（通信与信息系统专业论文）linux环境下基于ipsec的vpn关键技术研究.pdf

l i n u x 环境下基于i p s e c 的v p n 关键技术研究 lin u x 环境下基于lp s e c 的v p n 关键技术研究 专业：通信与信息系统 硕士生：武晓菲 指导教师：刘红梅副教授 蔡国扬讲师 摘要 随着网络技术的飞速发展和网络时代的到来，社会各方面都强烈地依赖于信息资 源和网络环境的支撑，而互联网原有的跨国界性、无主观性、不设防性和缺少法律约 束性等特性都在为信息化建设带来机遇的同时也带来了巨大的风险。如今，企业的发 展越来越迅速，企业内部的分支机构分布也越来越广，网络逐渐成为他们交流和共享 数据的主要平台。由于建立专用网络的建设成本非常高，一般企业都采用公用网络进 行传输，但这种情况下存在着严重的安全隐患。为了降低成本同时保障传输的安全性 和可靠性，人们提出了虚拟专用网( v p n ) 这一技术手段。目前有很多技术被应用于 v p n 实现，包括点对点隧道协议p p t p 、安全套接层s s l 、多协议标签交换m p l s 等。 自从互联网工程任务组( i e t f ) 正式制定因特网协议安全( i p s e c ) 作为开放性 网络层安全协议，i p s e c 便被引入到v p n 的创建方案中来。i p s e c 工作在网络层， 为网络层及其以上协议提供保护，是目前公认为的安全性较高、应用较广的一种v p n 技术。传统的i p s e cv p n 系统简单而有效，能够满足基本的网络安全需求，但随着应 用的推广，也逐渐体现了一些局限性。 本论文深入分析i p s e c 协议族，研究i p s e c 的工作原理和工作流程，并进一步研 究i p s e c 在l i n u x 环境下的实现机制，提出一种在l i n u x 环境下的改进型企业自建 i p s e cv p n ( e s i s v - i l ) 系统，并完成对这种系统实现的框架、主要流程、主要功能 模块的研究，解决了i p s e c 在实际应用中存在的i p s e c 与网络地址转换( n a t ) 的兼 中山大学硕士研究生学位论文 容性问题和安全策略管理问题，增强了系统对网络地址端口转换的支挣，提高了管理 员策略配置的效率。 本论文主要完成了如下几方面的工作： l 、研究分析v p n 与i p s e c 协议。本论文主要从v p n 的定义、分类、连接模式 和关键技术等方面对v p n 进行了详细的研究，并且分析了i p s e c 协议的体系结构， 重点分析了认证头协议a h 、封装安全载荷协议e s p 以及因特网密钥交换协议i k e 。 2 、通过设计实现w i n d o w s 环境和l i n u x 环境下基于i p s e c 的v p n ，分析目前i p s e c v p n 在实际应用中存在的问题。 3 、本论文提出一种在l i n u x 环境下的改进型企业自建i p s e cv p n ( e s i s v - i l ) 系统，并对这种系统实现的框架、主要流程、主要功能模块进行研究。本系统采用独 立模块开发的i p s e c 的软件实现，通过改进的u d p 封装法解决了i p s e c 支持n a t 的 问题，同时提出并设计了一种基于统一策略格式及策略数据库的解决方案。 4 、通过对e s i s v - i l 系统进行设计实验及理论论证，本论文证明e s i s v - i l 系统 能够有效解决i p s e c 穿越n a t 的问题和安全策略管理配置问题，能够与现有网络环 境协调工作，具有可靠性与可扩展性。 关键词：l i n u x ，虚拟专用网，因特网协议安全，网络地址转换，安全策略管理 l i n u x 环境下基于i p s e c 的v p n 关键技术研究 k e y t e c h n o l o g i e sr e s e a r c h o f l ps e c b a s e dv p n o nl i n u x m a j o r ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m s n a m e ：w ux i a o f e i s u p e r v i s o r ：a s s o c i a t ep r o f l i uh o n g r n e i i n s t r u c t o rc a ig u o y a n g a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y , a l la s p e c t so fs o c i e t ya r es t r o n g l y d e p e n d e n to nt h ei n f o r m a t i o nr e s o u r c e sa n dn e t w o r ke n v i r o n m e n ts u p p o r t m e n t i - - i o w e v c r , t h en a t u r e so ft h ei n t e m e t ，s u c ha sc r o s s b o r d e r , n o s u b j e c t i v e n e s s ，u n d e f e n d e da n dt h e l a c ko fl e g a l l yb i n d i n g ，b r i n go p p o r t u n i t i e s 鹊w e l l 硒a ne n o r m o u sr i s kf o ri n f o r m a t i o n c o n s t r u c t i o n t o d a y , t h eb r a n c ho f f i c e sa r ei n c r e a s i n g l yw i d e l yd i s t r i b u t e dw i mt h er a p i d d e v e l o p m e n to fe n t e r p r i s e s ，a n dn e t w o r kc o m m u n i c a t i o ng r a d u a l l yb e c o m e st h em a i n p l a t f o r mf o rt h e mt os h a r ed a t a s i n c et h ec o s to fe s t a b l i s h i n gp r i v a t en e t w o r kc o n s t r u c t i o n i sv e r yh i g h ，c o m p a n i e st e n dt ou s ep u b l i ct r a n s p o r tn e t w o r k b u ti nt h i sc a s et h e r ei sa s e r i o u ss e c u r i t yr i s k i no r d e rt or e d u c et r a n s m i s s i o nc o s t sw h i l ee n s u r i n gt h es a f e t ya n d r e l i a b i l i t y , v i r t u a lp r i v a t en e t w o r k ( v p n ) h a sb e e np r o p o s e d t h e r ea r el o t so ft e c h n o l o g i e s u s i n gt oe s t a b l i s hav p n ，i n c l u d i n gp o i n tt op o i n tt u n n e l i n gp r o t o c o l ( p p t p ) ，s e c u r e s o c k e t sl a y e r ( s s l ) ，m u l t i p r o t o c o ll a b e ls w i t c h i n g ( m p l s ) ，e t e s i n c ei n t e m e tp r o t o c o ls e c u r i t y ( i p s e c ) w a ss e tu pa sa no p e nn e t w o r kl a y e rs e c u r i t y p r o t o c o lb yt h ei n t e r n e te n g i n e e r i n gt a s kf o r c e ( i e t f ) ，i th a sb e e ni n t r o d u c e dt o t h e c o n s t r u c t i o no fv p n i p s e c ，w h i c hw o r k si nt h en e t w o r kl a y e ra n do f f e rp r o t e c t i o nf o r n e t w o r kl a y e ra n da b o v e ，i sr e c o g n i z e da s0 1 1 0o ft h es a f e s ta n dm o s tw i d e l yu s e dv p n t e c h n o l o g y t r a d i t i o n a li p s e cv p ns y s t e mi ss i m p l ea n de f f e c t i v et om e e tt h eb a s i cn e e d s o fn e t w o r ks e c u r i t y b u tw i t ht h ep r o m o t i o no fa p p l i c a t i o n s ，i tr e f l e c t ss o m el i m i t a t i o n s 中山大学硕十研究生学位论文 t h i sp a p e rd e e p l yr e s e a r c h si nt h et h e o r yo fi p s e cp r o t o c o l s ，a sw e l la st h ew o r k i n g p r i n c i p l ea n dw o r k f l o w i tm a k e ss o m ef u r t h e rs t u d i e so f i p s e ci m p l e m e n t a t i o ni nl i n u x e n v i r o n m e n t ，i n c l u d i n gp r o p o s i n ga ni m p r o v e de n t e r p r i s es e l f - b u i l ti p s e cv p ns y s t e mi n l i n u xe n v i r o n m e n t ( e s i s v - i ls y s t e m ) a n ds t u d i n gt h ef r a m e w o r k ，t h em a i nw o r k f l o wa n d t h em a i nf u n c t i o nm o d u l e so ft h i ss y s t e m t h i sp a p e ra l s os l o v e st h ep r o b l e m sa b o u t i p s e c - n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ) c o m p a t i b i l i t yi s s u e sa n ds e c u r i t yp o l i c y m a n a g e m e n t ，c a u s i n gt h es y s t e me n h a n c i n gt h es u p p o r t i n go fn e t w o r ka d d r e s sp o r t t r a n s l a t i o na n di n e r e a s e i n gt h ee f f i c i e n c yo ft h ea d m i n i s t r a t o rp o l i c yc o n f i g u r a t i o n t h i sp a p e rh a sc o m p l e t e dt h ef o l l o w i n ga s p e c t s ： 1 、v p na n di p s e cp r o t o c o la n a l y s i s t h i sp a p e rh a sm a d es o m ed e t a i lr e s e a r c ho f v p n ， s u c ha st h ed e f i n i t i o n , c l a s s i f i c a t i o n ，c o n n e c t i o nm o d ea n dk e yt e c h n o l o g i e s ，e t c i ta l s o s t u d i e st h ei p s e cp r o t o c o la r c h i t e c t u r e ，f o c u s i n go na n a l y s i so ft h ea u t h e n t i c a t i o nh e a d e r p r o t o c o la h ，e s pe n c a p s u l a t i n gs e c u r i t yp a y l o a dp r o t o c o la n di n t e m e tk e ye x c h a n g e p r o t o c o li k e 2 、t h i sp a p e rd e s i g n sa n di m p l e m e n t si p s e cv p n b a s e do nt h e s ee x p e r i m e n t s ，i t a n a l y z e st h ec u r r e n tp r a c t i c a la p p l i c a t i o np r o b l e m so fl p s e cv p n 3 、t h i sp a p e rp r o p o s e sa ni m p r o v e de n t e r p r i s es e l f - b u i l ti p s e cv p ns y s t e mi nl i n u x e n v i r o n m e n t ( e s i s v - i ls y s t e m ) a n ds t u d i e st h ef r a m e w o r k ，m a i nw o r k f l o wa n dm a i n f u n c t i o nm o d u l e so ft h i ss y s t e m t h i ss y s t e mu s e sa ni n d e p e n d e n ts o f t w a r em o d u l et o i m p l e m e n ti p s e ca n dp r o p o s e sa ni m p r o v e dm e t h o dt os o l v et h ei p s e c - n a tc o m p a t i b i l i t y i s s u e s i ta l s op r o p o s e da n dd e s i g n e dan e ws o l u t i o nb a s e do nt h eu n i f i e df o r m a ta n d d a t a b a s eo fs t r a t e g y 4 、b a s e do i le x p e r i m e n t a la n dt h e o r e t i c a la r g u m e n t so ne i s i s v - i ls y s t e m ，t h i sp a p e r p r o v e st h a te s i s v o l ls y s t e mc a ns o l v et h ep r o b l e m so fi p s e c - n a tc o m p a t i b i l i t ya n d s e c u r i t yp o l i c ym a n a g e m e n te f f e c t i v e l y f o r t h e r m o r e ，i tp r o v e st h a tt h ee s i s v o l ls y s t e m i sr e l i a b l e ，e x t e n s i b l ea n dc a nc o o r d i n a t ew o r kw i t he x i s t i n gn e t w o r ke n v i r o n m e n t k e y w o r d s ：l i n u x ，v p n ，i p s e e ，n a t , s e c u r i t yp o l i c ym a n a g e m e n t l i n u x 环境下摹于i p s e c 的v p n 关键技术研究 图表目录 图2 1v p n 组网方案图6 图2 2v p n 传输模式图1 1 图2 3 传输模式封装方法图1 2 图2 - 4 隧道模式封装方法图。l2 图3 1i p s e c 协议体系结构图1 7 图3 2i p s e c 处理流程图19 图3 3i p s e c 在t c p i p 中的实现框图2 0 图3 - 4 基于b i t w 实现方式的典型应用框架图。2 0 图3 5a h 头格式图2 4 图3 6e s p 包格式图2 7 图3 7i k e 使用的i s a k m p 消息格式图3 0 图3 8 通用载荷头图3 0 图3 - 9 典型的i k e 消息图31 图4 - l主机到主机的i p s e cv p n 图。3 4 图4 2 传输模式网络测试结果图。3 5 图4 3网关到网关的i p s e cv p n 图3 6 图4 4 隧道建立前抓包截图3 7 图4 5 隧道建立后抓包截图3 7 图4 6i p s e cv p n 拓扑图4 2 图5 1i p s e c 系统框架图4 7 图5 2 数据包发送处理流程图4 9 图5 3 数据包接收处理流程图5 0 图5 - 4a h e s p 模块发送数据包流程图5 2 图5 5a h e s p 模块接收数据包流程图5 3 图5 - 6改进的u d p 封装方案详细通信的过程5 9 图5 7u d p 封装格式图6 0 中山大学硕士研究生学位论文 图5 8 改进的u d p 封装流程6 1 图5 - 9 改进的u d p 解封装流程6 1 图5 1 0s p s 组成图6 2 图5 1 1s p s 在i p s e c 系统中的实施拓扑图6 3 图5 1 2 增加新策略的处理流程图6 5 图5 1 3n a t 穿越实验拓扑图6 6 图5 1 4 主机a e t h 0 网口上的数据包6 8 图5 1 5v p n 设备b e t h 2 网口上的数据6 9 表4 1网关到网关的i p s e ev p n 具体配置表3 6 表4 2 应用i p s e e 策略前、后传输i c m p 包测试表3 8 表4 3i p s e e 组件对n a t 的支持能力表4 4 表5 1n a t 穿越实验设备配置表6 6 l i n u x 环境下基于i p s e c 的v p n 关键技术研究 常用缩略词中英文对照表 v p nv i r t u a l p r i v a t en e t w o r k 虚拟专用网 i e t fh l t 锄e te n g i n e e r i n gt a s kf o r c e i n t e r a c t 工程任务组 a ha u t h e n t i c a t i o nh e a d e r 认证报头 e s p e n c a p s u l a t i n gs e c u r i t yp a y l o a d 封装安全载荷 i k ei n t e m e tk e y e x c h a n g e 因特网密钥交换协议 l 2 t p l a y e r2t u n n e l i n gp r o t o c o l 二层隧道协议 l 溥c r e q u e s tf o rc o m m e n t s 请求评议 h m a ch a s hm e s s a g ea u t h e n t i c a t i o nc o d e哈希信息验证码 m d 5 m e s s a g ed i g e s tv e r s i o n5讯息摘要5 n a tn e t w o r ka d d r e s st r a n s l a t i o n 网络地址转换 d e sd a t ae n c r y p t i o ns t a n d a r d数据加密标准 a e sa d v a n c e de n c r y p t i o ns t a n d a r d 高级加密标准 s h as e c u r eh a s h a l g o r i t h m 安全散列算法 a d s l a s y m m e t r i c a ld i g i t a ls u b s c r i b e rl 0 0 p 非对称数字用户环线 w i f 1w i r e l e s sf i d e l i t y 无线保真技术 i s p i n t c m e ts e r v i c ep r o v i d e r 网络服务提供者 v p d nv i r t u a lp r i v a t ed i a ln e t w o r k 虚拟拨号专网 p s t n p u b l i cs w i t c h e dt e l e p h o n en e t w o r k 公用开关电话网络 i s d n i n t e g r a t e ds e r v i c e sd i g i t a ln e t w o r k 综合业务数字网 p p t p p o i n tt op o i n tt u n n e l i n gp r o t o c o l 点对点传送协议 g r e g e n e r i cr o u t i n ge n c a p s u l a t通用路由协议 m p l s m u l t i p l ep r o t o c o ll a b e ls w i t c h i n g多协议标签交换 i p xi n t e m e tp a c k e te x c h a n g e互连网分组协议 p k i p u b l i ck e yi n f r a s t r u c t u r e 公钥基础设施 s d n ss e c u r ed a t an e t w o r ks y s t e m安全数据网络系统 s p 3 s e c u r i t yp r o t o c o l3 安全协议3 号 n l s p n e t w o r kl a y e rs e c u r i t yp r o t o c o l 网络层安全协议 c l n p c o n n e c t i o n l e s sn e t w o r kp r o t o c o l无连接网络协议 中山大学硕：卜研究生学位论文 d o id o m m no fi n t e r p r e t a t i o n 解释域 s a s e c u r i t ya s s o c i a t i o n 安全关联 s a d s e c u r i t ya s s o c i a t i o nd a t a b a s e安全关联数据库 s p d s e c u r i t yp o l i c yd a t a b a s e安全策略数据库 b i t s b u m pi nt h es t a c k堆栈中的块 b i t w b u m pi n t h e w i r e 线缆中的块 s p i s e c u r i t yp a r a m e t e r si n d e x 安全参数索引 p m t u p a t hm a x i m u mt r a n s m i s s i o nu 血t 路径最大传输单元参数 i c v i n t e g r i t yc h e c kv a l u e 完整性校验值 i s 删pi n t e m e ts e c u r i t ya s s o c i a t i o na n dk e y 互联网安全联盟和密钥 m a n a g e m e n tp r o t o c o l 管理协议 e s i s v e n t e r p r i s es e l f - b u i l ti p s e cv p n 企业自建i p s e c v p n e s i s v w e n t e r p r i s es e l f - b u i l ti p s e cv p n o n w i n d o w s 环境下的企业 w i n d o w s自建的i p s e c v p n e s i s v - l e n t e r p r i s es e l f - b u i l ti p s e cv p n o nl i n u x 环境下的企业自建 l i n u x的i p s e c v p n s p p s e c u r i t yp o l i c yp r o t o c o l 安全策略协议 s p s l s e c u r i t yp o l i c ys p e c i f i c a t i o nl a n g u a g e 安全策略规范语言 x 中山大学硕士学位论文 论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：试电币 日期：弘d 年多月多日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量拷贝并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 学位论文作者签名：武电砷 日期：b 二年乡月f 日 导师签名：剐在穆 日期：加知年多月彭日 l i n u x 环境下基于i p s e c 的v p n 关键技术研究 1 1 1 研究背景 第一章绪论 1 1 课题研究背景及意义 随着网络技术、电子政务和电子商务的快速发展，越来越多的政府机构和企业都 需要实现内部网与外部公共网络、不同政府部门之间、不同地域的企业内部网络之间 和政府与企业之间等的网络互联，希望通过这种方式来实现数据的快速传输和信息的 及时分享。 对于那些跨地域有分支机构的单位来说，传统的方式是建设专用网络达到信息共 享。这些专用网一般都是通过租用或自建专用线路来实现组网，通过在物理连接上的 独立性来确保网络足够安全，因而价格昂贵并且线路利用率低，此外还造成了网络重 复建设和资金浪费等问题，不适合现在信息交流日益增大的需求。随着因特网( i n t e m e t ) 在全球范围内的迅速普及，人们逐渐考虑到利用公共网络来实现全球范围内的连接， 从而享用公共网络强大的可扩展性和低成本效益。然而，公共网络的无序性、不可控 性却决定了网络资源在开放共享的同时有可能遭受篡改、删除等威胁。 那么如何在利用i n t e m e t 传输的同时又能提供像传统专用网络那样的安全性和服 务质量呢? 虚拟专用网( v p n ) 技术正是在这种需求背景下应运而生，它为构建一个灵 活高效、经济合理、安全可靠、易于扩展的广域专用网络提供了最佳的选择方案i i i 。 v p n 技术保障了数据传输的安全性，它采用身份认证、存取控制、数据机密性、数 据完整性等措施，来保证信息在传输中不被窃取、篡改、复制。 i p s e c 是i e t f 于1 9 9 5 年8 月公布的一系列针对i n t e m e t 安全性问题提供底层安 全支持的标准。它是一组开放协议的总称，其中包括验证头( 认证头) a h 协议，封 装安全载荷协议( e s p ) 以及负责密钥管理的因特网密钥交换( 江) 协议。由于在 安全性方面i p s e c 明显优于第二层隧道协议( l 2 t p ) 等二层隧道协议，基于i p s e c 构 建v p n 己成为网络信息安全方面的一个研究重点和热点。 1 1 2 研究意义 本论文的研究目的是在对i p s e c 和v p n 进行全面、系统研究的基础上，重点探 中山大学硕十研究生学位论文 讨i p s e c 实现中的一些关键问题，在此基础上设计并实现一个基于i p s e c 的安全、高 效的v p n 系统。 本论文的研究具有很强的现实意义： ( 1 ) 目前v p n 的应用极大的增加了政府部门和企业的工作效率并且节约了成 本，并且扩展性良好； ( 2 ) i p s e cv p n 采用了加密技术，拥有自己的i p s e cv p n 产品将有利于我国使 用自己的加密体系，降低直接采用国外现有产品搭建v p n 网络的不安全性； ( 3 ) l i n u x 作为开放源代码的操作系统，使开发方可以对v p n 系统拥有全面的 安全控制。因此本论文在l i n u x 平台上实现基于i p s e c 的v p n 系统，具有很好的现 实意义。 1 2 1 国内研究现状 1 2 国内外研究现状 v p n 能通过加密的通讯协议在多个企业内部网之间模拟出一个“私用 的网络， 而不用通过租用或自建专用线路实现组网。它的高性价比及灵活性等优势，使之具有 巨大市场潜力。 目前国内外大型网络厂商都把v p n 作为重要市场目标，并且国内外硬件v p n 产 品已经相对比较成熟，诸如c i s c o ，j u n i p e r ，a r r a y ，深信服和h 3 c 等公司均提供各 具特色的v p n 解决方案。由于信息安全领域的特殊性，受我国进出口和计算机及信 息安全法律限制，国内v p n 市场将逐渐由我们国内的厂商来占领i 捌。 国内在制定i p s e c 相关标准方面有了很大的进步。国家密码管理局于2 0 0 8 年1 月8 日发布( i p s e cv p n 技术规范，这为i p s e cv p n 产品的研制、检测、使用和管 理起到了指导作用。这不仅是对国产厂商技术实力的肯定，也从一个侧面反映出国产 厂商正在逐步适应1 1 r 市场的竞争节奏，逐渐走上消除发达国家技术封锁与技术歧视， 以“标准赢得市场 的道路。 目前，国内市场对信息安全的需求日益强烈，尤其是规模客户对网络安全的需求 越来越紧迫，但是国内信息安全厂商起步较晚，技术实力以及整体规模都与国外同行 存在着差距。同时我们知道，v p n 的安全性主要由它的密码算法强度、密钥的长度 2 l i n u x 环境下幕于i p s c c 的v p n 关键技术研究 以及v p n 网关所基于的操作系统的安全性所决定1 3 i ，由于西方国家严格限制对我国 的密码产品的出口，研究适于我国的安全产品是致力于网络安全研究的同仁们的紧迫 任务。 1 2 2 国外研究现状 i n t e m e t 工程任务组( i e t f ) 定义了一系列r f c ( r e q u e s t f o r c o m m e n t s ) 来制定 i p s e c 的框架标准，下面将对r f c 进行介绍： 1 r f c 2 4 0 1 1 4 i 主要定义了i p s e c 承担的角色并概述了1 p s e c 如何工作； 2 r f c 2 4 0 2 1 5 1 定义了验证头协议( a h ) 并且可以验证和核实数据包的完整性； 3 r f c 2 4 0 3 1 6 l 定义了在i p s e c 数据连接中作为h m a c ( h a s hm e s s a g e a u t h e n t i c a t i o nc o d e ，哈希信息验证码) 功能的m d 5 的使用； 4 r f c 2 4 0 5 1 7 i 定义了在数据连接中d e s 作为加密算法的使用； 5 r f c 2 4 0 6 1 8 定义了在数据连接中，使用封装安全载荷( e s p ) 协议来提供保 密性、数据包的验证； 6 r f c 2 4 0 7 1 9 i 定义了i n t e m e t 安全关联和密钥管理协议； 7 r f c 2 4 0 8 1 加定义了i s a k m p 是如何来构造安全连接的； 8 r f c 2 4 0 9 1 j 定义了i n t e r n e t 密钥交换协议： 9 r f c 2 4 1 0 1 1 2 i 定义允许在e s p 中使用空的加密算法，即允许使用e s p 而无需 加密： 1 0 r f c 2 4 11 1 ”i 提供了增加新的加密算法和h m a c 功能到i p s e c 的线路图。 还有其他的r f c 也定义了i p s e c ，上述这些是其中主要的和原始的r f c 。i e t f 仍在继续针对i p s e e 的实施定义新的r f c ，这对研究i p s e c 提供了很好的帮助。 目前，i p s e c 出现了一些影响到i p s e c v p n 应用的问题，i e t f 又制订了一系列解 决这些问题的r f c ，并对i p s e cv p n 的未来发展做出深入探讨，例如r f c 3 7 1 5 t 1 4 1 分 析了i p s e c 与n a t ( n e t w o r k a d d r e s st r a n s l a t i o n ，网络地址转换) 的兼容性需求等。 3 中山大学硕士研究生学位论文 1 3 1 研究工作 1 3 论文的研究工作和结构安排 本论文在对国内外现有研究成果及已发布的i p s e c 规范进行分析研究上，继续研 究i p s e cv p n 的应用和实现，并对应用中出现的问题进行深入的探讨，并提供了相应 的解决方法或实现方法，主要包括以下内容： 1 、研究分析v p n 与i p s e c 协议。本论文主要从v p n 的定义、分类、连接模式 和关键技术等方面对v p n 进行了详细的研究，并且分析了i p s e c 协议的体系结构， 重点分析了认证头协议a h 、封装安全载荷协议e s p 以及因特网密钥交换协议i k e 。 2 、通过设计实现w i n d o w s 环境和l i n u x 环境下基于i p s e c 的v p n ，分析目前i p s e c v p n 在实际应用中存在的问题。 3 、本论文提出一种在l i n u x 环境下的改进型企业自建i p s e cv p n ( e s i s v - i l ) 系统，并对这种系统实现的框架、主要流程、主要功能模块进行研究。本系统采用独 立模块开发的i p s e c 的软件实现，通过改进的u d p 封装法解决了i p s e c 支持n a t 的 问题，同时提出并设计了一种基于统一策略格式及策略数据库的解决方案。 4 、通过对e s i s v - i l 系统进行设计实验及理论论证，本论文证明e s i s v - i l 系统 能够有效解决i p s e c 穿越n a t 的问题和安全策略管理配置问题，能够与现有网络环 境协调工作，具有可靠性与可扩展性。 1 3 2 结构安排 本论文的章节安排如下： 第一章是绪论。主要介绍了本论文的选题背景和研究意义，并分析了目前国内外 对i p s e cv p n 的研究现状，概述了本论文的主要研究工作和论文整体的结构安排。 第二章是虚拟专用网v p n 技术。主要介绍虚拟专用网v p n 的相关技术，首先对 虚拟专用网的定义及优缺点进行概述；然后分析了目前有关v p n 的分类方法；接着 对v p n 的连接模式进行了详细的介绍，分为传输模式和隧道模式；最后分析了实现 v p n 的四项关键技术。 第三章是i p s e c 协议族。主要介绍i p s e c 协议族的基础理论知识，通过对i p s e c 协议体系结构的介绍，分析了i p s e c 的基本工作原理、工作流程以及实现方式，接着 4 l i n u x 环境下基于i p s e c 的v p n 关键技术研究 对构成i p s e c 体系机构的各个部分分别进行详细分析，包括安全关联、两个安全协议 认证头a h 和封装安全载荷e s p 、因特网密钥交换协议i k e 这几个部分的定义以 及处理流程和相关技术等。 第四章是基于i p s e c 的v p n 实现及其在应用中的问题。主要在w i n d o w s 环境与 l i n u x 环境中分别进行了传输模式和隧道模式的i p s e cv p n 设计实现，证明了i p s e c v p n 能保证数据包在传输过程中的保密性与完整性，同时暴露了其在应用中一些问 题。随后本论文对产生的问题进行了分析，主要分析了i p s e c 与n a t 兼容性问题以 及i p s e c 安全策略问题。 第五章是e s i s v - i l ：一个在l i n u x 下改进的企业自建i p s e cv p n 的实现。对一 种在l i n u x 环境下的改进型企业自建i p s e cv p n ( e s i s v - i l ) 系统进行研究，首先分 析了系统实现的理论基础，系统框架，接着详细分析了系统实现的主要流程以及主要 功能模块描述和改进分析，最后通过改进的u d p 封装法解决了i p s e c 支持n a t 的问 题，同时提出并设计了一种基于统一策略格式及策略数据库的解决方案 第六章是e s i s v - i l 系统实现的相关分析，主要是对e s i s v - i l 系统的可实现性、 可靠性、可扩展性及系统的性能进行详细的分析，论证了实现本系统的可行性与意义。 第七章是总结与展望。首先对本文的研究工作进行了总结，然后分析了本研究 工作还存在的问题，最后对i p s e cv p n 的发展趋势作了展望。 中m 大学碗i 。研究生学位论文 第二章虚拟专用网v p n 技术 2 1 1v p n 的定义 2 1v p n 概述 v p n ( q i r t u a l p r i v a t e n 咖v o r k ) ，即虚拟专用网络。“虚拟”的概念是相对传统私有 网络的构建方式而言的“虚拟”的含义是指在开放、不安全的网络环境中利用加密、 认证等安全技术构建专用、安全的通信信道，从而模拟出个“私用”的网络i l s l 。这 种方法具有很高的应用价值，它既节约了成本，叉具有高安全性。 v