论文摘要
随着经济全球化步伐的加快,跨国、跨地区的企业日益增多,企业内部的分支机构分布也越来越广,各企业之间的合作也越来越频繁,因此企业内部各分支机构之间以及各企业之间需要广泛、及时交流和共享商业数据。随着信息技术的发展和计算机网络的出现,使得企业内分支机构之间以及企业之间进行方便、快速地传输商业数据成为了可能,网络很快就成了他们交流和共享商用数据的主要平台。一些企业已经在内部各分支机构之间建立了自己的专用网络,虽然这种网络安全性非常高,但建设成本也非常高;绝大部分企业都是基于现有的公共网络进行数据传输,企业与企业之间一般也都是采用公共网络进行数据传输,虽然这种网络使用成本底,但存在传输安全上的问题。为了保障一些机密的商业数据在公共网络上传输的安全性和可靠性,提出了一种可行的技术解决手段——VPN,VPN全称是Virtual Private Network即虚拟专用网,它的基本思路就是在公共网络上通过身份认证、访问控制、数据加密、数据完整性保护等措施来构建自己的虚拟专用网络,将物理上分布在不同地点的局域网通过公共网络联结成一个逻辑上的安全虚拟专用网,从而使在公共网络上传输的数据具有在物理专用网络上传输同样的安全性。目前能够实现VPN的技术很多,包括PPTP、L2F、L2TP、SSL、IPSEC、MPLS等,本论文主要是针对IPSec进行分析和研究。IPSec全称IP Security即IP层的安全,是IETF(因特网工程任务组)于1998年11月公布的基于IP协议的安全规范。IPSec本身是在IPv6的制定过程中产生的,IPSec最初的目标就是解决IPv6的安全问题,由于目前的IPv4向IPv6过度还需要一个过程,后来IPSec也提供对IPv4的支持,所以IPSec对IPv6是强制的,对IPv4是可选的。自从IPSec规范制订以后,IETF就一直在从事该规范的完善和改进,目前在RFC中关于IPSec的规范已有十多个。IPSec主要是通过对数据封装、加密、完整性计算、数据源认证等措施来保障机密数据传输的可靠性、机密性、完整性和唯一性。本论文主要深入分析IPSec协议集,包括IPSec框架规范、ESP规范、AH规范以及IKE规范等,研究IPSec工作原理和工作流程,进一步研究IPSec在Linux系统中的实现机制以及IPSec在实际应用中可能存在的问题,并提出可能的解决方法。