Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)

PagePage3Page2Page2Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)畢業(yè)設(shè)計（論文）設(shè)計（論文）題目：Linux系統(tǒng)下VPN技術(shù)分析Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第1頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第1頁。摘要網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)的規(guī)模越來越大。從局域網(wǎng)、廣域網(wǎng)到全球最大的互聯(lián)網(wǎng)，從封閉式的、自成體系的網(wǎng)絡(luò)系統(tǒng)環(huán)境到開放式的網(wǎng)絡(luò)系統(tǒng)環(huán)境，這一切無不說明人們在面臨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的同時，也面臨著對網(wǎng)絡(luò)建設(shè)的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設(shè)計網(wǎng)絡(luò)系統(tǒng)，選擇什么樣的網(wǎng)絡(luò)系統(tǒng)、拓撲結(jié)構(gòu)、服務(wù)器、客戶機、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫軟件，由哪些供應(yīng)商提供以上所說的網(wǎng)絡(luò)系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)的作用，取得應(yīng)有的經(jīng)濟效益，這已不僅涉及簡單的部件組合，而且需要技術(shù)和管理知識有機結(jié)合起來，其已成為當(dāng)前網(wǎng)絡(luò)建設(shè)中亟待解決的問題。本文主要為深入分析IPsec協(xié)議體系，研究IPsec的工作原理和工作的流程。并且將進一步研究IPsec在Linux環(huán)境中的實現(xiàn)機制，在linux的環(huán)境下搭建一個簡單高效的基于IPsec的VPN連接?！娟P(guān)鍵詞】虛擬專用網(wǎng)VPNIPsecLinuxOpenSWAN安全證書Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第2頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第2頁。ABSTRACTWiththedevelopmentofnetworktechnology,thescaleofnetworkismoreandmorelarge.TheadvancefromLAN,WANtotheworld'slargestInternetandtheimprovementoftheopennetworkenvironmentgiveusallkindsofknowledge,atthesametime,whichledpeoplefacedwithmorechallenge.Accordingtoourownrequirementsfornetwork,wechooseakindofnetworksystem,topologystructure,server,client,networkoperatingsystemanddatabasesoftware.Inaddition,whatkindofsuppliersalsoneedpeopletodecide.However,howtodevelopthenetworkapplicationsystem,makeitgivefullplaytotheroleofnetworksystem,obtaineconomicbenefitisnotonlysimplecombination,butalsoaorganiccombinationwithtechnologyandmanagementknowledgewhichbecomethecurrentproblemtobesolvedinnetworkconstruction.ThispapermainlyanalysetheIPsecagreementsystem:studytheworkprincipleandprocedureofIPsec;researchintherealizationmechanismofIPsecinLinux;buildasimpleandefficientconnectionofVPNbasedonIPsecinLinux.Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第3頁?！綤eywords】VPNIpsecLinuxOpenSWANCertificateLinux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第3頁。目錄前言 1第一章VPN概述 3第一節(jié)VPN的定義 3一、VPN的優(yōu)缺點分析 3第二節(jié)VPN分類 5一、按接入方式分 5二、按協(xié)議實現(xiàn)類型分 5三、按VPN發(fā)起方式分 6四、按VPN服務(wù)類型分 7五、按承載主體分 8第三節(jié)VPN的連接方式 9一、傳輸模式 9二、隧道模式 9第四節(jié)VPN關(guān)鍵技術(shù) 10一、隧道技術(shù) 10二、加解密技術(shù) 10三、密鑰管理技術(shù) 10四、身份認證技術(shù) 11第五節(jié)本章小結(jié) 11第二章IPsec概述 12第一節(jié)IPsec簡介 12一、IPsec提供的服務(wù) 12二、IPsec具有以下特點： 13三、封裝模式 13四、IPsec優(yōu)缺點 14第二節(jié)IPsec協(xié)議體系 15一、IPsec基本工作原理 16二、安全關(guān)聯(lián) 18三、AH頭認證 20四、ESP簡介 23Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第4頁。第三節(jié)因特網(wǎng)密鑰交換IKE 25Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第4頁。一、IKE定義 25二、IKE的消息格式 26第四節(jié)本章小結(jié) 29第三章Linux下基于IPsec的VPN實施 30第一節(jié)設(shè)計目標(biāo) 30一、目標(biāo) 30二、平臺選擇以及工具使用 30三、基于IPsec支持的linux內(nèi)核編譯 33第二節(jié)認證與配置網(wǎng)絡(luò)模型為 40一、設(shè)計的網(wǎng)絡(luò)模型 40二、RSASignature（RSA數(shù)字簽名）認證的配制 41三、x.50Array證書認證的配置 44第三節(jié)本章小結(jié) 49結(jié)論 50致謝 51參考文獻 52附錄 53一、英文原文 53二、英文翻譯 58Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第5頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第5頁。前言隨著當(dāng)今社會的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)可謂無所不在，信息技術(shù)的高速發(fā)展和信息量的飛速膨脹，讓誕生于70年代的Internet得以快速的發(fā)展。到現(xiàn)在無論是公司還是個人辦公，都越來越離不開網(wǎng)絡(luò)，許多企業(yè)和政府機構(gòu)紛紛將自己的局域網(wǎng)連入Internet，然而，擴大的網(wǎng)絡(luò)環(huán)境也帶來了一系列的問題：隨著企業(yè)的不斷擴大，分支機構(gòu)越來越多，合作伙伴越來越多，公司的移動用戶也越來越多，企業(yè)希望能通過無處不在的因特網(wǎng)來實現(xiàn)方便快捷的訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)，更好的處理辦公。此時，經(jīng)濟又安全的企業(yè)間的互聯(lián)的VPN便脫穎而出托。它恰好能很好的適應(yīng)企業(yè)的需求，又在安全性有很好的加密算法。目前，國內(nèi)企業(yè)內(nèi)部的信息化程度都越來越高，很多公司都建有自己的局域網(wǎng)，并且部署了例如財務(wù)系統(tǒng)、ERP系統(tǒng)和OA系統(tǒng)等等，可是建設(shè)和維護一個提供遠程基礎(chǔ)數(shù)據(jù)傳輸所需的昂貴費用卻使絕大多數(shù)企業(yè)望而卻步，如果采用DDN（DigitalDataNetwork，數(shù)字數(shù)據(jù)網(wǎng))專線方式，昂貴的網(wǎng)絡(luò)運營費用將給企業(yè)帶來沉重的思想負擔(dān)。它們只能通過遠程撥號訪問或簡單的FTP傳輸?shù)仁侄蝸砭S系不同地域信息系統(tǒng)之間數(shù)據(jù)交換的最低要求，這些都嚴重制約了信息系統(tǒng)整體效能的發(fā)揮。雖然Internet為企業(yè)實現(xiàn)數(shù)據(jù)訪問提供了方便，但它的高度開放性和松散管理結(jié)構(gòu)也讓企業(yè)面臨嚴重的網(wǎng)絡(luò)安全問題。當(dāng)下，企業(yè)迫切需要一種低成本的網(wǎng)絡(luò)互聯(lián)解決方案，以提供企業(yè)的異地分支機構(gòu)和合作伙伴或移動用戶與公司總部之間暢通、安全地交換或共享業(yè)務(wù)數(shù)據(jù)。當(dāng)代，網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)的規(guī)模也越來越大。從最小的局域網(wǎng)、廣域網(wǎng)到全球最大的互聯(lián)網(wǎng)Internet，從封閉式的、自成體系的網(wǎng)絡(luò)系統(tǒng)環(huán)境到開放式的網(wǎng)絡(luò)系統(tǒng)環(huán)境，這一切無不都在說明人們在面臨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的同時，也面臨著一個對網(wǎng)絡(luò)建設(shè)的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設(shè)計網(wǎng)絡(luò)系統(tǒng)，選擇什么樣的網(wǎng)絡(luò)系統(tǒng)、拓撲結(jié)構(gòu)、服務(wù)器、客戶機、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫軟件，由哪些供應(yīng)商提供以上所說的網(wǎng)絡(luò)系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)的作用，取得最好的經(jīng)濟效益，這已不僅涉及簡單的部件組合，而且需要技術(shù)和管理知識有機結(jié)合起來，已成為當(dāng)前網(wǎng)絡(luò)建設(shè)中亟待解決的問題。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第6頁。DDN技術(shù)雖然可以實現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價格低廉，但其只能應(yīng)用于企業(yè)接入Internet，不能實現(xiàn)企業(yè)之間的互聯(lián)。由于安全意識淡薄，同時又缺乏應(yīng)有的安全防范措施，使得公司網(wǎng)絡(luò)被非法入侵、數(shù)據(jù)被篡改和竊聽等事件時常發(fā)生。雖然一些企業(yè)采取了一些相應(yīng)的安全措施如建立自己的防火墻等，但是據(jù)報道有1/3的防火墻已被黑客攻破，許多安全措施也形同虛設(shè)。為了防止非法用戶進入內(nèi)部網(wǎng)絡(luò)對數(shù)據(jù)進行存取和竊聽，必須認真解決驗證對方身份、防止抵賴、確保數(shù)據(jù)的真實性和完整性等安全問題。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第6頁。那么，有沒有一種接入方式既可以訪問Internet，又可以實現(xiàn)企業(yè)互連，同時接入費用低廉的方式呢？為此，各種的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品應(yīng)運而生，其中VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）及其相關(guān)技術(shù)經(jīng)過多年的實踐、發(fā)展和完善，最終憑借它的方便性、安全性、標(biāo)準(zhǔn)化、成本低等優(yōu)勢脫穎而出，逐步成為現(xiàn)代企業(yè)實現(xiàn)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段，是目前和今后一段時間內(nèi)企業(yè)構(gòu)建廣域網(wǎng)絡(luò)的發(fā)展趨勢，據(jù)有關(guān)研究機構(gòu)統(tǒng)計，企業(yè)通過使用VPN的費用能比專用網(wǎng)節(jié)省60％的資金。虛擬專用網(wǎng)VPN技術(shù)早在1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（EVUA）就成立了，當(dāng)時并力圖在全歐洲范圍內(nèi)推廣VPN。Internet的迅猛發(fā)展為VPN提供了技術(shù)基礎(chǔ)，為全球化的企業(yè)提供了VPN市場，這些都使得VPN開始遍布全世界。特別是最近幾年，VPN以迅猛發(fā)展之勢博得了眾多用戶的喜愛和好評。企業(yè)實際構(gòu)建虛擬專用網(wǎng)絡(luò)需要對一系列與互通和安全相關(guān)的問題作出決策，如VPN技術(shù)和產(chǎn)品的選用、用戶認證、私有IP地址的分配和傳送、NAT、流量控制等等。本文的第一章對VPN（虛擬局域網(wǎng)）做了一些基本概念和實際應(yīng)用中的介紹。第二章深入研究和闡述了IPsec協(xié)議的體系結(jié)構(gòu)，包括安全協(xié)議AH和ESP，IKE（密鑰管理協(xié)議）和安全關(guān)聯(lián)SA等。第三章著重介紹了在Linux環(huán)境下部署基于IPsec的Net-to-Net的VPN，并詳細的描述了IPsec的配置和安全證書的創(chuàng)建，配置和管理。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第7頁。

第一章VPN概述Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第7頁。第一節(jié)VPN的定義VPN(VirtualPrivateNetwork)，即虛擬專用網(wǎng)絡(luò)?！疤摂M”的概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的，“虛擬”的含義是指在開放，不安全的網(wǎng)絡(luò)環(huán)境中利用加密，認證等安全技術(shù)構(gòu)建專用，安全的通信信道，從而模擬出一個“私用”的網(wǎng)絡(luò)[1]。VPN的定義為，VPN是一種運載加密或認證的可通信的網(wǎng)絡(luò)，數(shù)據(jù)在VPN中的傳輸是安全的，起安全性由加密，認證等安全技術(shù)來保證，起傳輸這是通過開放的，非安全的公用網(wǎng)絡(luò)。VPN的作用：企業(yè)通過公網(wǎng)實現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全問題。使用公用網(wǎng)絡(luò)會導(dǎo)致機構(gòu)間的傳輸信息容易被竊取，同時攻擊者有可能通過公網(wǎng)對機構(gòu)的內(nèi)部網(wǎng)絡(luò)實施攻擊，因此需要在企業(yè)間建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全要素：保證數(shù)據(jù)真實性；保證數(shù)據(jù)完整性；保證數(shù)據(jù)的機密性；提供動態(tài)密鑰交換功能和集中安全管理服務(wù)；提供安全防護措施和訪問控制等。VPN即能有效解決這些安全問題。一、VPN的優(yōu)缺點分析1、VPN的優(yōu)缺點幾年前，很多人都認為VPN將逐漸被一些更高級的網(wǎng)絡(luò)安全技術(shù)和價格更便宜的廣域網(wǎng)取代，并將隨著技術(shù)更新而逐漸淘汰。但是，就目前市場調(diào)查來看，VPN技術(shù)強大的安全性，高可靠與低成本卻一直在今天吸引著企業(yè)的目光，越來越多的企業(yè)開始重新評估VPN服務(wù)。下面就VPN的優(yōu)缺點進行簡單的分析。（1）、VPN的優(yōu)點：①節(jié)約成本Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第8頁。通過公用網(wǎng)來建立VPN與建立DDN、PSTN等專線方式相比，可以節(jié)省大量的費用開支。VPN的最大吸引力是價格。相對于傳統(tǒng)的廣域網(wǎng)而言，VPN能夠在現(xiàn)有的公網(wǎng)中直接實現(xiàn)連接，比傳統(tǒng)廣域網(wǎng)連接遠程用戶更加便捷，且運營成本幾乎為零。有調(diào)查指出，如果VPN產(chǎn)品替代傳統(tǒng)的組網(wǎng)方式，可以節(jié)約大量的運營成本，甚至?xí)_到60%到80%。這是由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用，也節(jié)省了長途電話費，故VPN價格更低廉。

②高安全性Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第8頁。VPN能夠提高水平的安全，私用身份識別和加密協(xié)議避免數(shù)據(jù)受到劫持和修改，能夠很好的阻止數(shù)據(jù)竊取和替他非授權(quán)用戶接觸這些數(shù)據(jù)，所以VPN能夠保證內(nèi)部機密數(shù)據(jù)的安全性，保證不同用戶使用權(quán)限的可控性，能夠保證用戶信息交換的安全和可靠。使用VPN之后，內(nèi)部網(wǎng)絡(luò)的重要數(shù)據(jù)可以在不被侵擾的情況下經(jīng)過加密后進行路線傳輸并安全的存儲。同時還可以有效的對內(nèi)部資源的使用者進行權(quán)限控制管理。并記錄所有的重要的通信過程③高速VPN能夠讓公司遠程員工，合作伙伴或者其他授權(quán)的用戶利用本地的高速寬帶連接鏈接到企業(yè)的內(nèi)部網(wǎng)絡(luò)中。④高靈活性現(xiàn)代企業(yè)的組織結(jié)構(gòu)和商業(yè)活動非常靈活，用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有VPN，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了VPN之后，只需雙方配置安全連接信息即可；當(dāng)不再需要聯(lián)網(wǎng)時，也很方便拆除連接。使用VPN可以保持企業(yè)工作人員在任何情況下都能夠快速的和安全的完成信息內(nèi)部的交換，并且能夠根據(jù)企業(yè)不斷發(fā)展的網(wǎng)絡(luò)規(guī)模迅速的擴展自己。⑤完全控制主動配置企業(yè)可以利用公網(wǎng)或在網(wǎng)絡(luò)內(nèi)部自己組建管理VPN，由自己負責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址配置、安全性和網(wǎng)絡(luò)變化管理等重要工作。（2）、VPN的缺點：①非直接可控由于VPN是基于互聯(lián)網(wǎng)的，企業(yè)不能直接控制它的可靠性和性能，并且多數(shù)企業(yè)需要依靠提供VPN服務(wù)的互聯(lián)網(wǎng)服務(wù)提供商品保證服務(wù)運行②建設(shè)難度高Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第9頁。目前，多數(shù)企業(yè)選擇有互聯(lián)網(wǎng)服務(wù)提供商負責(zé)運行維護的VPN，而非自己創(chuàng)建和部署。主要原因是VPN網(wǎng)絡(luò)建設(shè)需要高水平的理解網(wǎng)絡(luò)和安全問題，需要認真的規(guī)劃和配置。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第9頁。③設(shè)備兼容性差多數(shù)廠商不愿意或者不能遵守VPN技術(shù)標(biāo)準(zhǔn)，不同廠商的VPN產(chǎn)品和解決方案通常是不兼容的，混合使用不同廠商的產(chǎn)品可能會出現(xiàn)技術(shù)問題，由此可能導(dǎo)致增加企業(yè)成本。④管理復(fù)雜VPN組網(wǎng)以后，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)范圍擴大了，管理問題會比較多。第二節(jié)VPN分類根據(jù)不同的需要，可以構(gòu)建不同類型的VPN；不用的角度，VPN的分類也不相同；不用的廠商在銷售VPN產(chǎn)品的時候，使用了不同的方式的分類；不同的ISP（InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商）在開展VPN業(yè)務(wù)時推出了不同的分類方式，用戶往往可以根據(jù)自己需求劃分VPN[1]。一、按接入方式分這是用戶和運營商最關(guān)心的VPN劃分方式。通常情況下，用戶可能是通過專線或者撥號上網(wǎng)。1、專線VPN由運營商根據(jù)客戶需求，專門建設(shè)一條用于VPN通信的通道。他能一直在線，通過專線接入ISP邊緣路由器的用戶提供VPN解決方案2、撥號VPN是一種可以按照用戶需求連接的VPN，它是利用撥號分組交換數(shù)據(jù)網(wǎng)PSTN或者綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN接入ISP的用戶提供VPN業(yè)務(wù)，可以節(jié)省用戶的長途費用。二、按協(xié)議實現(xiàn)類型分Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第10頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第10頁。1、第二層VPN運行在OSI參考模型的第二層，他們是點到點的，通過虛電路在場點之間建立連接性。虛電路是網(wǎng)絡(luò)中兩個端點之間的邏輯端到端連接，可以跨越網(wǎng)絡(luò)中的多個網(wǎng)絡(luò)原件和物理網(wǎng)段。ATM和幀中繼是兩種最流行的第二層VPN技術(shù)，另外包括PPTP（點到點隧道協(xié)議），L2F（第二層轉(zhuǎn)發(fā)協(xié)議），L2TP（第二層隧道協(xié)議）等2、第三層VPN遞送報頭位于OSI模型的第三層，常見的第三層VPN包括通用路由封裝GRE，多協(xié)議標(biāo)簽交換MPLS和互聯(lián)網(wǎng)協(xié)議安全IPsecVPN。第三層VPN可以以點到點的方式連接兩個場點，如GRE和IPsec，也可以在眾多場點之間建立全互連連接性，如MPLSVPN、通用理由封裝（GenericRoutingEncapsulation，GRE）最早是由Cisco開發(fā)的一種VPN技術(shù)，Cisco將GRE作為一種封裝方法開發(fā)，是指一個協(xié)議的數(shù)據(jù)包可以封裝進IP數(shù)據(jù)包中，并且將封裝后的數(shù)據(jù)包通過IP骨干傳輸。、因特網(wǎng)協(xié)議安全（IPsec）IPSec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認證算法，它只是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密或認證的實現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面的措施進一步發(fā)展和標(biāo)準(zhǔn)化。同時，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實施。、多協(xié)議標(biāo)簽交換（Multi-ProtocolLabelSwaitching，MPLS）指定了數(shù)據(jù)吧是如何通過一種有效的方式送到目的地的，是一種用戶快速數(shù)據(jù)包交換和路由的體系。相對于其它VPN技術(shù)，MPLSVPM的重要優(yōu)點在于靈活性，他允許在VPN場點之間采用任何網(wǎng)絡(luò)拓撲。三、按VPN發(fā)起方式分Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第11頁。這是客戶和ISP最關(guān)心的VPN分類.Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第11頁。1、客戶發(fā)起VPN服務(wù)提供的起始點和終止點是面向客戶的，其內(nèi)部技術(shù)構(gòu)成，實施和管理對VPN客戶可見。需要客戶和隧道服務(wù)器方案裝隧道軟件。此時ISP不需要做支持建立隧道的任何工作。經(jīng)過對用戶身份符和口令的驗證，客戶方和隧道服務(wù)器極易建立隧道。雙方也可以用加密的方式通信。2、服務(wù)器發(fā)起在公司中心部門或ISP處理安裝VPN軟件，客戶無需安裝任何特殊軟件，其內(nèi)部構(gòu)成，實施和管理對VPN客戶完全透明。四、按VPN服務(wù)類型分根據(jù)服務(wù)類型，VPN業(yè)務(wù)可以分為三類，接入VPN，內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。1、企業(yè)內(nèi)部VPN（IntranetVPN）在VPN技術(shù)出現(xiàn)以前，公司兩異地機構(gòu)的局域網(wǎng)想要互聯(lián)一般會采用租用專線的方式，雖然該方式也采用隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。該方式也能提供傳輸?shù)耐该餍?，但是它與VPN技術(shù)在安全性上有根本的差異。而且在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。2、擴展的企業(yè)內(nèi)部VPN（ExtranetVPN）Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第12頁。此種類型由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多地考慮設(shè)備的互聯(lián)，地址的協(xié)調(diào)，安全策略的協(xié)商等問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。ExtranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第12頁。3、遠程訪問VPN（AccessVPN）與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)相對應(yīng)，在該方式下遠端用戶不再是如傳統(tǒng)的遠程網(wǎng)絡(luò)訪問那樣，通過長途電話撥號到公司遠程接入端口，而是撥號接入到用戶本地的ISP，利用VPN系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸通道。這種方式最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工撥號接入到用戶本地的ISP，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接，不但保證連接的安全，同時負擔(dān)的電話費用大大降低。五、按承載主體分這是客戶和ISP最關(guān)心的問題?？蛻粢话銜越╒PN或外包VPN，這通常決定由建設(shè)VPN的成本，復(fù)雜度等多方面的決定。1、自建VPN企業(yè)在駐地安裝VPN的客戶端軟件，在企業(yè)網(wǎng)邊緣安裝VPN網(wǎng)關(guān)軟件，完全獨立于運營商建設(shè)自己的VPN網(wǎng)絡(luò)，運營商不需要做任何對VPN的支持工作。選擇之間VPN的客戶，一般資金充足，擁有相當(dāng)?shù)膶I(yè)技術(shù)力量，而且在安全性等方面對網(wǎng)絡(luò)有特殊要求，需要自行控制VPN網(wǎng)絡(luò)。另外，用戶和站點分布范圍廣，數(shù)量較多，對保密和可用性有一定要求，而對實時業(yè)務(wù)要求不高的中小企業(yè)，還有在內(nèi)部網(wǎng)中止鍵VPN部門的子網(wǎng)企業(yè)，也需要自建VPN。2、外包VPN用戶將VPN及遠程外包給某一服務(wù)提供商，用戶將得到安全策略管理，用戶管理以及獲得技術(shù)支持。企業(yè)可以因此降低組建和運維VPN的費用，而運營商也可以因此開拓新的IP業(yè)務(wù)增值服務(wù)市場，獲得更好的收益，并提高客戶的保持力和忠誠度。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第13頁。

第三節(jié)VPN的連接方式Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第13頁。一、傳輸模式傳輸模式連接用于在設(shè)備的真正源和目的IP地址之間傳輸數(shù)據(jù)時使用。傳輸模式是使用封裝方法，防火墻將UDP段封裝在VPN的數(shù)據(jù)包或者段里面；VPN封裝包含的信息將幫助目標(biāo)設(shè)備確認被保護的信息；VPN信息接著會封裝進一個IP數(shù)據(jù)包，而源設(shè)備是防火墻，目標(biāo)設(shè)備是系統(tǒng)日志服務(wù)器。二、隧道模式傳輸模式的一種限制是它不具備很好的擴展性，因為保護是基于每一臺設(shè)備的。因此，當(dāng)更多的設(shè)備需要在兩個不用區(qū)域以安全的方式相互通信時，應(yīng)該使用隧道模式。在隧道模式中，實際的源和目標(biāo)設(shè)備通常不保護流量，相反，某些中間設(shè)備用于保護這些流量。代表其他設(shè)備提供VPN保護的設(shè)備通常被稱呼為VPN網(wǎng)關(guān)隧道模式的封裝過程，區(qū)域的防火墻產(chǎn)生一個系統(tǒng)日志信息，將它封裝到一個UDP中，并放入IP數(shù)據(jù)包；當(dāng)VPN網(wǎng)關(guān)收到區(qū)域PIX的系統(tǒng)日志IP數(shù)據(jù)包后，VPN網(wǎng)關(guān)會封裝整個帶有VPN保護信息的數(shù)據(jù)包；接著，VPN網(wǎng)關(guān)將這個信息放入到另一個IP數(shù)據(jù)包中。模式協(xié)議傳輸模式隧道模式AHIP—AH—DataIP—AH—IP—DataESPIP—ESP—Data—ESP-TIP—ESP—IP—Data—ESP-T圖1.1傳輸模式與隧道模式的報頭區(qū)別Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第14頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第14頁。第四節(jié)VPN關(guān)鍵技術(shù)一、隧道技術(shù)隧道技術(shù)是VPN的基礎(chǔ)技術(shù)，也是VPN的核心技術(shù)。它類似于點地點連接技術(shù)，在公網(wǎng)建立一條數(shù)據(jù)隧道，讓數(shù)據(jù)包通過這條隧道傳輸。它將原始數(shù)據(jù)包進行加密，信息結(jié)構(gòu)變換，協(xié)議封裝和壓縮后，嵌入另一種協(xié)議數(shù)據(jù)包后在網(wǎng)絡(luò)中傳輸，使得只有被授權(quán)的用戶才能對隧道中的數(shù)據(jù)包進行解釋和處理，且隧道是專用的，從而保護遠程用戶或主機和專用網(wǎng)絡(luò)之間的連接，1、隧道技術(shù)在VPN的實現(xiàn)中具體有如下主要作用①一個IP隧道可以調(diào)整任何形式的有效負載，是遠程用戶能夠透明的撥號上網(wǎng)來訪問企業(yè)的IP②對倒能夠利用封裝技術(shù)同時調(diào)整多個用戶或多個不同形式的有效負載。③使用隧道技術(shù)訪問企業(yè)網(wǎng)時，企業(yè)網(wǎng)不會向公網(wǎng)報告它的IP地址④隧道技術(shù)允許接收者濾掉或報告?zhèn)€人的隧道連接。二、加解密技術(shù)加密技術(shù)是數(shù)據(jù)通信中一項較為成熟的技術(shù)。利用加密技術(shù)保證傳輸數(shù)據(jù)的安全是VPN安全技術(shù)的核心。為了適應(yīng)VPN的工作特點，目前VPN均采用對稱加密體制和公鑰加密體制相結(jié)合的方法。對稱密鑰使用同一把鑰匙來對信息提供安全的保護。因為同一吧要是用于建立和檢查安全保護，該算法相對比較簡單而且非常有效率。因此，對稱算法，工作速度非?？臁PN目前常用的對稱密碼加密算法有：DES，3DES，RC4，RC5等公鑰加密體制，或非對稱加密體制，是通信各方使用的兩個不同的密鑰，私鑰被源安全的收藏，永遠都不會和其他的設(shè)備共享，公鑰可以送給其他設(shè)備。非對稱密鑰可以用于加密數(shù)據(jù)和執(zhí)行驗證功能。當(dāng)前常見的公鑰體制有RSA三、密鑰管理技術(shù)Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第15頁。密鑰管理技術(shù)的主要任務(wù)是如何實現(xiàn)在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取。密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個方面。主要表現(xiàn)于管理體制，管理協(xié)議和密鑰的產(chǎn)生，分配，更換和注入Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第15頁。密鑰的分發(fā)有兩種方法:1通過手工配置的方式.2采用密鑰交換協(xié)議動態(tài)分發(fā)，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN的應(yīng)用的安全性。四、身份認證技術(shù)身份認證是為了保證操作者的物理身份與數(shù)字身份相對性，它是防護網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口。VPN需要解決的首要問題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認證，如果沒有一個萬無一失的身份認證方案，不管其他安全設(shè)施有多嚴密。整個VPN功能都將失效。身份認證技術(shù)可劃分為非PKI身份認證和PKI體系身份認證第五節(jié)本章小結(jié)本章主要從VPN的定義，分類以及在架構(gòu)VPN服務(wù)器中所用到的相關(guān)技術(shù)，做了詳細的分析，這些在實際現(xiàn)實的架構(gòu)中，為VPN的建設(shè)提供了實用的認知的指導(dǎo)，也為我在下面的建設(shè)VPN的時候，知道了會用到的相關(guān)技術(shù)，例如數(shù)據(jù)的加密，解密，證書的管理等。本章中，在介紹VPN的優(yōu)缺點時，我們理性的了解到，VPN在給我們巨大方便的同時，仍然存在某些的不足。事務(wù)都具有兩面性，在運用VPN時，如何來規(guī)避一些它自身的缺點，從而為用戶帶來更好的體驗，是我們研究的方向。章節(jié)中還具體分析了VPN在實際生活中的分類，我們可以通過自己或企業(yè)的具體需求，規(guī)劃自己的VPN。根據(jù)不同的VPN，也可以了解到，他們之間的區(qū)別，以及和IPS運營商之間的聯(lián)系，這些都可以使在實際的建設(shè)中帶來方便。安全，是現(xiàn)在互聯(lián)網(wǎng)上最值得大家關(guān)注的對象，VPN的安全也不例，VPN說到底，還是要在公網(wǎng)上傳播數(shù)據(jù)的，如何保證這些數(shù)據(jù)的安全性，這對任何一個架設(shè) VPN的同學(xué)都是令人感到頭疼的事情，世上沒有絕對安全的東西，但是我們也不能不對VPN做安全管理。本章中，介紹了VPN建設(shè)中所用到的一些隧道技術(shù)，安全技術(shù)，最大的保障了VPN數(shù)據(jù)在傳送過程中的安全性。能做到一個高效的，安全的，穩(wěn)定的連接，才是我們最終所要用到的VPN。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第16頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第16頁。第二章IPsec概述第一節(jié)IPsec簡介IPsec（IPSecurity）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。IPSec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認證算法，它只是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密或認證的實現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面的措施進一步發(fā)展和標(biāo)準(zhǔn)化[11]。同時，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實施。IPSec協(xié)議是一個應(yīng)用廣泛、開放的VPN安全協(xié)議。IPSec適應(yīng)向Ipv6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，進行透明的安全通信。IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如Internet）中傳輸?shù)陌踩珯C制。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備（如路由器）之間為數(shù)據(jù)的傳輸提供保護，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認證。一、IPsec提供的服務(wù)1、數(shù)據(jù)機密性（Confidentiality）IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對包進行加密。2、數(shù)據(jù)完整性（DataIntegrity）IPsec接收方對發(fā)送方發(fā)送來的包進行認證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改。3、來源認證（DataAuthentication）Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第17頁。IPsec在接收端可以認證發(fā)送IPsec報文的發(fā)送端是否合法。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第17頁。4、防重放（Anti-Replay）IPsec接收方可檢測并拒絕接收過時或重復(fù)的報文。二、IPsec具有以下特點：（1）支持IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）可實現(xiàn)密鑰的自動協(xié)商功能，減少了密鑰協(xié)商的開銷?？梢酝ㄟ^IKE建立和維護SA的服務(wù)，簡化了IPsec的使用和管理。（2）所有使用IP協(xié)議進行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，而不必對這些應(yīng)用系統(tǒng)和服務(wù)本身做任何修改。（3）對數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個數(shù)據(jù)流為單位，這不僅靈活而且有助于進一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊三、封裝模式1、隧道（tunnel）模式用戶的整個IP數(shù)據(jù)包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通訊。2、傳輸（transport）模式只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺主機之間的通訊，或一臺主機和一個安全網(wǎng)關(guān)之間的通訊[4]。不同的安全協(xié)議在tunnel和transport模式下的數(shù)據(jù)封裝形式如圖2.1所示，data為傳輸層數(shù)據(jù)。模式協(xié)議傳輸模式隧道模式AHIP—AH—DataIP—AH—IP—DataESPIP—ESP—Data—ESP-TIP—ESP—IP—Data—ESP-TLinux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第18頁。圖2.1傳輸模式與隧道模式的封裝情況Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第18頁。四、IPsec優(yōu)缺點1、IPsec的優(yōu)點①IPsec工作在傳輸層之下，因此對應(yīng)用層是透明的，當(dāng)在路由器或者防火墻上安裝IPsec時，無需要更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPsec，應(yīng)用程序等上層軟件也不會受影響。另外，IPsec也可以為單個用戶提供主機到主機的安全隧道，保護客戶的敏感信息。IPsec選擇在IP成是一種很好的選擇，更好級別的服務(wù)只能保護某一種協(xié)議，更低級別的服務(wù)則只能保護某一種通信媒體，而IPsec則可以保護IP之上的任何協(xié)議和IP之下的任何通信媒體。②IPsec具有模塊化的設(shè)計，即使選擇不同的算法，也不會影響到其他部分的實現(xiàn)，不同用戶群可以根據(jù)自己的需求選擇合適的算法集③IPsec使用包過濾的方式進行訪問控制。則按可以減少握手的時間，一次握手就可以傳送大量的數(shù)據(jù)，尤其適用于傳輸數(shù)據(jù)量大的應(yīng)用④VPN交換機的分離通道特性為IPsec客戶端提供同時對internet，extranet和本地網(wǎng)絡(luò)訪問的支持，該技術(shù)可以設(shè)置權(quán)限，允許用戶的訪問權(quán)限，如允許本地打印和文件共享訪問，允許直接internet訪問和允許安全外網(wǎng)訪問，該特性使用用戶在安全條件下合理方便的使用網(wǎng)絡(luò)資源，既有安全性又有靈活性。IPsec定義了開放的體系結(jié)構(gòu)和框架。2、IPsec的缺點IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態(tài)分配地址時不太適合于IPSec；除了TCP/IP協(xié)議以外，IPSec不支持其它協(xié)議；除了包過濾外，它沒有指定其它訪問控制方法；對于采用NAT方式訪問公共網(wǎng)絡(luò)的情況難以處理；IPSec目前還僅支持單播的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包[14]。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第19頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第19頁。第二節(jié)IPsec協(xié)議體系下圖2.2為IPsec體系結(jié)構(gòu)IPsec體系封裝安全負載（ESP）認證包頭（AH）加密算法IPsec體系封裝安全負載（ESP）認證包頭（AH）加密算法認證算法解釋域密鑰管理策略IPsec體系文檔是RFC2401，它定義了IPsec的基礎(chǔ)結(jié)構(gòu)，指定IP包的機密性和身份認證使用的傳輸安全協(xié)議ESP或AH實現(xiàn)，包好了一半的概念，安全需求，定義和定義IPsec的技術(shù)機制。ESP（EncapsulateSerurityPayload，封裝安全載荷），定義了為通信提供機密性，完整性保護和抗重播服務(wù)的額具體實現(xiàn)方法，以及ESP頭在ESP實現(xiàn)中應(yīng)插入IP頭的位置，ESP載荷格式，各字段的語義，取值方式以及對進入分組和外出分組的處理過程。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第20頁。AH（AuthenticationHeader，認證頭），定義了為通信提供完整性和看重放服務(wù)的具體實現(xiàn)方法，以及AH頭在AH實現(xiàn)中應(yīng)插入IP頭的位置，AH頭的語法格式，各字段的語義，取值方式以及實施AH時對進入和外出分組的處理過程。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第20頁。認證算法，定義了對ESP的認證算法為散列函數(shù)MC5或SHA的HMAC版本。加密算法，定義了DES-DBC作為ESP的加密算法以及如何實現(xiàn)DES-CBC算法和初始化矢量的生成。IKE（InternetKeyExchange，因特網(wǎng)密鑰交換），定義了IPsec通信雙方如何動態(tài)建立共享安全參數(shù)和經(jīng)認證過的密鑰。IKE的功能包括：加密/鑒別算法和密鑰的協(xié)商，密鑰的生成，交換及管理，通信的模式保護，密鑰的生存期等。IPsecDOI（DomainofInterpretation，解釋域），IKE定義了安全參數(shù)如何協(xié)商，以及共享密鑰如何建立，但沒有定義協(xié)商內(nèi)容，協(xié)商內(nèi)容與IKE協(xié)議本身分開實現(xiàn)。協(xié)商的內(nèi)容被歸于一個單獨的文檔內(nèi)，名為IPsecDOI策略，是兩個實體間通信的規(guī)則，它決定采用什么協(xié)議，什么加密算法和認證算法來通信，策略不當(dāng)可能造成不能正常工作。一、IPsec基本工作原理IP協(xié)議本身不繼承任何安全特性，在傳輸過程中很容易偽造IP包的地址，修改其內(nèi)容，重播以前的包，以及攔截并查看包的內(nèi)容[2]。因此，在internet上傳遞IP數(shù)據(jù)包可能會遇到身份欺騙，數(shù)據(jù)的完整性破壞，數(shù)據(jù)的隱私性破壞等安全威脅。IPsec可以有效的保護IP數(shù)據(jù)包的安全，主要采取的保護形勢為：數(shù)據(jù)源驗證，無連接數(shù)據(jù)的完整性驗證，數(shù)據(jù)內(nèi)容的機密性，抗重播保護等。比如，AH或ESP協(xié)議進行身份認證的保護，也可以進行數(shù)據(jù)完整性的保護。使用ESP或AH協(xié)議，可以對IP數(shù)據(jù)包或三層協(xié)議進行保護，其中，AH可以認證數(shù)據(jù)的起源地，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的重播。ESP除具有AH的所有能力之外，還可以選為數(shù)據(jù)流提供機密性保障。IPsec虛擬隧道接口對報文的加封裝/即封裝發(fā)生在隧道接口上[8]。用戶流量到達實施IPsec配置的設(shè)備后，需要IPsec處理的報文會被轉(zhuǎn)發(fā)到IPsec虛擬隧道接口上進行加封裝/接封裝。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第21頁。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第21頁。圖2.3IPsec虛擬隧道接口對報文進行加封裝的過程Router將從入接口接收到的IP明文送到轉(zhuǎn)發(fā)模塊進行處理；轉(zhuǎn)發(fā)模塊依據(jù)路由查詢結(jié)果，將IP明文發(fā)送到IPsec虛擬隧道接口進行加封裝，原始IP報文本封裝在新的IP報文中，新的IP頭中的源地址和目的地址分別為賽道接口的源地址和目的地址IPsec虛擬隧道接口完成對IP明文的加封裝處理后，將IP密文送到轉(zhuǎn)發(fā)模塊進行處理.轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP密文通過隧道接口的實際物理接口轉(zhuǎn)發(fā)出去接口解封裝如下圖2.4圖2.4IPsec虛擬隧道接口對報文進行解封裝的過程Router將從入接口接收到的IP密文送到轉(zhuǎn)發(fā)模塊進行處理；轉(zhuǎn)發(fā)模塊識別到此IP密文的目的地為本設(shè)備的隧道接口地址切IP協(xié)議號為AH或ESP時，會將IP密文送到相對應(yīng)的IPsec虛擬隧道接口進行接封裝，將IP密文的外層IP頭去掉，對內(nèi)層IP報文進行解密處理。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第22頁。IPsec虛擬隧道接口完成對IP密文的解封裝處理后，將IP明文重新送回轉(zhuǎn)發(fā)模塊處理；Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第22頁。轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP明文從隧道的技術(shù)物理接口轉(zhuǎn)發(fā)出去。二、安全關(guān)聯(lián)1、定義安全關(guān)聯(lián)（SecurityAssociation，SA），是IPsec的基礎(chǔ)。AH和ESP都使用SA，SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種提供安全服務(wù)的連接。它規(guī)定用來保護數(shù)據(jù)的IPsec協(xié)議類型，加密算法，認證方式，加密和認證密鑰，密鑰生存時間以及防重放攻擊序列號等，位所承載的流量提供安全服務(wù)。SA是一個單向的邏輯連接，在一次通信中，IPsec需要建立兩個SA，一個用于入站通信，另外一個用于出站通信。通過一個三元組參數(shù)可以唯一標(biāo)識每個SA，包括參數(shù)索引SPI，源IP地址，目的IP地址和特定的安全協(xié)議（AH和ESP）。SA只適用于點到點通信。SPI是一個32位證書，并且是為了唯一標(biāo)識SA參勝的，SPI在AH和ESP頭中傳輸，所以，IPsec數(shù)據(jù)包的接收方易于識別SPI，并利用它連同源/目的IP地址和協(xié)議來搜索SPD，以確定與該數(shù)據(jù)包相關(guān)聯(lián)的SA2、SA的功能SA所能夠提供的安全服務(wù)取決于所選擇的安全協(xié)議，SA的工作模式，SA終點和協(xié)議內(nèi)所選擇的服務(wù)。 AH可以為接收端提供抗重播服務(wù)，防止拒絕服務(wù)攻擊。當(dāng)不需要或不允許使用數(shù)據(jù)的保密性時，最好使用AH協(xié)議。AH也可以用于需要對IP頭做認證服務(wù)的情形。AH為IP數(shù)據(jù)流提供了高強度的密碼認證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第23頁。ESP為流量可選擇提供保密服務(wù)，保密服務(wù)的強度取決于ESP所使用的加密算法。ESP也可以提供認證服務(wù)。使用ESPSA隧道模式可以加密內(nèi)部IP頭，隱藏流量的源/目的IP地址，進一步可以利用ESP填充字段隱藏數(shù)據(jù)包的真實長度。ESP也可用于撥號方式的移動用戶，在用戶和企業(yè)之間建立隧道模式的ESPSA。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第23頁。3、SA數(shù)據(jù)庫（SAD）IPsec使用選擇符選擇應(yīng)該使用的SA，而選擇符是根據(jù)IP層和傳輸層的信息標(biāo)志生成的。IPsec系統(tǒng)用中的安全策略數(shù)據(jù)庫和安全聯(lián)盟數(shù)據(jù)庫與SA緊密相關(guān)。SPD規(guī)定所有來之主機，安全網(wǎng)關(guān)等的IP包應(yīng)該使用安全策略，SAD包含每個SA的相關(guān)參數(shù)，它是將所有的SA以某種數(shù)據(jù)結(jié)構(gòu)集中存儲的列表。（1）、選擇符選擇符是從網(wǎng)絡(luò)層包頭和傳輸層幀頭中提取出來的，由目的地址，源地址，名字，協(xié)議和上層端口組成，用于選擇為包提供的安全服務(wù)（2）、安全策略數(shù)據(jù)庫（SPD）SPD是根據(jù)IP包的源地址、目的地址、入數(shù)據(jù)還是出數(shù)據(jù)等，規(guī)定以何種方式對IP包提供服務(wù)，是SA的基礎(chǔ)。SPD的策略是有序的，對于出數(shù)據(jù)流或入數(shù)據(jù)流的三種處理方式如下：①丟棄，不處理包，只是簡單的丟棄②繞過IPsec，不需要IPsec保護包，生成普通的IP包送出③應(yīng)用IPsec對包提供保護，且SPD必須說明希望提供安全服務(wù)、協(xié)議和算法（3）、安全聯(lián)盟數(shù)據(jù)庫（SAD）SAD中包含現(xiàn)有的SA條目，每個SA包括一個三元組，用于唯一標(biāo)識這個SA。該三元組包含一個SPI，一個用于輸入處理SA的源IP地址或一個用于處理SA的目的IP地址和一個特定的協(xié)議。一個SAD條目包含以下內(nèi)容：①本方序列號計數(shù)器：用于產(chǎn)生AH或ESP頭的序列號字段，僅用于外出的數(shù)據(jù)包。②對方序列號溢出標(biāo)志：標(biāo)識序列號計數(shù)器是否溢出。③抗重放窗口：用于決定進入的AH或ESP數(shù)據(jù)包是否為重放的，僅用于進入數(shù)據(jù)包。④AH驗證算法、密鑰等⑤ESP加密、密鑰等⑥ESP驗證算法、密鑰等⑦SA的生存期，表示SA能夠存在的最長時間。⑧運行模式：是傳輸模式還是隧道模式Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第24頁。⑨路徑醉倒傳輸單元參數(shù)PMTU：所考察的路徑的MTU以及生存時間TTL變量Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第24頁。（4）、SA的密鑰管理SA的管理主要包括創(chuàng)建和刪除,有以下兩種管理方式：①手工管理：SA的內(nèi)容由管理員手工指定，手工維護。但是，手工維護容易出錯，而且手工建立的SA沒有生存周期限制，有安全隱患。②IKE自動管理：一般來說，SA的自動建立和動態(tài)維護是通過IKE進行的。利用IKE創(chuàng)建和刪除SA。如果安全策略要求建立安全、保密的連接，但又不存在相應(yīng)的SA，IPsec的內(nèi)核會立刻啟動IKE來協(xié)商SA三、AH頭認證1、AH簡介在IP協(xié)議中，驗收IP數(shù)據(jù)報完整性是通過頭部的校驗和來保證的。這樣，當(dāng)修改IP頭后，可以對修改過得IP頭重新計算校驗和并代替之間的校驗和，從而讓接受主機無法知道數(shù)據(jù)報已經(jīng)修改。通過應(yīng)用認證頭協(xié)議可以增加IP數(shù)據(jù)包的安全性[9]。AH為IP包提供數(shù)據(jù)完整性校驗，身份認證和可選的抗重播保護，但是AH不對受保護的IP包加密。AH的作用是IP數(shù)據(jù)流提供高強度的密碼認證，以確保被修改過的數(shù)據(jù)報可以被檢查出來。

AH可單獨使用，也可以與ESP結(jié)合使用，在隧道模式中嵌套使用。AH頭格式AH被用來保證IP包在傳輸過程中是不被修改的，并且由指定發(fā)送人將它發(fā)送除去的新的非重播的數(shù)據(jù)包，AH頭格式如下表。2.1表2.1AH頭格式8816bit下一個頭載荷長度保留安全參數(shù)索引（SPI）序列號認證數(shù)據(jù)（可變）下一個頭（8bit），指示下一個負載的協(xié)議的類型載荷長度（8bit），AH的負載長度保留（8bit），供將來使用Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第25頁。安全參數(shù)索引SPI，SPI是為了唯一標(biāo)識SA而生成的一個32位整數(shù)，它包含在AH頭標(biāo)和ESP頭標(biāo)中，其值1~255被IANA留作將來使用，0被保留，運用SPI，在相同的源，目的節(jié)點的數(shù)據(jù)流可以建立多個SALinux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第25頁。序列號（32bit），單調(diào)增加的32為無符號整數(shù)，利用該域抵抗重發(fā)攻擊認證數(shù)據(jù)，是一個長度可變的域，長度為32比特的整數(shù)倍，具體格式隨認證算法變化兒不同。該認證數(shù)據(jù)也被稱為數(shù)據(jù)報的完整性校驗值。2、AH處理下表2.2是一個標(biāo)準(zhǔn)數(shù)據(jù)包的格式表2.2原始數(shù)據(jù)包格式verhlenTOSPktlenIDflgsFragoffsetTTLProto=TCPHeadercksumSrcIPaddressDstIPaddressIPoptions(ifpresent)TCPheader(proto=6)TCPpayload上表為我們常用的IPv4數(shù)據(jù)包的信息，其中proto字段描述了傳輸層的協(xié)議類型。我們常見的傳輸層類型表如下表2.3表2.3傳輸層協(xié)議表協(xié)議代碼協(xié)議描述1ICMP—互聯(lián)網(wǎng)控制消息協(xié)議2ICGP—互聯(lián)網(wǎng)組管理協(xié)議4IPwithinIP一種類型的封裝6TCP—傳輸控制協(xié)議17UDP—用戶數(shù)據(jù)報協(xié)議41Ipv6—下一代TCP/IP47GRE協(xié)議—常規(guī)路由器封裝用在PPTP50IpsecESP—封裝安全負載51IpsecAH—頭認證Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第26頁。AH用于認證一但不對IP流量做加密，它提供主要的目的是確保我們是在和我們想通信的主機之間通信，通過對傳輸?shù)臄?shù)據(jù)檢測是否其被修改來防止攻擊者捕捉了之前通訊的數(shù)據(jù)包，并藏是修改后重新發(fā)回給網(wǎng)絡(luò)，讓我們接受，這種攻擊行為稱呼為數(shù)據(jù)重演。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第26頁。AH認證是通過計算出IP包頭中除TTL或頭效驗的所有字段的hash值，并將它存在新的AH頭中的一起發(fā)送給另外一端來實現(xiàn)。3、AH報具體處理步驟：（1）、對外出的數(shù)據(jù)包的處理查找對應(yīng)的SA，更具待處理的數(shù)據(jù)包，構(gòu)造出選擇符（源IP地址，目的IP地址，協(xié)議號，通信端口），并以此選擇符位索引檢查的SPI。加入按索引檢查到的SPI條目，該分組應(yīng)受到AH保護，則按SPI條目直接只指向的SA條目找到用以處理數(shù)據(jù)的SA。如果SPI指向SA為空。則采用IKE協(xié)議協(xié)商新的SA。按SA條目給出的處理模式，在適當(dāng)?shù)牡胤讲迦階H頭和外部IP頭。在傳輸模式的AH實現(xiàn)中，帶添加的IP頭為原IP頭，對于隧道模式，將重新構(gòu)造新的IP頭，添加到AH載荷前面。對AH載荷的相應(yīng)字段進行填充。對AH處理后的數(shù)據(jù)報，重新計算IP頭效驗和。如果處理后的數(shù)據(jù)包的長度大于本地MTC，則進行IP分段。處理完畢的IPsec分組被交給數(shù)據(jù)鏈路層或IP層重新路由。（2）對進入數(shù)據(jù)包的處理數(shù)據(jù)包重組，對于收到的數(shù)據(jù)包，查看是否是一個完整的受AH保護的數(shù)據(jù)包，如果得到一個數(shù)據(jù)包指示一個IP包的分段，則必須保留這個分段，直到收到屬于該數(shù)據(jù)包的所有分段，并成功重組后，在進行后續(xù)處理。查找SA，三元組（SAID，目的IP地址，協(xié)議號，SPI），用于標(biāo)識一個SA。由待處理的IPsec數(shù)據(jù)包提取SAID魅力用它作為索引對SADB進行檢索，找到相應(yīng)的處理該數(shù)據(jù)包的SA。如果沒有找到，則丟棄該數(shù)據(jù)包，并將次事件記錄于日志中。序列號檢查，如果次數(shù)據(jù)包的序列號落在該活動SA的滑動窗口內(nèi)，切不是一個重復(fù)收到的數(shù)據(jù)包，則表明此數(shù)據(jù)包是有效的，繼續(xù)后續(xù)處理，否則丟棄該數(shù)據(jù)包，并將此記錄于日志中。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第27頁。檢查ICV字段的值，首先將AH頭中的ICV字段保存下來，然后將這個字段清零，按鑒別算法和鑒別密鑰，與發(fā)送端相同的計算方式計算一個散列輸出。該散列輸出與保存的ICV相比較，如果一樣，則通過完整性檢查，否則丟棄該數(shù)據(jù)包，并將此記錄于日志中。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第27頁。重構(gòu)明文數(shù)據(jù)包，對傳輸模式的AH而言，將AH載荷的“下一載荷頭”字段賦值予IP頭的協(xié)議字段，去除AH封裝，對得到的IP數(shù)據(jù)包重新計算IP頭校驗和。對于隧道埋沒是的AH封裝，內(nèi)部IP頭即是原IP頭。因此恢復(fù)處理只需要除掉外部IP頭，AH頭，便得到原明文IP數(shù)據(jù)包。對處理的合法性檢查，ICV校驗完成后，應(yīng)將該數(shù)據(jù)包的保護方式與SA指向的SPI條目的安全策略相比較，以檢查安全實施的一致性。若相符，則繼續(xù)后續(xù)處理，否則丟棄該數(shù)據(jù)包，并將此記錄于日志中。四、ESP簡介ESP為IP報文無連接的方式提供完整性校驗，認證和加密服務(wù)，同時還可以提供防重放攻擊保護。在選擇期望得到的安全服務(wù)建立SA時，需要遵守如下約定[5]：同時支持完整性校驗和身份認證使用防重放攻擊同時使用完整性校驗和身份認證由接收端選著防重放攻擊保護的使用加密獨立與其他安全服務(wù)，但建議使用加密時同時使用完整性校驗和身份認證1、ESP包格式Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第28頁。表2.4ESP頭格式Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第28頁。安全參數(shù)索引序列號初始化向量載荷數(shù)據(jù)（長度可變）0~255個填充數(shù)據(jù)填充長度下一個頭認證數(shù)據(jù)（長度可變）安全參數(shù)索引（SPi），是一個任意的32位比特值，與目的IP地址和安全協(xié)議結(jié)合在一起，用來標(biāo)識處理數(shù)據(jù)包的安全關(guān)聯(lián)。SPI一般在IKE交換過程中又目標(biāo)住居選定。SPI值為0表示預(yù)留給本地的特定的實現(xiàn)使用。序列號（SequenceNumber），與AH的序列號字段相同，為一個32比特字段的單項遞增計數(shù)器初始化向量，包含于載荷數(shù)據(jù)字段，用于啟動ESP的加密過程，是否需要初始化向量，由加密算法定。載荷數(shù)據(jù)（PayloadData），可變長字段。在這個域中，包含“下一個頭”字段所說明的數(shù)據(jù)。填充項（Padding），填充項的使用是為了保證ESP的便捷適合于加密算法的需要填充長度（PadLength）指出上面的填充項填充了多少字節(jié)的數(shù)據(jù)。通過填充長度，接收端可以恢復(fù)出載荷數(shù)據(jù)的真實長度。下一個頭（NextHeader），8比特字段，在傳輸模式下，是載荷中受保護的上層協(xié)議的編號。在隧道模式下封裝時這個值是4,表示IP-in-IP，IPv6下這個值位41。認證數(shù)據(jù)（AuthenticationData），字段的長度由選著的認證功能指定。它包含數(shù)據(jù)完整檢驗結(jié)果。2、ESP處理對ESP來說，加密的數(shù)據(jù)包是已經(jīng)認證的，需認證的數(shù)據(jù)包是未加密的。ESP打不都采用對成密碼體制加密數(shù)據(jù)，這是因為公鑰密碼系統(tǒng)的運算量要比對稱密鑰系統(tǒng)大得多[12]。（1）、對于發(fā)出數(shù)據(jù)包的具體處理步驟為：使用相應(yīng)的選擇符查找安全數(shù)據(jù)庫獲取策略，其中包括SPI，密鑰等生成或增加序列號，計算器初始化為0,但發(fā)送由第一個數(shù)據(jù)包開始序列號開始遞增，這樣沒個序列號都是非零的且唯一的單詞遞增的數(shù);Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第29頁。對數(shù)據(jù)包進行加密，由SA指定的加密算法，如果選擇認證，則加密要在認證前進行，加密不包含認證數(shù)據(jù)部分;Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第29頁。計算機完整性校驗值，包好SPI，序列號，在和數(shù)據(jù)，填充項，填充長度和下一個頭的密文數(shù)據(jù)等;重新計算機ESP前的IP頭校驗和，重新封裝數(shù)據(jù)包。（2）、對進入的數(shù)據(jù)包的處理步驟為①若IP分組有被分片，則先重組分片包。②使用三元組查詢SA,SA決定是否檢查序列號字段，若查詢失敗，則丟棄數(shù)據(jù)包;③使用選擇符在SPD中查詢與數(shù)據(jù)包匹配的策略，根據(jù)策略檢查是否滿足IPsec的處理要求④若SA指定需要進行認證，則檢查數(shù)據(jù)的完整性，分別進行序列號驗證和ICV認證;⑤數(shù)據(jù)包進行解密第三節(jié)因特網(wǎng)密鑰交換IKE一、IKE定義因特網(wǎng)密鑰交換協(xié)議（IKE）能夠為AH和ESP提供SA的自動協(xié)商，建立，保護的服務(wù)。它是RFC2408互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議結(jié)合Oakley和SKEME等密鑰交換技術(shù)構(gòu)建的混合型密鑰交換協(xié)議IPsec的實現(xiàn)應(yīng)支持IKE協(xié)議，在受保護的方式下為SA協(xié)商和提供已認證的密鑰材料。IKE的實現(xiàn)可以支持協(xié)商VPN，也可用于從遠程訪問安全主機或IP地址事先并不知道的遠程接入。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第30頁。IKE分為兩個階段，第一階段，通信雙方彼此建立一個以通過身份認證的安全保護的通道IKESA，使多有發(fā)起方和應(yīng)答方之間的IKE通信信息都通過加密，完整性檢查和認證的方法得到保護;第二階段，位特定的英特網(wǎng)安全協(xié)議創(chuàng)建安全聯(lián)盟[6]。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第30頁。二、IKE的消息格式1、ISAKMP消息格式IKE實際定義了一個密鑰交換，而ISAKMP僅僅提供了一個可由任意密鑰交換協(xié)議使用的通用密鑰交換框架，ISAKMP報文可以利用UDP或者TCP，端口都是500。一般情況下常用UDP協(xié)議。ISAKMP消息采用固定的頭格式，頭格式之后攜帶可變長度的在和字段。表2.5ISAKMP的消息格式如下 8字節(jié)發(fā)起者的cookie響應(yīng)著的cookie下一載荷主版本副版本交換類標(biāo)志消息ID消息長度消息載荷發(fā)起者cookie，長度位64bit。通過cookie可以讓通信雙方確認收到的ISAKMP報文是否由對方發(fā)送。如果驗證此cookie字段和以前收到的cookie字段不同，則不論是發(fā)起放還是應(yīng)答方，都丟棄此報文。應(yīng)用這種機制可以防止拒絕服務(wù)攻擊。響應(yīng)者cookie，長度位64bit下一載荷，長度位64bit，目前定義了13種載荷主辦本，長度為4bit，表示ISAKMP協(xié)議的主坂本號副版本，長度為4bit，表示ISAKMP協(xié)議的次版本號交換類型，長度為8bit。表示報文所屬的交換類型，目前定義了5種交換類型標(biāo)志，長度為8bit，目前只使用后三位，其他字段保留，用0填充Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第31頁。消息ID，長度為32bit，包含由第二階段協(xié)商的發(fā)起方生成的隨機值，次隨機值可以唯一確定第二階段的協(xié)議狀態(tài)Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第31頁。消息長度，表IASKMP整個報文的總長度，包括頭部和若干載荷⑩消息載荷2、IKE的消息格式IKE協(xié)議利用了ISAKMP提供的框架，結(jié)合Oakley和SKEME的密鑰交換協(xié)議的優(yōu)點。這種混合協(xié)議可以為SA的協(xié)商和密鑰材料交換提供有效的安全性保護，既可以用于安全虛擬專用，也可以用于遠程用戶接入安全網(wǎng)絡(luò)。表2.6IKE的消息格式8字節(jié)發(fā)起者的cookie響應(yīng)者的cookie下一載荷主版本副版本交換類型標(biāo)志消息ID消息長度10（nonce載荷）0（保留）載荷長度KE載荷數(shù)據(jù)0（none載荷）0（保留）載荷長度nonce載荷數(shù)據(jù)3、IKE的認證方式在IKE階段的DH交換后，通信雙方已經(jīng)建立了一個共享密鑰，但還沒有通過身份認證，因此必須對DH的共享密鑰進行認證[14]。IKE有地中認證方式：（1）、基于公開密鑰的認證Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第32頁。這種認證交換通過用對方公開密鑰加密身份，然后通過檢查對方發(fā)來的該散列值做認證。正切的散列值證明對方能夠解密用它自己的公開密鑰加密的數(shù)據(jù)。使用公開密鑰增加了密鑰交換的安全性，因為攻擊者必須攻破該DH交換和RSA交換。但是使用公開密鑰做認證的缺點是計算機量相對較大，因為每一方都需要做兩次公開密鑰的加密和解密.Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第32頁。（2）、基于修正過的公開密鑰認證這種認證方法具有認證凡是的很多優(yōu)點，但用對成密鑰算法替換了一些計算機代價很大的公開密鑰算法。（3）、基于預(yù)共享密鑰的認證在這種方法中，發(fā)起方和應(yīng)答方必須有相同的預(yù)共享密鑰，通常使用外帶技術(shù)來協(xié)商密鑰。在IKE主模式中，使用共享密鑰需要已知對端IP地址，具有一定的局限性（4）、基于數(shù)字簽名的認證這種認證交換使用協(xié)商好的數(shù)字簽名算法做散列處理，散列算法應(yīng)用在大多數(shù)已交換的參數(shù)上4、IKE在IPsec中的作用①因為有了IKE,IPsec很多參數(shù)(如:密鑰)都可以自動建立,降低了手工配置的復(fù)雜度。②IKE協(xié)議中的DH交換過程,每次的計算和產(chǎn)生的結(jié)果都是不相關(guān)的。每次SA的建立都運行③DH交換過程,保證了每個SA所使用的密鑰互不相關(guān)。④IPsec使用AH或ESP報文頭中的序列號實現(xiàn)防重放。此序列號是一個32比特的值,此數(shù)溢出后,為實現(xiàn)防重放,SA需要重新建立,這個過程需要IKE協(xié)議的配合。對安全通信的各方身份的認證和管理,將影響到IPsec的部署。IPsec的大規(guī)模使用,必須有CA(CertificateAuthority,認證中心)或其他集中管理身份數(shù)據(jù)的機構(gòu)的參與。⑤IKE提供端與端之間動態(tài)認證。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第33頁。

Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第33頁。IPsec與IKE之間的關(guān)系如下圖2.6IKEIKEIKETCP/UDPTCP/UDP加密的報文IpsecIpsec圖2.6IPsec與IKE之間的關(guān)系IKE是UDP之上的一個應(yīng)用層協(xié)議,是IPsec的信令協(xié)議;IKE為IPsec協(xié)商建立SA,并把建立的參數(shù)及生成的密鑰交給IPsec;IPsec使用IKE建立的SA對IP報文加密或認證處理。第四節(jié)本章小結(jié)Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第34頁。本章節(jié)主要就第三層網(wǎng)絡(luò)安全協(xié)議IPsec做了詳細的分析。在分析IPsec協(xié)議所提供的服務(wù)和它的優(yōu)缺點時能夠?qū)Psec有一個理性的認識。在接下來的安全加密中，具體分析了IPsec封裝數(shù)據(jù)包的過程，例如AH和ESP報頭。在分析在網(wǎng)絡(luò)層中，IPsec對外出數(shù)據(jù)包的加/解封裝加/解密過程和對SA進行認證的過程，都是本章所詳細分析的。本章節(jié)對建設(shè)第三層VPN做了理論的支持，對第三層VPN在網(wǎng)絡(luò)中的傳輸?shù)陌踩杂辛撕芨叩募訌娮饔谩Ｍㄟ^本章的介紹，迅速的對網(wǎng)絡(luò)層安全協(xié)議IPsec有一個全面的認識，從各個方面，整體的方向貫通了數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸。Linux系統(tǒng)下VPN技術(shù)分析(畢業(yè)設(shè)計論文)全文共66頁，當(dāng)前為第34頁。第三章Linux下基于IPsec的VPN實施第一章設(shè)計目標(biāo)一、目標(biāo)本章設(shè)計實現(xiàn)的是在OSI的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層，分別利用IPsec和PPTP協(xié)議來自建VPN。通過在四臺建立連接虛擬的CentOS電腦內(nèi)，兩臺作為OpenSWAN網(wǎng)關(guān)，兩臺作為各個網(wǎng)段內(nèi)的PC。實現(xiàn)site-to-site的VPN連接。并對數(shù)據(jù)包