基于IPsec的VPN技术的应用与研究推荐.docVIP

PAGE 第1章 绪论 1．1 课题的提出 随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是,网络在提供开放的和共享的资源的同时,也不可避免的存在着安全隐患。目前,安全问题已给网络经济造成严重的威胁,如何保护网络安全。特别是通过网络传输的信息的安全,成为人们关注的焦点。因此,研究和开发广泛适用的网络信息安全产品具有很大的使用价值。通信技术以及计算机网络技术迅猛发展,Internet的用户数量急剧增加,许多新的网络服务如电子商务,电子支付等接踵出现。但随着计算机网络开发性,共享性以及互联规模的进一步扩大,加上黑客攻击手段越来越先进,网络安全的问题变的越来越严重。鉴于此,网络安全成为计算机网络领域研究和发展的一个重要方向。 然而VPN的出现解决了网络安全中的很多问题。虚拟专用网（VPN）被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。它使分布在不同地方的专用网络能在不可信任的公共网络上安全的通信,从而可以帮助远程公司,用户,商业伙伴及供应商同公司的内部建立可信的安全连接,并保证数据的安全的传输。 1．2 本文研究的内容 网络已经成为社会和经济发展的强大动力，其地位越来越重要。伴随着网络的不断发展，其中的安全问题也越来越严重。网络安全问题已经引起了全世界各国政府和企业的广泛关注，从而各种网络安全技术（放火墙技术，数据加密技术，入侵检测与审计技术，虚拟专用网技术等）都得到长足发展。特别是VPN（虚拟专用网，基于IPSec的实现）技术，作为一种近几年才出现的网络安全技术，更是成为了网络安全技术的热点。 本文从网络安全问题出发，对基于IPSec协议的VPN技术的研究，其中包括网络安全存在的问题，解决方法。还有关于VPN的的关键技术，各种VPN安全协议，VPN的分类。IPSec协议的体系结构（IPSec的组成，两种安全协议的安全功能，包格式，应用模式及对数据包的处理过程）。最后是基于IPSec协议VPN网关的实现。  第2章 网络安全概述 2.1 网络信息安全的含义 网络安全是指网络系统的硬件，软件和系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，更改，泄露，系统连续可靠正常的运行，网络服务不中断。网络安全的含义是通过各种计算机，网络，密码技术和信息安全技术，保护在公用通信网络中传输，交换和存储的信息的机密性和真实性，并对信息的传播及内容具有控制能力，网络安全的结构层次包括：物理安全，安全控制和安全服务。 网络信息安全包括5个要素：机密性、完整性、可用性、可控性及可审查性。 （1）机密性：是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性,是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。 （2）完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否以被篡改。 （3）可用性：得到受权的实体在需要时可访问数据，既攻击者不能占用所有的资源而阻碍受权者的工作。 （4）可控性：可以控制授权范围内的信息流向及行为方式。 （5）可审查性：对出现的网络安全问题提供调查的依据和手段。 2.2 网络安全的安全措施 通常保障网络信息安全的措施有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。 2.2.1 防火墙技术 “防火墙”(Firewall)是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。“防火墙”安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点,它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。 2.2.2 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性、防止秘密数据被外部破析所采用的主要技术手段之一。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 (1)数据传输加密技术。目的是对传输中的数据流加密,常用的方针有线路