IPSec VPN中關鍵技術的研究.pdf

1、隨著互聯網在當今社會中的應用日趨廣泛，信息的安全與保密顯得越來越重要，網絡安全產品也被人們重視起來。虛擬專用網VPN系統主要是用來在不安全的網絡環(huán)境中開辟安全的隧道以用于數據傳輸，在網絡產品的應用中占有重要的份額。自從IETF正式制定IPSec作為開放性網絡層安全協議以后，IPSec被引入到VPN的創(chuàng)建方案中來，從此，IPSec VPN技術開始成為安全研究中的一個關鍵問題。 傳統的IPSec VPN系統簡單而有效，能夠滿足最基本

2、的網絡安全需求，但也存在一些局限性。針對IPSec VPN實際應用中出現的問題，通過在實際工作中對IPSec VPN的理解和研究，本文重點從以下三個方面展開論述： 1)對組播應用的支持。IPSec協議實質上只適用于單播安全，不適用于接收方不唯一的組播環(huán)境。鑒于IPSec協議的優(yōu)良特性，希望它能應用于組播環(huán)境，我們利用通用路由封裝(GRE)隧道與IPSec加密相結合的方法解決這一問題，提出在星形結構應用中可能會遇到的問題及如何解決

3、。 2)策略數據庫(SPD)組織結構的改進。安全策略是IPSec體系結構的重要組成部分，它的核心問題是策略的表示和實施。其中，“表示”就是策略的定義、存儲和獲取，“實施”也就是策略在實際通信中的應用。對進入和外出的IP包進行處理的安全策略存放在安全策略數據庫(SPD)中。因為對于要處理的每個數據報都要對其進行查詢處理，所以，SPD的組織結構方式直接對整個IPSecVPN系統的效率影響很大。在實際的應用中，對SPD的查詢速度要求往

4、往很高，特別是在一個復雜的網絡環(huán)境中，因為SPD的源地址、目的地址字段既可能是一個主機地址，也可能是一個子網地址，對其查詢的復雜度相當的高。我們本著提高查詢效率為目的，分別采用多分支Trie樹和Radix樹兩種樹型結構來實現策略數據庫的組織結構，并進行各自優(yōu)缺點的比較。 3)策略相關性的處理。大量的內部節(jié)點各自使用的不同安全策略可能交織在一起，需要正確處理策略之間的相關性。分析了策略相關性，分析其解決方法，深入理解其如何使策略系

5、統能在復雜的網絡環(huán)境中處理大量相互影響的安全策略。 另外，文章接下來為IPSec VPN網絡提出了一個“策略集中存放、管理員分級管理”的安全策略服務器模型。由于VPN系統配置相對于普通用戶來說比較專業(yè)，在實際應用中經常會遇到因策略不一致而導致VPN無法連接的問題。IPSecVPN系統的安全策略服務器主要是將VPN網絡中的策略管理集中到一起，由網絡管理員統一配置和管理，以避免可能存在的策略不一致問題。 本文的意義在于使得人