毕业设计（论文）-基于IPsec的VPN技术的应用与研究.doc

第1章 绪论 1．1 课题的提出 随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是,网络在提供开放的和共享的资源的同时,也不可避免的存在着安全隐患。目前,安全问题已给网络经济造成严重的威胁,如何保护网络安全。特别是通过网络传输的信息的安全,成为人们关注的焦点。因此,研究和开发广泛适用的网络信息安全产品具有很大的使用价值。通信技术以及计算机网络技术迅猛发展,Internet的用户数量急剧增加,许多新的网络服务如电子商务,电子支付等接踵出现。但随着计算机网络开发性,共享性以及互联规模的进一步扩大,加上黑客攻击手段越来越先进,网络安全的问题变的越来越严重。鉴于此,网络安全成为计算机网络领域研究和发展的一个重要方向。 然而VPN的出现解决了网络安全中的很多问题。虚拟专用网（VPN）被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。它使分布在不同地方的专用网络能在不可信任的公共网络上安全的通信,从而可以帮助远程公司,用户,商业伙伴及供应商同公司的内部建立可信的安全连接,并保证数据的安全的传输。 网络已经成为社会和经济发展的强大动力，其地位越来越重要。伴随着网络的不断发展，其中的安全问题也越来越严重。网络安全问题已经引起了全世界各国政府和企业的广泛关注，从而各种网络安全技术（放火墙技术，数据加密技术，入侵检测与审计技术，虚拟专用网技术等）都得到长足发展。特别是VPN（虚拟专用网，基于IPSec的实现）技术，作为一种近几年才出现的网络安全技术，更是成为了网络安全技术的热点。 本文从网络安全问题出发，对基于IPSec协议的VPN技术的研究，其中包括网络安全存在的问题，解决方法。还有关于VPN的的关键技术，各种VPN安全协议，VPN的分类。IPSec协议的体系结构（IPSec的组成，两种安全协议的安全功能，包格式，应用模式及对数据包的处理过程）。最后是基于IPSec协议VPN网关的实现。 (Firewall)是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。“防火墙”安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点,它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。 2.2.2 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性、防止秘密数据被外部破析所采用的主要技术手段之一。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 (1)数据传输加密技术。目的是对传输中的数据流加密,常用的方针有线路加密和端———端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信 息通过各线路采用不同的加密密钥提供安全保护;后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一 旦到达目的地,被将自动重组、解密、成为可读数据。 (2)数据存储加密。目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。者一般是通过加密算法转换、附加密码、加密模块等法实现;后者则是对用户资格、格限加以审查和限防止非法用户存取数据或合法用户越权存取数据。 (3)数据完整性鉴别技术。目的是对介入信息传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。 (4)密钥管理技术。为了数据使用的方便,数据密在许多场合集中表现为密钥应用,因此密钥往往保密的主要对象。密钥的媒体有:磁卡、磁带、磁盘导体存储器等。密钥的管理技术包括密钥的产生配保存、更换与销毁等各环节上的保密措施。 2.2.3 认证技术 认证技术主要解决网络通信过程中通信双方的身份认证。认证过程通常涉及到加密和密钥交换。通常加密可以使用对称加密，不对称加密以及两种方法的混合。认证方式一般有帐户名/口令认证、使用摘要算法的认证、基于