1、XXX 学 院 毕 业 论 文题 目基于IPSEC的VPN安全方案学 号XXXXXXX姓 名XXXXX系 部XXXXXX年级专业班级0XXXX指导教师、职称XXX xxx年xx月xx日基于IPSEC的VPN安全方案摘要 目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。 目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业务,
2、为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术,分析了IPSec VPN的主要实现方式. 关键词 IPsec vpn 加密 隧道 安全)Based on IPSEC VPN network security solutionsAbstract Currently, TCP / IP network traffic is almost all of the foundation, and IP itself does not provide secur
3、ity, in the transmission process, IP packets can be forged, altered, or prying eyes. To solve these problems, IPSec can effectively protect the security of IP datagrams, which provides a standard, robust and inclusive mechanisms, can use it for the IP and upper layer protocol (such as UDP and TCP) t
4、o provide security guarantees. Many telecom operators using IPSec tunnel encryption technology, on the basis of the introduction of broadband services for business customers VPN major new business, both for commercial customers to provide a high-bandwidth network with low rates of enterprise network
5、 services, also provided in the public network has a private VPN network data security services, won the majority of commercial customers. This paper will study the architecture of IPSec, VPN technology principles and basic technology, analyzes the main way to achieve IPSec VPNKeyword IPsec vpn Encr
6、yption Tunnel Security目 录第 1 章 绪论11.1 引言1第2章 VPN基础22.1 VPN的概念22.2 VPN的类型22.2.1 RemoteAccessVPN(远程访问虚拟专用网)22.2.2 IntranetVPN(企业内部虚拟专用网)22.2.3 ExtranetVPN(外连虚拟专用网)3第3章 IPSEC技术基础43.1 IPSEC简介43.2 IPsec体系结构53.2.1 IPsec AH(认证头协议)53.2.2 IPsec ESP:封装安全负载63.2.3 IPsec IKE( 密钥交换协议)73.2.3 IPsec ISAKMP(安全连接和密钥管理
7、协议)83.3 IPSEC的运行模式93.3.1隧道模式(Tunneling Mode)93.3.2传送模式(Transport Mode)10第4章基于IPSEC的VPN实现114.1 IPSec的总体设计114.1.1基本协议模块124.1.2输出数据模块124.1.3输出数据模块154.2 VPN的实现16结 论18致 谢 语19参考文献20xxx毕业论文 - I -第1章 绪论1.1 引言随着计算机网络的迅猛发展,网络在为人们提供便利和带来效益的同时,也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的热点问题之一,现在网络发展的趋势是所有的网络,无论是ATM、卫星网、
8、无线网等的构建都向基于TCPIP协议的网络发展,TCPIP协议几乎成为I nternet的统一实现标准, 因此网络协议层次的安全性分析集中在TCPIP协议簇上, 由于TCPIP的安全和控制机 制是依赖于IP地址的认证,然而一个数据包的源IP地址是很容易被伪造和篡改的。更糟的是网络控制 特别是路由协议根本就没有认证机制。另一个主要 缺点是 TCPIP协议没有能力保护网上数据的隐私性,协议数据是明文传输的,乏保密机制。这样,TCPIP就不能保证网上传输信息的机密性、完整性、与真实性。VPN 技术是近年来用于解决网络安全问题的新技术之一。它将专用网建立在公用网基础上,通过相关的安全技术实现移动用户与
9、企业网,各分支机构与总部及企业与合作伙伴之间的安全通信VPN就是针对通信安全尤其是企业分散子网间 通信安全问题的一种解决办法。它通过采用在公用网上建立加密的隧道的方式, 虚拟不同的专线来连接分布在各地的企业子网,甚至移动用户。隧道是一种 虚拟的点到点的连接, 这个连接可以为隧道的两个端点提供了认证、加密和访问控制。可以在不同的协议 层上来实现隧道技术。在每个协议层上的实现具有 不同的实现难度,也提供了不同强度的安全保护。IPSEC即“Internet 协议安全性”是一种开放标准的框架协议,通过使用加密的安全服务以确保在Internet协议(IP)网络(internet就是全球最大的IP网络)上
10、进行保密而安全的通讯。IPSec 协议本不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。第2章 VPN基础2.1 VPN的概念VPN的英文全称是“Virtual Private Network”,
11、翻译过来就是“虚拟专用网络”(图1-1所示)。顾名思义,虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 图1-1虚拟专用网络模型2.2 VPN的类型2.2.1 RemoteAccessVPN(远程访问虚拟专用网)Access VPN是通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问,使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术,可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的
12、企业。2.2.2 IntranetVPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总
13、部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。2.2.3 ExtranetVPN(外连虚拟专用网)如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、
14、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。第3章 IPSEC技术基础3.1 IPSEC简介“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft® Windows®2000、Windows XP 和 Windows Server 2003家族实施 IPS
15、ec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。IPSec的工作原理(如图1-2所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。图1-2 IPSec工作原理示意图IPSEC是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的重要防御方法,主要特征在于它可对所有IP级的通信进行加密和认证,正是这一点才使IPSEC可以确保包括远程登录、客户/服务器、
16、电子邮件、文件传输及Web访问在内的多种应用程序的安全。由于企业及政府用户非常注重于部署安全的IP,所以这一服务显得很重要。3.2 IPsec体系结构3.2.1 IPsec AH(认证头协议)IPsec AH(IPsec AH:IPsec Authentication Header)认证头协议是 IPsec 体系结构中的一种主要协议。(如图1-3所示)它为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况。一旦建立安全连接,接收方就可能会选择后一种服务。 AH 尽可能为IP头和上层协议数据提供足够多的认证。但是,在传输过程中某些 IP 头字段会发生变化,且发送方无法预测当数据包到
17、达接受端时此字段的值。 AH 并不能保护这种字段值。因此,AH提供给IP头的保护有些是零碎的。 AH 可被独立使用,或与 IP 封装安全负载(ESP)相结合使用,或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。 ESP 提供了相同的安全服务并提供了一种保密性(加密)服务,而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地,不是由 ESP 封装的IP头字段则不受ESP保护。通常,当用与 IPv6时,AH出现在IPv6逐跳路由头之后IPv6目的选项之前。 而用于IPv4 时,AH跟随主IPv4头。 图1-3认
18、证头协议示意图3.2.2 IPsec ESP:封装安全负载Psec ESP( IPsec Encapsulating Security Payload)封装安全负载是 IPsec 体系结构中的一种主要协议,其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性ESP头可以放置在
19、IP头之后、上层协议头之前(传送层),或者在被封装的IP头之前(隧道模式)。IANA分配给ESP一个协议数值 50,在ESP头前的协议头总是在“next head”字段(IPv6)或“协议”(IPv4)字段里包含该值50。ESP 包含一个非加密协议头,后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据,这个用户数据可以是整个IP数据报,也可以是IP的上层协议帧(如:TCP或UDP)。 ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务(一种部分序列完整性的形式) 和有限信息流机密性。所提供服务集由安全连接(SA)建立时选择的选项和实施的布置来决定,机密性的选
20、择与所有其他服务相独立。但是,使用机密性服务而不带有完整性/认证服务(在ESP或者单独在AH中)可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务,它们作为一个选项与机密性 (可选择的)结合提供给用户。只有选择数据源认证时才可以选择抗重播服务,由接收方单独决定抗重播服务的选择。3.2.3 IPsec IKE( 密钥交换协议)Internet IPsec IKE 密钥交换(IPsec IKE: Internet Key Exchange Protocol)是IPsec体系结构中的一种主要协议(如图1-4所示)。它是一种混合协议,使用部分Oakley和部分 S
21、KEME,并协同ISAKMP 提供密钥生成材料和其它安全连系,比如用于IPsec DOI的AH和ESP。 图1-4密钥交换机制IKE 是一系列密钥交换中的一种,称为“模式”。IKE 可用于协商虚拟专用网(VPN),也可用于远程用户(其IP地址不需要事先知道)访问安全主机或网络,支持客户端协商。客户端模,式即为协商方不是安全连接发起的终端点。当使用客户模式时,端点处身份是隐藏的。IKE的实施必须支持以下的属性值:1.DES用在 CBC 模式,使用弱、半弱、密钥检查。2.MD5MD5和SHASHA。3.通过预共享密钥进行认证。4.缺省的组1上的 MODP。 另外,IKE的实现也支持3DES加密;用
22、TigerTIGER作为hash;数字签名标准,RSARSA,使用RSA公共密钥加密的签名和认证;以及使用组2进行MODP。IKE 实现可以支持其它的加密算法,并且可以支持ECP和EC2N 组。3.2.3 IPsec ISAKMP(安全连接和密钥管理协议)Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。 因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。SA包括了各种网络安全服务执行所需的所有信息,这
23、些安全服务包括IP层服务(如头认证和负载封装)、传输或应用层服务,以及协商流量的自我保护服务等。ISAKMP定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架,而它们与密钥产生技术,加密算法和认证机制相独立。ISAKMP 区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而,需要一个通用的框架用于支持 SA 属性格式,谈判,修改与删除 SA , ISAKMP 即可作为这种框架。 把功能分离为三部分增加了一个完全的ISAKMP实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这
24、种分离是必需的,而且还应该对 ISAKMP 服务器更深层次发展的分析简单化。 ISAKMP 支持在所有网络层的安全协议 (如:IPSEC、TLS、TLSP、OSPF 等等)的 SA 协商。 ISAKMP 通过集中管理SA减少了在每个安全协议中重复功能的数量。 ISAKMP 还能通过一次对整个栈协议的协商来减少建立连接的时间。 ISAKMP 中,解释域(DOI)用来组合相关协议,通过使用ISAKMP 协商安全连接。共享 DOI 的安全协议从公共的命名空间选择安全协议和加密转换方式,并共享密钥交换协议标识。同时它们还共享一个特定 DOI 的有效载荷数据目录解释,包括安全连接和有效载荷认证。 总之,
25、ISAKMP关于DOI定义如下方面: 1.特定 DOI 协议标识的命名模式;2.位置字段解释;3.可应用安全策略集;4.特定DOISA属性语法;5.特定DOI有效负载目录语法;6.必要情况下,附加密钥交换类型;7.必要情况下,附加通知信息类型。 协议结构 (如图1-5所示)图1-5密钥交换协议结构 Initiator Cookie Initiator Cookie:启动 SA 建立、SA 通知或 SA 删除的实体 Cookie。 Responder Cookie Responder Cookie:响应 SA 建立、SA 通知或 SA 删除的实体 Cookie。 Next Payload 信息中
26、的 Next Payload 字段类型。 Major Version 使用的 ISAKMP 协议的主要版本。 Minor Version 使用的 ISAKMP 协议的次要版本。 Exchange Type 正在使用的交换类型。 Flags 为 ISAKMP 交换设置的各种选项。 Message ID 唯一的信息标识符,用来识别第2阶段的协议状态。 Length 全部信息(头有效载荷)长(八位)。 3.3 IPSEC的运行模式3.3.1隧道模式(Tunneling Mode)隧道模式(Tunneling Mode) (如图1-6所示)可以在两个Security Gateway间建立一个安全隧道,
27、经由这两个Gateway Proxy的传送均在这个通道中进行。通道模式下的IPSec报文要进行分段和重组操作,并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。通道模式下,除了源主机和目的地主机之外,特殊的网关也将执行密码操作。在这种模式里,许多隧道在网关之间是以系列的形式生成的,从而可以实现网关对网关安全。通道模式可表示为:| 新IP头 | IPsec头 | IP头 | TCP头 | 数据 |图1-6隧道模式示意图3.3.2传送模式(Transport Mode)传送模式(Transport Mode)(如图1-7所示)加密的部份较少,没有额外的IP报头,工作效率相对更好,但安全性
28、相对于隧道模式会有所降低。 传送模式下,源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP(第二层隧道协议)而生成的单一隧道来发送的。数据(密码文件)则是由源主机生成并由目的地主机检索的。传送模式可表示为:| IP头 | IPsec头 | TCP头 | 数据 | 图1-7传输模式示意图第4章基于IPSEC的VPN实现4.1 IPSec的总体设计在对IPSec的相关技术和协议进行了深入的研究以后我们提出了下面这个总体设计框架,如图1-8所示图1-8 安全网关上的IPSec的总体设计框架过网关送出的包即进入隧道 的包可能来 自两个方向:来自网关保护的内部局域网的某台主机或来自网
29、关的应用层。对于送出的数据,为了不改动 其它层协议和不增加其它层协议的负担,即不让传 输层和网络接口层区分这个包应该交给 I P协议处 理还是交给 IPSec处理,我们都将这些数据交给IP层作预处理。预处理做的工作就是对这个包是否应 实施IPSec作判断,需要IPSec处理的包交给IPSec基本协议模块,不需要的直接做IP层相应的工作。 IP层判断数据是否要实施IPSec处理是通过与IPSec中SPD的接 口进行的,它将数据包的特征提取 出来与SPD中的选择符进行对比,找到相应的处理策略(丢弃、应用IPSec、绕过IPSec),如果需要进行IPSec处理,在SPD中提取对应的 SADB中的信息
30、(SAID),并将数据交给 IPSec基本协议模块接口。IPSec基本协议模块通过SAID找到SADB中对这个数据包的具体处理方法( 安全协议、加密认证算法、密钥等) 对其进行安全处理。对于需要加密 或认证的数据则交由加密认证模块处理后交 回IPSec基本协议模块对其添加外部IP头后交给IP的后续模块处理,而不是直接交给网络接口层传出。这样做有两个好处:1、网络接口层不必区分是IP协议传来的包还是IPSec传来的包;2、有一些IP与IPSec重叠的工作( 如对数据包的分段)就只有一个实 现模块,避免了重复。后网络接 口层将输出的包 传给与外部相连的网卡。对于进入的数据,链路层将它交给IP协议做
31、进入的预处理(如数据包的重组) , 同时查看IP头中下一协议头字段是否为50(ESP)或51(AH),如果是,将其交给IPSec处理模块。当IPSec处理完后将没有出错的包交给 IP协议做后续处理,IP层后续处理根据内部IP头中的目的地址将其交给传输层或将其交给网络接口层再转发给内部主机。4.1.1基本协议模块IPSec的基本协议模块主要实现AH和ESP的协议处理。由于网关上实现的隧道,隧道口的地址和真正通信的主机地址往往是不同的, 因此我们需要添加一个外部IP头,外部IP头中的地址为网关的IP地址。因此系统必须采用隧道模式, 即隧AH或隧道ESP。如图1-9所示。图1-9 隧道AH和隧道ES
32、P的认证范围从图中我们发现,在隧道模式下,在认证方面ESP与AH认证的唯一 区别就 是对外部IP头有无认证,AH对其进行了认证,而ESP没有。而实现VPN时最重要的是保护局域网内部主机的通信数据,即图 5中AH和ESP头后面的数据。由于对外部IP的攻击是很少的,所以在我们的实现中就只采用“隧道AH和隧道ESP”这一种实现。4.1.2输出数据模块在TCPIP协议中传输层的数据传给IP层,IP层预处理完后,通过寻路,找到下一步将要进行的相应处理模块的网络设备接口,然后将该IP包放到该 设备的发送队列中等待处理。在我们的实现中,通 过向Linux系统注册一个虚拟的网络接口,然后添 加路由将需要IPS
33、ec处理的输出接口指向该虚拟设 备,我们就可以在该虚拟设备的发送函数中进行相 应的IPSee处理。在实现中只需要实现ESP协议,其中ESP头的定义如下:structes phdripseespitespspi;安全参数索引u32 esp_rpl;抗重播序列号u8 espiv8;初始化向量;Linux系统初始化在执行到定义在netipv4af_inete时调用了文件中IPSee初始化函数ipseeinit(),进行IPSee的初始化。Static inet_init (void) # if defined(CON 兀G_IPSEC 1extem ipseeinit();-end ifipseei
34、nit(void) inet_add_protocol (&esp protoco1) ; 其中ESP的协议结构定义如下: struct inet_protoeol esp protocolipseercv ,斗定义此协议处理函数 NULL, 错误处理函数0,下一个头 IPPRaTO ESP,协议的编号 0,协议共享字段NULL,私有数据”ESP”,Ic协议名称 ;其中ipsecxmite是在从 IPSee虚拟设备要发 送数据时被调用,完成对相应数据的封装,形成隧道模式下的ESP类型的IP包,并交由IP层本身的分 段判断程序做处理,使得 IPSec与IP层的功能不重 复。然后IP层再将其视为正
35、常IP包发送出去。如图2是IPSec模块加人后IP数据的输出流程。 图2 IPSec输出模块处理流程 其中加密和计算验证数据由加密认证模块处 理, 而封装计算新的IP头过程如图2-1所示 图2-1 IP头格式 ESP为封装后的ESP载荷构造一个新的IP头。新IP头与原IP头具有一定的关系。构造新I P头的 规则如下: 1. 版本号:对于IPv4,该字段取值4;对于IPv6,该字段取值6;2 头长度:该字段即外部头的度;3 TOS:这个值总是从内部IP头的TOS字段 拷贝而来。如果内部封装的是 I P v 6分组 ,则TOS值 可能来源于一定的映射关系。依据 I E T F拟定的标 准, 将来的
36、内部 TOS值不能被全盘复制到外部IP头;4 长度:该字段来源于整个IP分组构建完成后,对分组长度的计算结果; 5 ID:该字段与内部ID没有关系,由安全路由器的IP协议按通常规则产生; 6 Flags:为了便于隧道的MTU探测,为每一个IPSec分组的DF位置1。MF与该封装后的分组是否 进行了分段有关7 分段偏移量:这与通常意义下 的构建没有区别;8 TTL:该字段与分组流经的隧道长度有关,对内部的IP头的TTL, 安全网关在封装 并转发它的时候,将递减这个值;9 协议:这个值表示紧接 IP头的下一个载荷的类型。这里取值 5 O ,表示下一个连接头为ESP;10 )校验和:该字段由构建好的
37、外部IP头计算而来;11)、源地址:由ESP SA指定。我们这里的源地址为人口网关的IP地址12)目的地址:由ESP SA指定。我们这里的目的地址为出 口网关 的 I P地址;13)IP选项:外部头的选项一般与安全策略配置有关,但它绝不能来源于内部IP头中选项的拷贝。4.1.3输出数据模块对于接收过程,数据首先进入物理网络设备,该设备根据对应报文中的协议分类出IP报文放至I输入队列。对于队列中的IP包,首先检查是否是传送给自己的, 如果不是系统又允许转发,则交由转发模块处理。如果目的地址是自己的, 就要根据不同的IP协议号分给不 同的处理函数。在IPSec处理完后都将处理后的IP包重新交由IP
38、层输入队列,而不是直接送给上层。图2-2为IPSec输入模块处理流程。 图2-2 IPSec输入模块处理流程4.2 VPN的实现为了在不安全的公网上保证两个局域网间的安全通信,我们采用相应的VPN技术, 将两端通信的 数据经过加密、认证、封装在一个IP包中。对于公网来说, 图 1 无法理解里面的通信内容,而只是将它作为一个普通的IP包进行转发。这就在局域网两 端实现了一个安全的隧道。 图 1 VPN模型 我们采用IPSec的相关协议对两端的通信数据进行加密、认证、封装等安全措施,实现两端的安全 通信,达到专用网的安全性要求。对于这个VPN模型中的隧道技术有以下两种的实施方案:方案一:在主机中实
39、施主机一般来说是“数据包的始发设备”。这种方案实现的VPN模型如图2-3所示。图2-3主机为隧道端点的VPN模型图中的安全隧道建立在主机 1和主机2之间,即IPSec处理在这两个主机上2完成。如图2-3所示 ,隧道是贯穿两主机的整个通信线路的。无论是隧道模式还是传输模式,IPSec处理后的IP头的源地址和目的地址都是主机1和主机2,而网关只是简单的将这些数据包进行转发。在主机中实施的优点如下:保障端到端的安全性、能够实现所有的IPSec的安全模式、能够逐数据流提供安全保障、在建立IPSec的过程中,能够维持用户身份的验证。方案二:在网关中实施 在网关中实施IPSec,用以保护整个VPN网络的安
40、全。实施模型如图2-4所示。 图2-4主机为隧道端点的VPN模型图中两个局域网之间的通信都要经过实施在两 端网关上的IPSec的处理。隧道建立在两个网关之间,而主机到网关是明文传输的。除了两个网关自身进行的通信外, 两局域网的通信数据经过IPSec处理后,IP头中的源地址和目的地址都要 由两个通 信主机的IP地址变成两个网关的IP地址。这样为了能将数据传送到真正的目的主机,就需要将真正 的源地址 和目的地址记录在IP包中。这样在网关中实施IPSec用于实现VPN,我们只能采用IPSec的隧道模式。在网关路由器中实施,可在网络的一部分中对传输的数据包进行安全保护。在网关中实施有下列优点:能对公用
41、网络(如互联网)中两个子网之间流 动的数据提供安全保护,可以很好的隐藏子网结构;能进行身份验证,并授权用户进入私用网络。网关 实施方案我们选择与Os集成,这种情况下必须修 改OS内核的标准IP处理程序,将IPSec处理程序与内核IP处理程序捆绑,形成新的具有IPSec处理功能的IP层处理。通过上面的优缺点的比较分析,我们的VPN模型采用第二种实施方案,用安全网关来保证VPN的安全性,在选择基于网关的操作系统时,我们采用修改Linux内核,使IPSec与IP层集成的实现方案。结 论本论文通过介绍研究背景,概述了IPsec和VPN,进而论述了IPsec的三种认证协议服务和VPN网络结构,讨论了三种
42、认证协议的体系结构原理、核心思想,服务模型实现的机制,着重论述IPsec服务的网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等在VPN网络中的实现、应用于IPsec中的密钥管理交换技术, 通过分析现有TCP/IP网络协议体系结构存在的安全隐患,提出了基于IPSec VPN的解决方案。IPsec即“Internet 协议安全性”是一个庞大的系统工程,IPsec体系结构不仅能够保持在VPN网络中良
43、好的可扩展性,具有更加灵活和高效的资源管理和控制等优点,它不仅涉及计算机网络通信的几乎所有技术领域,而且涉及到当今科学的几乎所有科学领域。此论文还存在许多不足的地方,如在IPsec应用方面没有进行更加深入的研究探讨,我将会通过今后不断的学习、研究,不断的完善此方面的知识 致 谢 语首先,在这次的毕业设计过程中,我要特别感谢我的指导老师xxx老师,认真负责的工作态度,严谨的治学精神和深厚的理论水平都使我收益匪浅。正是在他的点拨之下,我才能顺利完成我的毕业论文创作;在我论文创作过程中,他不辞辛苦的对我进行了悉心指导。正是他严谨的治学态度时时鞭策我努力认真,也正是他的宽容,我的论文在多次修改之后得以
44、完成。写作论文的这几个月与我实属不易,这期间实习工作遇到种种困难,让我的毕业论文创作时断时续,一拖再拖,时至今日,方得以完成;由于我才疏学浅,论文定有许多不足之处,请老师们见谅。感谢教育我的老师们.还有和我一起学习生活三年的xxx班的所有同学们,正是由于他们的帮助,我才会顺利的将毕业论文创作完成。衷心感谢你们!参考文献1 赵阿群,吉逸,顾冠群.支持VPN的隧道技术研究J通信学报2010,(06)2 陆国栋.基于IPSec VPN的安全性研究D.中国优秀博硕士 学位论文全文数据库 (硕士)2010,(10)3郭涛.IPsec VPN的研究与实现D. 中国优秀硕士学位论文全文数据库, 2010,(
45、06)4Nichols,K.,Blake,S.,Baker,F.,Black,D.Defintion of the differentiated services field(DS FIELD)in the IPv4 and IPv6 Headers.RFC 2474,1998.5戴宗坤,出版社:电子工业出版社20106Thaddeus Fortenberry: Windows 2000 Virtual Private Networking, New Riders, 2000, Indianapolis, IN.7VPN相关协议与草案8马士超 王贞松.IPSec协议实现及其现状分析J.计算机工程,9Linux内核2.6版中IPSec实现的研究10刘振宪 王津涛 侯德 等.基于原始套接字的网络安全研究和实现J.计算机工程与设计,11李革新.网络数据包捕获工具的开发与实现J.计算机工程与设计,12网络安全原理与应用张世永主编 科学出版社13李玉盼,郜帅,张宏科基于IPv6的RIPng的研 J 重庆邮电学院学报(自然学科版),2010,1 6(4):545614韩智文IPsec策略管理研究 J 计算机工程与应用2010,3 2:14414715