基于IPSec虚拟专用网的分析与实现-计算机系统结构专业论文.docxVIP

摘要摘要 摘要 摘要 随着政府上网、电子商务、金融电子化等不断推进，网络应用越来越广泛， 企业和组织机构不断发展壮大，过去的那种大投入、高消费、低利用的网络建 设方式已经不能适应企业和组织的发展需要。在这种情况下，虚拟专用网(Ⅵnual Private Network，VPN)技术应运而生，它综合了传统数据网络的性能优点和 Imemet网络结构的优点，彻底改变了传统网络的建设方式，符合企业和组织发 展的需求，代表了当今网络发展的最新趋势。但需要指出的是：如果在未采取 安全措施的虚拟专用网上传输数据时，数据容易被监听、篡改和伪造，将会给 企业和组织造成难以估量的损失。 针对Intemet的安全需求，因特网工程任务组(IETF)于1998年11月颁 布了IP层安全标准IPsec(IP Security)。其目标是为IPv4和IPv6提供具有较 强的互操作能力、高质量和基于密码的安全。lPSec在网络层发挥作用，对传输 的IP包进行保护和认证，它提供了在I熊翘et这样无保护的网络中传送敏感信 息的安全保证。IPSec实现多种安全服务，包括访问控制、无连接完整性、数据 源验证、抗重播、机密性(加密)和有限的业务流机密性。 本文以北京市第一个“数字体育”项目——基于IPSec的虚拟专用网在北 京市东城区体育局一卡通网络安全的研究为背景，首先分析了网络安全状况以 及与本项目相关的VPN和IPsec技术背景，对比传统的安全实现方式，按照用 户需求进行了细致的分析与设计，提出本系统基于IPSec虚拟专用网的实现方 案。方案对传统的一卡通安全机制和IPSec实现方式进行了改进，本项目的成 功实施无论是对于2008数字奥运还是对于其它金卡工程都具有广泛的意义。 IPSec体系结构包括AH、EsP、IKE等多个协议的结构。本文没有涉及IPsec 协议族框架中所有协议和服务，只着重就IPSec对数据包进入处理流程和数据 包外出处理流程、IPSec实施模式以及IPSec协议栈等重要方面做了详细的介绍。 在课题研究中借鉴了机器学习的思想，文中给出了一个基于ID3决策树的SPD 策略分析模型及其实现算法。 虽然IPsec中的一些组件还需要完善，但可以预料，随着IPv6技术的推广 和IP网络的建设，IPsec必将成为网络安全的产业标准。 关键词： 网络安全； IPSec； 虚拟专用网； ID3算法 ——一 ——一 垒堕竖! Abstract With t11e development of E—Govenmlent，E—Business，E．Finance，we have entered an inf0珊ation era，which is baSed on the Imemet．With me develoDment of ente甲“ses a11d o唱anjzations，it’s not矗t for them co sec up t11e netwDrks by high lnVestments，high consumption a11d in retum by low value in use．VPNs technologies were developed in that time，which make血ll use of the benents of conventional networks a11d t11e stnJcture of Intemet．VPNs，which completely challge the situations and讯for the need of enterprises and organizations，are me trend of net、vorks development．But we should give a仕ention to the security of VPNs．If the hackers sni仃，aher oT fake t11e unprotected data while仃a11sfeHing throu幽public networks．it mav cause incalculable 10ss． Witll much concem to net、vorks sec嘶吼Intemet Engineering’Ibk Force (IETF)provided the IP sec谢ty guaraIltee for transfbrring sensitive infb肿ation in an unpmtected neMork in Nov．，1998．IPSec provides出ese security services at tlle IP 【a