论文部分内容阅读
VPN网络是新兴的网络组网模式。VPN网络解决了传统网络中数据传输的安全性问题。VPN网络实现安全性的手段是通过对数据进行完整性校验,通过密码算法对数据进行加解密处理来获得的。VPN网络不同于传统的网络,它能够为逻辑上不能相通的两个局域网络之间建立安全的通讯通道,使得这两个局域网之间的访问能够像同一个局域网内数据互访一样的方便。本片论文通过在实际工作中对IPSec VPN的理解和研究写成的。主要的目的是通过对各网络安全协议的分析,指出IPSec VPN的优缺点,使得人们对IPSec VPN有清晰的认识,让IPSec VPN系统能更好的服务于网络安全事业。本文共分四章。第一章对IPSec协议族进行了重点介绍,主要包括IPSec协议族的协议元素如AH、ESP、安全关联、安全策略等。然后从网络协议栈以及各网络层次的安全性需求出发,列出了不同网络层次的安全协议,以及它们的优缺点。第二章对IPSec VPN系统进行设计,主要是两个子系统的设计,包括VPN网关和VPN客户端。在设计中重点说明了VPN系统的设计方法和手段。第三章说明了IPSec VPN系统的实现方法和手段,重点是从实现的方法,工程性的角度来阐述。包括编程工具,编程方法等。第四章则主要是通过对IPSec VPN的理解,对IPSec VPN系统和IPSec VPN协议本身提出了一些改进和建议。在VPN系统的改进上提出了增加策略服务器的功能,如何解决双向NAT穿越的问题;在IPSec协议本身的改进中提出了IKE协议和NAT穿越的协议可以使用TCP协议,而不是传统的UDP协议。本文的意义在于提出了IPSec VPN系统的完整实现手段和方法。针对过去IPSec VPN实现所面临的诸多难题如分片问题、NAT穿越问题、策略分发问题等,提出了完整的解决办法。在此基础上,对IPSec VPN的协议进行了深入思考,提出了用TCP协议完成IKE协商和NAT穿越的概念。