Linux環(huán)境下基于IPSec的VPN關鍵技術研究.pdf

1、隨著網絡技術的飛速發(fā)展和網絡時代的到來，社會各方面都強烈地依賴于信息資源和網絡環(huán)境的支撐，而互聯(lián)網原有的跨國界性、無主觀性、不設防性和缺少法律約束性等特性都在為信息化建設帶來機遇的同時也帶來了巨大的風險。如今，企業(yè)的發(fā)展越來越迅速，企業(yè)內部的分支機構分布也越來越廣，網絡逐漸成為他們交流和共享數(shù)據(jù)的主要平臺。由于建立專用網絡的建設成本非常高，一般企業(yè)都采用公用網絡進行傳輸，但這種情況下存在著嚴重的安全隱患。為了降低成本同時保障傳輸?shù)陌踩?/p>

2、和可靠性，人們提出了虛擬專用網(VPN)這一技術手段。目前有很多技術被應用于VPN實現(xiàn)，包括點對點隧道協(xié)議PPTP、安全套接層SSL、多協(xié)議標簽交換MPLS等。
　　 自從互聯(lián)網工程任務組(IETF)正式制定因特網協(xié)議安全(IPSec)作為開放性網絡層安全協(xié)議， IPSec便被引入到VPN的創(chuàng)建方案中來。IPSec工作在網絡層，為網絡層及其以上協(xié)議提供保護，是目前公認為的安全性較高、應用較廣的一種VPN技術。傳統(tǒng)的IPSec V

3、PN系統(tǒng)簡單而有效，能夠滿足基本的網絡安全需求，但隨著應用的推廣，也逐漸體現(xiàn)了一些局限性。
　　 本論文深入分析IPSec協(xié)議族，研究IPSec的工作原理和工作流程，并進一步研究IPSec在Linux環(huán)境下的實現(xiàn)機制，提出一種在Linux環(huán)境下的改進型企業(yè)自建IPSec VPN(ESISV-IL)系統(tǒng)，并完成對這種系統(tǒng)實現(xiàn)的框架、主要流程、主要功能模塊的研究，解決了IPSec在實際應用中存在的IPSec與網絡地址轉換(NAT)的

4、兼容性問題和安全策略管理問題，增強了系統(tǒng)對網絡地址端口轉換的支持，提高了管理員策略配置的效率。
　　 本論文主要完成了如下幾方面的工作：
　　 1、研究分析VPN與IPSec協(xié)議。本論文主要從VPN的定義、分類、連接模式和關鍵技術等方面對VPN進行了詳細的研究，并且分析了IPSec協(xié)議的體系結構，重點分析了認證頭協(xié)議AH、封裝安全載荷協(xié)議ESP以及因特網密鑰交換協(xié)議IKE。
　　 2、通過設計實現(xiàn)Windows環(huán)

5、境和Linux環(huán)境下基于IPSec的VPN，分析目前IPSecVPN在實際應用中存在的問題。
　　 3、本論文提出一種在Linux環(huán)境下的改進型企業(yè)自建IPSec VPN(ESISV-IL)系統(tǒng)，并對這種系統(tǒng)實現(xiàn)的框架、主要流程、主要功能模塊進行研究。本系統(tǒng)采用獨立模塊開發(fā)的IPSec的軟件實現(xiàn)，通過改進的UDP封裝法解決了IPSec支持NAT的問題，同時提出并設計了一種基于統(tǒng)一策略格式及策略數(shù)據(jù)庫的解決方案。
　　 4