型的“基于IP的虚拟网络动态构建框架”运行中,其中的3个核心组件在物理网中根据不同的功能层次可划分为3个独立的overlayNetwork,在同层次的OverlayNetwork的不同设备之间需要存在数据通信或者数据共享通道。Mn.
VN Mediators
VNNodes
Data Transfer
Tunnel
Control Link
图2基于IP的虚拟网络动态构建逻辑层次图图2中,N1、N2、N7、N8分处于不同的物理网络中,可以通过直连隧道构成一个策略统一的虚拟网络;N3、N4、N5、N6分处于不同的物理网络中,不具备相互之间建立“直连”隧道的条件,因此经由各自的Relay设备建立“中转”隧道,构成一个策略统一的虚拟网络。7.4关键部件主要功能
节点Node
Node必须是主机或者具有路由功能的网关,具有合法或者保留IP地址,可以访问Mediator以进行信息交互,可以向Relay建立隧道。其具备的功能如下:Node可以向Mediator提交自身当前使用的IP地址、服务端口,需要加入的虚拟专用网ID,a
身份认证信息,所支持的连接方式,隧道种类,隧道加密参数等信息:b)
Node既是隧道连接的客户端,同时又是服务器。即:Node即可对外部发起隧道连接,又可接收外部的隧道连接请求;
Node具有穿越NAT的隧道建立能力;Node向Mediator提供Client功能类型(是host或连接有site的gateway);如果Node此时是一个网关设备,Node会从Mediator处获得一个IP地址段;5
HiiKAoNiKAca
YDB0782012
f)Node从Mediator获知自身在某个虚拟网络内的虚拟IP地址、端口、虚拟网内DefaultRouter的IP地址、虚拟网内DNS服务器IP地址、虚拟网内域名等信息,并可据此配置Node:Node可以根据Mediator的反馈,配置Node的网络通信模式和所支持的隧道连接参数:g
h)Node支持两种密钥协商方法:1)由Node所支持隧道协议所支持的密钥协商方法。如:IPseC、SSL/TLS隧道协议族本身的密钥协商过程。
2)支持Mediator设备所提供的集中式密钥管理协议。7.4.2管理服务器Mediator
Mediator必须能在全Internet网络中被寻址。Mediator所具有的功能如下:a)Mediator处理Node使用虚拟组网服务的认证请求,对Node进行接入认证,确保Node具有使用Mediator组网服务的权限。即:Node通过自身标识及密钥信息,向Mediator表明其合法身份,Mediator确认该Node具有加入某个虚拟网络的权限;Mediator处理Node进入某个虚拟网络的登录请求。Node向Mediator提供其希望接入的虚拟b
网络的ID,以及对应的权限标识信息,Mediator验证其有效性及权限;Mediator需要向经过认证的VN-Node分配其对应的虚拟网标识ID,Node在虚拟网内IP地址/c
地址段,Node在虚拟网内的第一跳网关,Node在虚拟网内的节点域名,Node在虚拟网内的DNSServer的IP地址等信息;
d)Mediator对VN-Node的各种信息进行注册,包括:Node的类型(Host/Site)Node当前IP地址(可以是PublicIP,或者其当前PrivateIP),Node服务器功能所使用的端口,Node所支持的连接方式(如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接):Node所支持的隧道种类,Node支持的隧道参数等:Node向Mediator发起请求时所实际使用的IP地址,端口,加入信息记录时间等信息:Mediator需要跟踪Node的网络状态以及当前的网络参数。Node需要定时向Mediator发送当e)
前状态消息,以使Mediator确认Node当前在网络中的状态,若Mediator在一定时间内未能获得Node的网络状态信息,Mediator将会回收为该Node分配的资源:若Mediator发现Node的网络参数发生变化,Mediator会更新Node所对应的注册信息:Mediator允许某个Node查询处于同一个虚拟网的其他Node的注册信息;f)
Mediator可以同时管理多个Relay,根据负载均衡策略对Client的“中转隧道”通信请求指g)
派对应的Relay进行处理;
h)Mediator可以向Relay发送隧道配置参数,使Relay正确处理Node的“隧道中转”请求。7.4.3中继Relay
Relay是一个网络中的加密隧道转发设备。Relay必须能在全Internet网络中被寻址,同时可以接受Mediator的配置指令,a)
根据指令,接收特定Node发出的隧道建立请求,并且控制隧道,b)
c)可根据特定算法将某个Node的隧道内通信数据在不同Relay或者Node之间进行转发。7.5框架主要工作流程
图3描述了虚拟网络动态构建的工作流程:6
HiiKAoNiKAca
Node间建立直
接隧道
Mediator注册
Node登录
Node查询目
Node息
Node间建立中
转隧道
Node问数据通
过隧道通信
通信结策,拆
除隧谊:
图3Node间通信流程
7.5.1Node与Mediator的连接过程7.5.1.1Node登录虚拟网络
Node向Mediator发送接入请求消息,该请求消息包括:YDB 078—2012
a)Node对Mediator的使用权限认证:Node向Mediator发送自身ID及所属密钥或口令,通过身份认证过程,证明其具有使用Mediator的合法权限。Node通过认证后,可以从Mediator处获得“安全凭证”,并在其有效期内,凭此“安全凭证”与Mediator之间建立安全通信关系。在此阶段Node与Mediator可以建立类如SSL/TLS的连接。Node将向Mediator报告其当前网络属性,包括:Node的类型(Host/Site)Node当前IP地b)
址(可以是PublicIP,或者其当前PrivateIP),Node的名称,Node服务器功能所使用的端口,Node所支持的连接方式(如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接),Node所支持的隧道种类,Node支持的隧道参数,虚拟网标识ID。在Mediator确认此Node认证信息正确,可以成为该虚拟网络中的节点之后,Mediator向Nodec
分配其在虚拟网内IP地址或者地址段,Node在虚拟网内的第一跳网关,Node在虚拟网内的节点域名,Node在虚拟网内的DNSServer的IP地址等信息;Node会据此配置自身系统。7.5.1.2Mediator注册Node信息
在Node登录进入特定的虚拟网络后。Mediator会将Node所报告的自身网络属性信息,其为Node所分配的虚拟网信息(虚拟IP地址),以及Node向Mediator发起请求时所实际使用的真实IP地址、端口,节点名称,是否接受外部连接信息及注册的时间信息,作为注册信息在Mediator的分布式数据库中进行登记,以备查询。
7.5.1.3Mediator对Node的状态追踪Node需要定时向Mediator报告其当前网络属性。如Node的网络属性发生变化,Mediator将更新其“注册信息库”中关于此Node的信息:如果在限定时间内Node未能向Mediator报告其网络属性,Mediator会认为此Node已经离线,将会回收为此Node所分配的虚拟网资源,销毁其“安全凭证”,删除其在“注册信息库”中的内容。
YDB0782012
7.5.1.4Node安全凭证的更新
如果“安全凭证”到期,Node将需要重复“权限验证”过程,更新其安全凭证。7.5.1.5Node的注销
Node在离线之前,需要向Mediator提出注销请求,Mediator在获得此请求之后会回收为此Node所分配的虚拟网资源,销毁其“安全凭证”,册删除其在“注册信息库”中的内容。7.5.2Node向Mediator查询其他Node的信息a)Node向Mediator提交对特定Node的信息查询申请。通信发起方Node向Mediator提供其欲查询的Node的信息,信息可以是对方Node的名称,虚拟网络ID,目标Node在此虚拟网中的域名,虚拟IP地址,真实IP地址等。b)Mediator对Node的查询权限确认。Mediator根据提交查询申请的Node的ID,以及其查询的Node的ID进行确认。如果他们属于同一个虚拟网,则此次查询合法,否则Mediator会拒绝此次操作,向Node发送错误信息。c)Mediator向发起查询的Node返回对方信息。Mediator会向Node提交其所查询的节点在“注册信息库”中的内容,包括对方节点当前所支持的隧道种类和网络连接属性等信息,包括:对方所支持的隧道种类及参数,是否支持接收外部连接请求,是否在NAT后,能否支持NAT穿越技术等。
7.5.3Node建立隧道
源Node根据查询到的目标Node的注册信息,建立相应的网络隧道。a)
源Node尝试与自标Node建立直接道,该隧道可以是SSL/TLS隧道,IPsec隧道,也可以是某种特别设计的隧道:
如果源Node与目标Node无法直接建立隧道,则源Node向Mediator提交目标Node的信息b
在Mediator的帮助下,打通穿越NAT的洞,建立源Node和目标Node之间的隧道如果源Node与目标Node在Mediator的帮助下仍然,无法直接建立隧道,则可以选择“隧道c)
中转”通信方式,由Mediator分别与源Node,目标Node建立隧道,然后通过Mediator的中转,实现源Node和目标Node之间通信。7.5.4Node与Node建立“直接连接”隧道如果网络连接情况支持Node与Node之间建立直接连接隧道,流程可分为2种情况:a)双方Node使用相同的安全协议自行协商密钥建立安全连接:连接发起方Node凭借从Mediator处获得的对方Node的真实IP地址等信息,直接与对方Node协商密钥,建立安全隧道。
一一在安全隧道建立之后,Node之间即可使用双方的虚拟IP进行网络通信。一隧道拆除:双方通信完成后,可根据所使用隧道协议自行拆除隧道。b)双方使用本框架时,Mediator所提供的密钥协商过程:一源Node向Mediator提交与目标Node的“直接连接”隧道建立申请:源Node向Mediator提交的内容包括:对方Node的ID,隧道类型,隧道生存期等信息。一Mediator将根据所获得信息,为该隧道连接生成“隧道密钥”,以及该隧道的Tunnel_ID,生存周期,并将其分发到所涉及的Node。一获得相同Tunnel_ID和“隧道密钥”的Mediator可以在生存期时间内建立安全隧道8
YDB0782012
一一Node之间的通信:在“隧道”建立之后,Node之间即可使用双方的虚拟IP进行网络通信。一隧道密钥的更新:在“隧道密钥”将要达到其生存期之前,Node需要在保持Tunnel_ID不变的情况下,向Mediator申请新的“隧道密钥”,密钥更新信息包括:TunnelID,当前“隧道密钥”,更新操作标志。Mediator接收到此信息后会将新的密钥分发给对应Node。隧道超时:如隧道达到其生存期最大值而Mediator未能接收到对应的密钥更新信息,则Mediator会释放所对应Tunnel_ID,隧道密钥等信息。隧道拆除:双方通信完成后,任意一方可以向Mediator发送“隧道拆除”申请。申请信息包括:Tunnel_ID,隧道密钥,拆除标志。Mediator会释放所对应Tunnel_ID,隧道密钥等信息。7.5.5Node与Node之间经由Relay建立安全隧道Node与Node之间经由Relay建立安全隧道,流程如下:a)Mediator向Node指派“中转隧道”的Relay设备,并分发密钥:Mediator会向Node指派合适的Relay设备,并将Relay的地址信息,为该“中转隧道”生成的“隧道密钥”,以及该隧道的Tunnel_ID,生存周期信息分发到所涉及的Node。Mediator控制Relay:Mediator会根据Node的实际情况以及附载均衡算法,向Node指派合b)
适的Relay设备。
Node使用所获得的Tunnel_ID以及对应的“隧道密钥”,向Relay设备建立安全隧道,从而c
通过Relay设备的中转建立起“中转隧道”。Node之间的通信:在“中转隧道”建立之后,Node之间即可使用双方的虚拟IP进行网络通信。d)
隧道密钥的更新:在“隧道密钥”将要达到其生存期之前,Node需要在保持Tunnel_ID不变e)
的情况下,向Mediator申请新的“隧道密钥”,密钥更新信息包括:Tunnel_ID,当前“隧道密钥”,更新操作标志。Mediator接收到此信息后会将新的密钥分发给对应Node。隧道超时:如隧道达到其生存期最大值而Mediator未能接收到对应的密钥更新信息,则f)
Mediator会释放所对应Tunnel_ID,隧道密钥等信息;同时通知Tunnel_ID对应的所有Relay设备释放对应此Tunnel_ID而分配的资源。隧道拆除:双方通信完成后,任意一方可以向Mediator发送“隧道拆除”申请。申请信息包g)
括:Tunnel_ID,隧道密钥,拆除标志。Mediator会释放其中所对应Tunnel_ID的所有资源:并通知Tunnel_ID对应的所有Relay设备释放对应此Tunnel_ID而分配的资源。7.5.6Relay设备之间的信息同步Relay接受Mediator的指令,控制“中转隧道”。a)R
Relay设备可以接受哪些Node的中转隧道建立请求,由Mediator决定Relay之间的信息转发策略,由特定算法决定。c
Mediator之间的信息同步
所有Mediator设备之间可进行通信。a)
所有Mediator对于Node的功能都是相同的,只是性能不同。b)
Mediator中的“注册信息库”是一个同步的分布式数据库,任何Node通过任意Mediator设c
备所注册的信息都可由具有适当权限的Node通过其他Mediator查询获得。8安全考虑
8.1接口安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB078—2012
基于IP的虚拟网络动态构建框架IP-Based virtual network dynamic construction Framework2012-03-25印发
中国通信标准化协会
1范围
规范性引用文件
3术语和定义
缩略语
问题描述:
6应用场景
6.1大企业应用
6.2中小企业应用
家庭应用
个人应用
云计算服务
物联网应用
整体框架
物理环境部署示意图
框架中主要组件
框架结构
7.4关键部件主要功能
框架主要工作流程
8安全考虑
接口安全
8.2防止资源耗尽类型的攻击
参考文献
YDB0782012
YDB0782012
本技术报告目的是在建立一个在复杂的网络环境下建立基于IP的虚拟网络的构建框架。该框架规定了这种虚拟网络构建的流程,使用模式,相关设备之间的通信行为规范、标准接口,用于解决在复杂网络环境下,由于IPv4/IPv6共存,NAT/CGN和动态IP等各种因素带来的互联网上无法实现任意节点的直接连通问题,从而建立互联网上可以实现统一安全策略的虚拟网络。本技术报告致力于提供一个服务框架,在框架中定义一系列功能组件,标准服务流程,以及服务提供接口。在该框架中,将尽量采用现有标准协议和标准化流程以实现其服务功能。同时致力于保证现有的通信协议和通信设备在最小改动前提下,易于被包含于该框架内,可以通过标准界面使用该服务框架所提供的各项服务。
为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位:华为技术有限公司、中国移动通信集团公司、中兴通讯股份有限公司。本技术报告主要起草人:黄敏、王雨晨、刘利锋。I
HiiKAoNiKAca
1范围
基于IP的虚拟网络动态构建框架YDB078—2012
本技术报告研究虚拟网络的构建框架,提供一种通过虚拟网络构建技术,在复杂的真实物理网络中,按照功能划分结构简单的虚拟网络的方法。本技术报告适用于组建统一安全策略的专用网络。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。B/T5271.8-2001信息技术词汇第8部分:安全3术语和定义
GB/T5271.8-2001界定的术语和定义及以下术语和定义适用于本文件。3.1
管理服务器mediator
用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撤离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。3.2
中继relay
用于虚拟网络内节点之间进行通信的数据转发设备。3.3
节点node
位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。4缩略语
下列缩略语适用于本文件。
Carrier Grade NAT
InternetProtocolSecurity
NetworkAddressTranslation
Secure Socket Layer
运营商级NAT
Internet协议安全
网络地址翻译
安全套接层协议
iiiKAoNikAca
YDB0782012
5问题描述
Transport Layer Security
安全传输层协议
当前互联网规模越来越大,全球有数亿用户通过Internet实现互联。不同Internet用户在实际应用中,根据其不同的应用属性与安全性差异,具有不同的网络连接要求,即:分布在Internet的数亿计算机节点,可以根据应用需求组合成上干方个相对独立的网络,每个网络具有独立的应用策略和安全策略。对应这种需求趋势,网络安全互联技术正在从Site-to-SiteVPN日益转向规模更大的End-to-End节点间直接互联,虚拟网技术正面临日益复杂的节点查找、节点间互连、安全管理、策略管理、可扩展性、动态配置等复杂问题。
目前,问题主要体现在以下几个方面:由于IPv4/v6共存、NAT/CGN技术,动态IP地址技术打破了网络的统一命名、寻址、路由机a
制,影响到网络内节点之间的连接建立;因IPv4/v6共存、NAT/CGN技术的广泛使用,互联网节点之间的直接互连面临技术困难,现有b)
VPN技术难以满足在当前网络结构下,在任意联网条件的节点之间建立虚拟网络:由于当前网络访问控制、信息安全域的划分都需要依赖网络的物理拓扑结构,对于分处不同物c
理网络的节点,难以部署统一的安全策略;当前随着移动计算/普适计算/云计算模式的普及,信息资源与用户平台逐步分离,用户计算环d)
境的移动性和资源的动态配置已成趋势,在这种环境下,现有的VPN等虚拟网技术已经不能适应这种趋势下的配置、可扩展性和管理要求。6应用场景
6.1大企业应用
一般在比较大的组织或者企业都会部署VPN网关,用于连接分支机构与总部的网络,或者让出差员工可以远程登录到内部专有网络中。但是由于IPv4地址的消耗,组织或者企业可能没有足够多的IPv4公网地址来分配,或者希望用更有效的方式来部署公网IPv4地址,或者出于安全考虑希望不用对外暴露内部的网络拓扑结构,另外,由于IPv4地址的紧张,有可能运营商给企业分配的地址本身就是私网地址,私网公网的翻译将由运营商一级的NAT(CGN)来进行。所以要访问企业内部所有藏在VPN网关后面的设备和应用,需要解决连通性问题。6.2中小企业应用
中小企业可能没有足够的资金来部署专门的VPN设备,但是他们可能没有固定办公场所,允许员工在家办公,或者出差接入等等,但是他们又有组成一个虚拟局域网的需求。比如,可以共享对方电脑上的文件,可以完成某些协同工程,可以访问对方机器上的某些应用。这就要求虚拟的局域网功能能够像物理局域网一样,实现虚拟办公,让中小企业的员工感觉在同一个局域网环境下工作。6.3家庭应用
家庭中的各种设备和资源越来越多,而且也有越来越多的家用设备可以接入到互联网上,也就产生了远程访问家庭网络的需求。比如,在出差时可能会想从家里的个人电脑上下载一些文件,或者在公司时想通过摄像头监控家里情况,等等。但是,这些家庭设备的出口处往往部署了一个网关设备,这些家2
iiKAoNhikAca
YDB078—2012
庭设备往往不可能有静态的全局IP地址,一般都是隐藏在家庭网关NAT后面,甚至运营商提供的层层NAT之后。需要一种简便的方法访问层层NAT之后的家庭网络设备。6.4个人应用
接入互联网的用户,也有很多对等(peertopeer)通信的需求,要求通信的双方都能平等的发起连接与对方通信。最典型的应用场景就是网络在线游戏。网络游戏的玩家可以在互联网的任何位置,有些游戏需要玩家和合作伙伴进行直接对等的通信。还有很多其它类似的应用,比如,文件共享,照片共享,视频共享
6.5云计算服务
随着云计算时代的来临,任何人或者机构都可以通过互联网向云服务提供商订购某些服务。其中,由于大量的资源将在云中提供,而这些资源可能没有对外的公有访问地址,需要有一种机制能够方便的找到需要访问的云中资源。另外,由于云服务的灵活性,提供商和用户都将需要一个服务资源可以动态加入和退出的虚拟网络,使得这些资源可以就像在本地网络上一样使用。6.6物联网应用
在物联网应用背景下,所有的设备都需要通过互联网互联。设备数量众多,设备的部署无法像当前网络一样事先规划良好的拓扑结构,设备本身不像人一样,不具备自管理性与智能性。需要有一套具有极强扩展性、良好可管理性以及动态结构的虚拟网络组网框架对物联网内的设备组网进行管理,解决其中的各种问题,保证具有相同属性的不同设备,可以跨越地域和网络拓扑差异组网,使用户能以相同的应用策略使用之。
7整体框架
在“基于IP的虚拟网络动态构建框架”内,共有3类核心组件。分别被称为Mediator、Relay和Node。此3类组件在工程实现中可以作为3种独立的设备,或者作为同时包含有其中1或2个组件功能的若干设备在网络中部署。
7.1物理环境部署示意图
个典型的“基于IP的虚拟网络动态构建框架”在物理网络中的部署方式如图1所示:Mediatorl
\Netjofki
Trnterhet
Relay2:
Mediator2
Relays
图1基于IP的虚拟网络动态构建示意图3
HiiKAoNiKAca
YDB0782012
图1中Mediatorl、Mediator2表示分别部署在两个不同网络中的Mediator设备,Mediator设备之间实现数据共享与同步:Relayl3表示部署在不同网络中的Relay设备,Relay设备之间可保持高速网络连接用以交换数据:N1~N8表示网络中分布的Node节点计算机,其中N1,N2,N7,N8分处于不同的物理网络中,但根据应用策略需要划分在同一个虚拟网络中,以上节点计算机之间有条件建立“直连”隧道:N3、N4、N5、N6分处于不同的物理网络中,但根据应用策略需要划分在同一个虚拟网络中,上述节点由于处在NAT/CGN网络内,不具备相互之间直接建立“直连”隧道的条件,需要借助Mediator来帮助建立”直连”隧道。当上述节点的通信双方同时处于不同的NAT/CGN网络内时,只能经由各自的Relay设备建立“中转”隧道。
7.2框架中主要组件
Node表示位于网络中,已经安装了对应软件,具有构建虚拟网能力的主机(Host)或者网关设备(Gateway)。在Node是一个网关设备时,可通过Node将一个网段内无须安装特定功能软件的计算机接入虚拟网。Node在网络中必须具备以下条件:a)Node可以拥有合法的IP地址,或者可以位于NAT内网,被分配保留IP地址;b)Node必须能够直接访问,或者通过其NAT网关访问位于网络中的Mediator以及Relay。Mediator是整个框架的核心,用于管理Internet上的所有虚拟网络的建立与删除,处理Node的认证/登录/信息注册,虚拟网内节点的加入/撒离,节点之间的密钥交换,节点之间隧道的建立/控制,虚拟网中各种相关节点的通信策略分发、安全策略分发、路由策略分发等事务。Mediator应具备以下条件:a)Mediator可看作是为网络中的计算机节点提供虚拟网络接入服务的一个“虚拟ISP”;b)在未来的Internet中会存在许多的Mediator,用户在有虚拟网组建/接入需要时,可以任选其一使用:
所有可用的Mediator的列表信息会通过某种公开渠道发布,比如通过知名网站的Webpage进c)
行发布:
网络中的所有Mediator之间可以进行网络通信:d)wwW.bzxz.Net
Mediator必须是可以被进行全Internet范围内寻址并且可被访问的。即:所有的Node必须e)
能够直接向某个Mediator建立连接。Relay是用于虚拟网络内节点之间进行通信的数据转发设备,其在虚拟网中的功能如同一个真实网络中的交换机或者路由器。Relay应具备以下条件:a)Relay是Node到Node之间通过加密隧道通信时的信息转发设备,可为虚拟网络内节点提供第二层或者第三层通信报文的转发服务。在某个虚拟网内部提供节点之间的二层通信协议报文转发服务时,其在虚拟网中功能如同一个交换机:在某个虚拟网内部提供节点之间的三层协议报文转发服务时,其在虚拟网中的功能如同一个三层交换机:在不同的虚拟网络之间提供报文转发服务时,其在虚拟网中的功能如同一个路由器:Relay必须是可以被进行全Internet范围内寻址并且可被访问的。即所有的Node必须能够直b)
接向某个Relay建立连接;
Relay向Node提供隧道服务,Node可以向Relay建立隧道连接。Relay接收源节点发送的双C
层报文,该双层报文包括作为数据封装的内层报文和外层报文头,此时外层报文头携带的目的地址为该Relay的全局IP地址,内层报文包括内层报文头,内层报文头携带的目的地址为目的节点在虚拟网内的私有IP地址;Relay根据目的节点在虚拟网内的私有IP地址查找目的节点的全局IP地址:Relay重新封装外层报文头,此时外层报文头携带的自的IP地址为目的节点的全局IP地址;Relay将重新封装的双层报文发送给所述目的节点:在未来的Internet中会存在许多的Relay,不同的Node可以根据Mediator的指令与选定的d)
某个Relay设备建立加密隧道,以实现Node之间的加密通信;4
iiiKAoNikAca
一个Mediator可以管理多个Relay,即Mediator必须知道Relay的信息;f)网络中不同的Relay之间可以建立高速的通信连接。7.3框架结构
YDB078—2012
个典型的“基于IP的虚拟网络动态构建框架”运行中,其中的3个核心组件在物理网中根据不同的功能层次可划分为3个独立的overlayNetwork,在同层次的OverlayNetwork的不同设备之间需要存在数据通信或者数据共享通道。Mn.
VN Mediators
VNNodes
Data Transfer
Tunnel
Control Link
图2基于IP的虚拟网络动态构建逻辑层次图图2中,N1、N2、N7、N8分处于不同的物理网络中,可以通过直连隧道构成一个策略统一的虚拟网络;N3、N4、N5、N6分处于不同的物理网络中,不具备相互之间建立“直连”隧道的条件,因此经由各自的Relay设备建立“中转”隧道,构成一个策略统一的虚拟网络。7.4关键部件主要功能
节点Node
Node必须是主机或者具有路由功能的网关,具有合法或者保留IP地址,可以访问Mediator以进行信息交互,可以向Relay建立隧道。其具备的功能如下:Node可以向Mediator提交自身当前使用的IP地址、服务端口,需要加入的虚拟专用网ID,a
身份认证信息,所支持的连接方式,隧道种类,隧道加密参数等信息:b)
Node既是隧道连接的客户端,同时又是服务器。即:Node即可对外部发起隧道连接,又可接收外部的隧道连接请求;
Node具有穿越NAT的隧道建立能力;Node向Mediator提供Client功能类型(是host或连接有site的gateway);如果Node此时是一个网关设备,Node会从Mediator处获得一个IP地址段;5
HiiKAoNiKAca
YDB0782012
f)Node从Mediator获知自身在某个虚拟网络内的虚拟IP地址、端口、虚拟网内DefaultRouter的IP地址、虚拟网内DNS服务器IP地址、虚拟网内域名等信息,并可据此配置Node:Node可以根据Mediator的反馈,配置Node的网络通信模式和所支持的隧道连接参数:g
h)Node支持两种密钥协商方法:1)由Node所支持隧道协议所支持的密钥协商方法。如:IPseC、SSL/TLS隧道协议族本身的密钥协商过程。
2)支持Mediator设备所提供的集中式密钥管理协议。7.4.2管理服务器Mediator
Mediator必须能在全Internet网络中被寻址。Mediator所具有的功能如下:a)Mediator处理Node使用虚拟组网服务的认证请求,对Node进行接入认证,确保Node具有使用Mediator组网服务的权限。即:Node通过自身标识及密钥信息,向Mediator表明其合法身份,Mediator确认该Node具有加入某个虚拟网络的权限;Mediator处理Node进入某个虚拟网络的登录请求。Node向Mediator提供其希望接入的虚拟b
网络的ID,以及对应的权限标识信息,Mediator验证其有效性及权限;Mediator需要向经过认证的VN-Node分配其对应的虚拟网标识ID,Node在虚拟网内IP地址/c
地址段,Node在虚拟网内的第一跳网关,Node在虚拟网内的节点域名,Node在虚拟网内的DNSServer的IP地址等信息;
d)Mediator对VN-Node的各种信息进行注册,包括:Node的类型(Host/Site)Node当前IP地址(可以是PublicIP,或者其当前PrivateIP),Node服务器功能所使用的端口,Node所支持的连接方式(如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接):Node所支持的隧道种类,Node支持的隧道参数等:Node向Mediator发起请求时所实际使用的IP地址,端口,加入信息记录时间等信息:Mediator需要跟踪Node的网络状态以及当前的网络参数。Node需要定时向Mediator发送当e)
前状态消息,以使Mediator确认Node当前在网络中的状态,若Mediator在一定时间内未能获得Node的网络状态信息,Mediator将会回收为该Node分配的资源:若Mediator发现Node的网络参数发生变化,Mediator会更新Node所对应的注册信息:Mediator允许某个Node查询处于同一个虚拟网的其他Node的注册信息;f)
Mediator可以同时管理多个Relay,根据负载均衡策略对Client的“中转隧道”通信请求指g)
派对应的Relay进行处理;
h)Mediator可以向Relay发送隧道配置参数,使Relay正确处理Node的“隧道中转”请求。7.4.3中继Relay
Relay是一个网络中的加密隧道转发设备。Relay必须能在全Internet网络中被寻址,同时可以接受Mediator的配置指令,a)
根据指令,接收特定Node发出的隧道建立请求,并且控制隧道,b)
c)可根据特定算法将某个Node的隧道内通信数据在不同Relay或者Node之间进行转发。7.5框架主要工作流程
图3描述了虚拟网络动态构建的工作流程:6
HiiKAoNiKAca
Node间建立直
接隧道
Mediator注册
Node登录
Node查询目
Node息
Node间建立中
转隧道
Node问数据通
过隧道通信
通信结策,拆
除隧谊:
图3Node间通信流程
7.5.1Node与Mediator的连接过程7.5.1.1Node登录虚拟网络
Node向Mediator发送接入请求消息,该请求消息包括:YDB 078—2012
a)Node对Mediator的使用权限认证:Node向Mediator发送自身ID及所属密钥或口令,通过身份认证过程,证明其具有使用Mediator的合法权限。Node通过认证后,可以从Mediator处获得“安全凭证”,并在其有效期内,凭此“安全凭证”与Mediator之间建立安全通信关系。在此阶段Node与Mediator可以建立类如SSL/TLS的连接。Node将向Mediator报告其当前网络属性,包括:Node的类型(Host/Site)Node当前IP地b)
址(可以是PublicIP,或者其当前PrivateIP),Node的名称,Node服务器功能所使用的端口,Node所支持的连接方式(如:Node禁用其服务器功能,拒绝接受外部发起的隧道连接),Node所支持的隧道种类,Node支持的隧道参数,虚拟网标识ID。在Mediator确认此Node认证信息正确,可以成为该虚拟网络中的节点之后,Mediator向Nodec
分配其在虚拟网内IP地址或者地址段,Node在虚拟网内的第一跳网关,Node在虚拟网内的节点域名,Node在虚拟网内的DNSServer的IP地址等信息;Node会据此配置自身系统。7.5.1.2Mediator注册Node信息
在Node登录进入特定的虚拟网络后。Mediator会将Node所报告的自身网络属性信息,其为Node所分配的虚拟网信息(虚拟IP地址),以及Node向Mediator发起请求时所实际使用的真实IP地址、端口,节点名称,是否接受外部连接信息及注册的时间信息,作为注册信息在Mediator的分布式数据库中进行登记,以备查询。
7.5.1.3Mediator对Node的状态追踪Node需要定时向Mediator报告其当前网络属性。如Node的网络属性发生变化,Mediator将更新其“注册信息库”中关于此Node的信息:如果在限定时间内Node未能向Mediator报告其网络属性,Mediator会认为此Node已经离线,将会回收为此Node所分配的虚拟网资源,销毁其“安全凭证”,删除其在“注册信息库”中的内容。
YDB0782012
7.5.1.4Node安全凭证的更新
如果“安全凭证”到期,Node将需要重复“权限验证”过程,更新其安全凭证。7.5.1.5Node的注销
Node在离线之前,需要向Mediator提出注销请求,Mediator在获得此请求之后会回收为此Node所分配的虚拟网资源,销毁其“安全凭证”,册删除其在“注册信息库”中的内容。7.5.2Node向Mediator查询其他Node的信息a)Node向Mediator提交对特定Node的信息查询申请。通信发起方Node向Mediator提供其欲查询的Node的信息,信息可以是对方Node的名称,虚拟网络ID,目标Node在此虚拟网中的域名,虚拟IP地址,真实IP地址等。b)Mediator对Node的查询权限确认。Mediator根据提交查询申请的Node的ID,以及其查询的Node的ID进行确认。如果他们属于同一个虚拟网,则此次查询合法,否则Mediator会拒绝此次操作,向Node发送错误信息。c)Mediator向发起查询的Node返回对方信息。Mediator会向Node提交其所查询的节点在“注册信息库”中的内容,包括对方节点当前所支持的隧道种类和网络连接属性等信息,包括:对方所支持的隧道种类及参数,是否支持接收外部连接请求,是否在NAT后,能否支持NAT穿越技术等。
7.5.3Node建立隧道
源Node根据查询到的目标Node的注册信息,建立相应的网络隧道。a)
源Node尝试与自标Node建立直接道,该隧道可以是SSL/TLS隧道,IPsec隧道,也可以是某种特别设计的隧道:
如果源Node与目标Node无法直接建立隧道,则源Node向Mediator提交目标Node的信息b
在Mediator的帮助下,打通穿越NAT的洞,建立源Node和目标Node之间的隧道如果源Node与目标Node在Mediator的帮助下仍然,无法直接建立隧道,则可以选择“隧道c)
中转”通信方式,由Mediator分别与源Node,目标Node建立隧道,然后通过Mediator的中转,实现源Node和目标Node之间通信。7.5.4Node与Node建立“直接连接”隧道如果网络连接情况支持Node与Node之间建立直接连接隧道,流程可分为2种情况:a)双方Node使用相同的安全协议自行协商密钥建立安全连接:连接发起方Node凭借从Mediator处获得的对方Node的真实IP地址等信息,直接与对方Node协商密钥,建立安全隧道。
一一在安全隧道建立之后,Node之间即可使用双方的虚拟IP进行网络通信。一隧道拆除:双方通信完成后,可根据所使用隧道协议自行拆除隧道。b)双方使用本框架时,Mediator所提供的密钥协商过程:一源Node向Mediator提交与目标Node的“直接连接”隧道建立申请:源Node向Mediator提交的内容包括:对方Node的ID,隧道类型,隧道生存期等信息。一Mediator将根据所获得信息,为该隧道连接生成“隧道密钥”,以及该隧道的Tunnel_ID,生存周期,并将其分发到所涉及的Node。一获得相同Tunnel_ID和“隧道密钥”的Mediator可以在生存期时间内建立安全隧道8
YDB0782012
一一Node之间的通信:在“隧道”建立之后,Node之间即可使用双方的虚拟IP进行网络通信。一隧道密钥的更新:在“隧道密钥”将要达到其生存期之前,Node需要在保持Tunnel_ID不变的情况下,向Mediator申请新的“隧道密钥”,密钥更新信息包括:TunnelID,当前“隧道密钥”,更新操作标志。Mediator接收到此信息后会将新的密钥分发给对应Node。隧道超时:如隧道达到其生存期最大值而Mediator未能接收到对应的密钥更新信息,则Mediator会释放所对应Tunnel_ID,隧道密钥等信息。隧道拆除:双方通信完成后,任意一方可以向Mediator发送“隧道拆除”申请。申请信息包括:Tunnel_ID,隧道密钥,拆除标志。Mediator会释放所对应Tunnel_ID,隧道密钥等信息。7.5.5Node与Node之间经由Relay建立安全隧道Node与Node之间经由Relay建立安全隧道,流程如下:a)Mediator向Node指派“中转隧道”的Relay设备,并分发密钥:Mediator会向Node指派合适的Relay设备,并将Relay的地址信息,为该“中转隧道”生成的“隧道密钥”,以及该隧道的Tunnel_ID,生存周期信息分发到所涉及的Node。Mediator控制Relay:Mediator会根据Node的实际情况以及附载均衡算法,向Node指派合b)
适的Relay设备。
Node使用所获得的Tunnel_ID以及对应的“隧道密钥”,向Relay设备建立安全隧道,从而c
通过Relay设备的中转建立起“中转隧道”。Node之间的通信:在“中转隧道”建立之后,Node之间即可使用双方的虚拟IP进行网络通信。d)
隧道密钥的更新:在“隧道密钥”将要达到其生存期之前,Node需要在保持Tunnel_ID不变e)
的情况下,向Mediator申请新的“隧道密钥”,密钥更新信息包括:Tunnel_ID,当前“隧道密钥”,更新操作标志。Mediator接收到此信息后会将新的密钥分发给对应Node。隧道超时:如隧道达到其生存期最大值而Mediator未能接收到对应的密钥更新信息,则f)
Mediator会释放所对应Tunnel_ID,隧道密钥等信息;同时通知Tunnel_ID对应的所有Relay设备释放对应此Tunnel_ID而分配的资源。隧道拆除:双方通信完成后,任意一方可以向Mediator发送“隧道拆除”申请。申请信息包g)
括:Tunnel_ID,隧道密钥,拆除标志。Mediator会释放其中所对应Tunnel_ID的所有资源:并通知Tunnel_ID对应的所有Relay设备释放对应此Tunnel_ID而分配的资源。7.5.6Relay设备之间的信息同步Relay接受Mediator的指令,控制“中转隧道”。a)R
Relay设备可以接受哪些Node的中转隧道建立请求,由Mediator决定Relay之间的信息转发策略,由特定算法决定。c
Mediator之间的信息同步
所有Mediator设备之间可进行通信。a)
所有Mediator对于Node的功能都是相同的,只是性能不同。b)
Mediator中的“注册信息库”是一个同步的分布式数据库,任何Node通过任意Mediator设c
备所注册的信息都可由具有适当权限的Node通过其他Mediator查询获得。8安全考虑
8.1接口安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。