Linux環(huán)境下基于IPSec的VPN關(guān)鍵技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時代的到來，社會各方面都強烈地依賴于信息資源和網(wǎng)絡(luò)環(huán)境的支撐，而互聯(lián)網(wǎng)原有的跨國界性、無主觀性、不設(shè)防性和缺少法律約束性等特性都在為信息化建設(shè)帶來機遇的同時也帶來了巨大的風(fēng)險。如今，企業(yè)的發(fā)展越來越迅速，企業(yè)內(nèi)部的分支機構(gòu)分布也越來越廣，網(wǎng)絡(luò)逐漸成為他們交流和共享數(shù)據(jù)的主要平臺。由于建立專用網(wǎng)絡(luò)的建設(shè)成本非常高，一般企業(yè)都采用公用網(wǎng)絡(luò)進(jìn)行傳輸，但這種情況下存在著嚴(yán)重的安全隱患。為了降低成本同時保障傳輸?shù)陌踩?/p>

2、和可靠性，人們提出了虛擬專用網(wǎng)(VPN)這一技術(shù)手段。目前有很多技術(shù)被應(yīng)用于VPN實現(xiàn)，包括點對點隧道協(xié)議PPTP、安全套接層SSL、多協(xié)議標(biāo)簽交換MPLS等。
　　 自從互聯(lián)網(wǎng)工程任務(wù)組(IETF)正式制定因特網(wǎng)協(xié)議安全(IPSec)作為開放性網(wǎng)絡(luò)層安全協(xié)議， IPSec便被引入到VPN的創(chuàng)建方案中來。IPSec工作在網(wǎng)絡(luò)層，為網(wǎng)絡(luò)層及其以上協(xié)議提供保護(hù)，是目前公認(rèn)為的安全性較高、應(yīng)用較廣的一種VPN技術(shù)。傳統(tǒng)的IPSec V

3、PN系統(tǒng)簡單而有效，能夠滿足基本的網(wǎng)絡(luò)安全需求，但隨著應(yīng)用的推廣，也逐漸體現(xiàn)了一些局限性。
　　 本論文深入分析IPSec協(xié)議族，研究IPSec的工作原理和工作流程，并進(jìn)一步研究IPSec在Linux環(huán)境下的實現(xiàn)機制，提出一種在Linux環(huán)境下的改進(jìn)型企業(yè)自建IPSec VPN(ESISV-IL)系統(tǒng)，并完成對這種系統(tǒng)實現(xiàn)的框架、主要流程、主要功能模塊的研究，解決了IPSec在實際應(yīng)用中存在的IPSec與網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的

4、兼容性問題和安全策略管理問題，增強了系統(tǒng)對網(wǎng)絡(luò)地址端口轉(zhuǎn)換的支持，提高了管理員策略配置的效率。
　　 本論文主要完成了如下幾方面的工作：
　　 1、研究分析VPN與IPSec協(xié)議。本論文主要從VPN的定義、分類、連接模式和關(guān)鍵技術(shù)等方面對VPN進(jìn)行了詳細(xì)的研究，并且分析了IPSec協(xié)議的體系結(jié)構(gòu)，重點分析了認(rèn)證頭協(xié)議AH、封裝安全載荷協(xié)議ESP以及因特網(wǎng)密鑰交換協(xié)議IKE。
　　 2、通過設(shè)計實現(xiàn)Windows環(huán)

5、境和Linux環(huán)境下基于IPSec的VPN，分析目前IPSecVPN在實際應(yīng)用中存在的問題。
　　 3、本論文提出一種在Linux環(huán)境下的改進(jìn)型企業(yè)自建IPSec VPN(ESISV-IL)系統(tǒng)，并對這種系統(tǒng)實現(xiàn)的框架、主要流程、主要功能模塊進(jìn)行研究。本系統(tǒng)采用獨立模塊開發(fā)的IPSec的軟件實現(xiàn)，通過改進(jìn)的UDP封裝法解決了IPSec支持NAT的問題，同時提出并設(shè)計了一種基于統(tǒng)一策略格式及策略數(shù)據(jù)庫的解決方案。
　　 4