随着计算机网络技术的高速发展,安全问题已给网络经济造成严重的威胁,如何保护网络的安全特别是通过网络传输的信息的安全,成为人们关注的焦点,因此研究网络信息安全具有很大的现实意义。 人们希望在Internet上安全,低成本地存取自己所需信息,这使虚拟专用网(VPN)的需求日益增长。VPN技术可使机密信息在开放、不安全的Internet上安全传输。常见的VPN协议有L2TP,IPSec,SOCKS5等。 IPSec实际上是一组协议套件,包括认证头(AH)-为IP通信提供认证服务;封装有效载荷(ESP)-对IP数据进行加密;Internet密钥交换(IKE)-用于建立安全联结。AH确保包在传输中没有被修改。ESP利用对称加密算法(如DES,三重DES)加密有效载荷。AH与ESP一起为IP包提供机密性,完整性和身份源认证服务。IPSec使“端到端”的数据机密成为可能,进入和发出一台计算机的任何信息都可确保其安全。就数据加密方式而言,IPSec提供最强密度的128位三重DES加密算法,提供逐包加密与验证功能,其加密算法所提供的安全性是其它隧道协议无法相比的。 论文在对VPN技术和IPSec协议进行详细分析的基础上,设计了一个基于IPSec协议的VPN网关。网关主要由IKE管理界面、IKE动态管理模块、策略数据库、IPSec处理模块、SPD查找库和SAD查找库、加密和认证算法模块组成。其中,IKE管理界面提供了手工修改策略的接口。IKE动态管理模块可自动地为参与通信的实体协商SA,并对安全联盟库(SAD)进行维护,保障通信安全。策略数据库用于存放安全策略。IPSec处理模块负责按照查找到的安全策略对数据包进行处理。算法模块用于存放系统需要的加密和认证算法。SPD查找库和SAD查找库则是策略数据库在内核中的映射。 最后,在第5章给出了网关实现所需用到的关键技术和具体函数,并给出了一个在安全策略已知情况下,利用VPN网关实现的安全隧道的实例。