论文总字数：27319字

目 录

一、引言 1

（一）VPN研究背景与意义 1

（二）国内外研究现状 1

二、网络体系结构与网络安全 2

三、密码学基础 5

（一）密码学概念 5

（二）现代密码算法 5

（三）数字签名 6

（四）数字认证 6

四、VPN理论 7

（一）VPN概念 7

（二）常用的VPN模型 7

（三）常用的VPN技术和拓扑 8

五、IPSec 相关 9

（一）IPSec安全协议 9

（二）IPSec模式 10

（四）IKE工作原理 14

（五）VPN与IPSec的关系 14

（六）IPSec VPN的优缺点 14

六、VPN的主要应用 15

七、基于IPSec VPN 仿真设计与应用实现 16

（一）Static IPSec VPN 16

（二）Dynamic IPSec VPN 24

（三）DMVPN——IPSec VPN与GRE结合 28

八、VPN技术与硬件平台的融合展望 36

九、结论 36

参考文献： 37

致谢 38

虚拟专用网络VPN技术框架研究和应用

袁健

，China

Abstract:In this article, we mainly study the important security protocols and some important technologies in VPN. In the IPSec protocol, we focus on the two modes of the IPSec protocol: transport mode and tunneling mode. And the IKE protocol and the ISAKMP protocol. Mainly explain two technologies, data encryption technology and identity authentication technology. Two encryption algorithms and digital signatures and digital certificates. Through the simulation of the topology to explain how to apply various protocols and technologies, how to complete the establishment of IPSec tunnel between the existing two router gateways. The integration of IPSec VPN technology with the existing hardware platform is prospected, which can help ordinary users avoid complicated configuration commands.

Key words：cryptography;Internet;IPSec;IKE;ISAKMP

一、引言

（一）VPN研究背景与意义

现在的互联网正处于一个高速发展，用户的数量和网络数量急剧增加的时代^[1]，同时又有许多新的网络服务出现，如网上银行、电子银行、移动操作已经有着越来越广泛的应用，但问题是传统的网络协议不能保证质量，提供服务，没有权力和相应的保障机制。随着网络的开放、网络编程的开源共享和网络的扩大，一些黑客技术越来越受到人们的重视，而且随着很多黑客软件的出现，现在的黑客越来越普通化，很多人都可以成为黑客，这就给用户造成了巨大的经济损失，也正因此有关网络安全的问题越来越受到人们的重视。

目前，随着很多公司和企业自身的发展和国际化，各大公司和企业的分公司或者分支机构越来越多，各分公司与总公司之间需要保持沟通，这就涉及到远程网络的网络访问。为了确保数据的访问安全，各个部门之间的数据在传输过程中，按照传统的方法需要建立专门的网络，每一段都是独立的，但是许多独立的私人网络需要反复的网络投资来购买专线，将形成资源浪费，增加了对以上所提问题的处理的负担，后来提出了虚拟专用网络概念（VPN）的概念是利用公共通信网络（如互联网）完成数据通信且能同时保证安全保密。虚拟专用网VPN以它比较独特的优势赢得了越来越多的公司的青睐，目前国内的VPN系统主要基于IPSec协议，IPSec协议可以为网络通信提供更好的安全维护、认证和授权服务。可以布置在一个比较杂乱的网络中，同时又具有高度的易用性和灵活性。

（二）国内外研究现状

在国外，Internet已经成为企业间必备的一项设施，大多都是基于IP客户端的应用，网络在一个公司的发展中已经处在了一个不容忽视的地位。很多企业和公司都已经将自身的业务转移到了网络中。

在中国的网络环境下，虚拟专用网络VPN的发展和普及之所以受到制约，可以从以下两个方面来说一说：有客观的原因和主观的原因这两个方面存在。

（1）客观原因指的是现在的网络的带宽大小和服务的质量。无论过去还是现在的远程访问互联网的接入，骨干网传输的带宽都是非常小的，服务质量是无法得到保证的，导致企业用户宁愿花费大量的钱在自己的网络上进行投资。但是随着时代的进步，网络中也出现了很多新兴的技术来帮助解决这些问题，比如ADSL，MPLS等。

（2）其中一个主观原因是，用户害怕自己的内部数据在互联网上传输时不安全，会遭到黑客的窃取和篡改。第二个主观方面的原因，也是虚拟专用网VPN受到的最大的限制原因，是公司自己的硬件设备不是很好。除非使用现有的网络技术将他们的业务全部连接起来，虚拟专用网VPN才能够发挥出它真正的优势。

可以想象得到，当消除了上面所提到的所有这些障碍以后，虚拟专有网络VPN将成为用户在线生活的一个重要组成部分，在不久的将来，虚拟专有网VPN技术将成为广域网建设的最佳解决方案。同时，虚拟专有网VPN将不断加快企业网络的建设步伐，该企业和公司不仅能够建设好内部局域网，而且可以快速连接到全国各地分公司的局域网，真正能起到将各个隔开的局域网组合成一整个网络的作用。虚拟专有网VPN将在促进电子商务交流和电子商务的发展中发挥十分重要的作用。

二、网络体系结构与网络安全

网络在现在已经是司空见惯的了，几乎每一户人家都开始接入宽带了。除了这些普通的用户之外，几乎每一个企业或者公司甚至一些政府部门在一些业务或者事情的处理上都会使用到网络。他们使用网络最重要的目的就是希望通过网络来相互传输一些比较重要的信息，比如给对方发送一些文件或者一些比较机密的信息。

网络技术的发展已经给人类的生活带来了巨大的变革。从个人的生活来看，以前在购买物品时，只能去离家不是太远的一些实体店进行购买。然而在现在，只要通过使用互联网，就可以在网上建立网上商店，需要买什么东西的话，只需在网络上下一个订单，当店家在网上收到购买信息之后就可以开始发货，这样对消费者来说十分的方便。现在的时代已经是一个电子商务的时代。

但是网络经济在发展的同时也能看到很多的问题随之产生。互联网环境为社会提供了一个更加方便，快捷，共享和交流的空间，但是互联网的这些特性也给人们带来了很多的安全问题。由于很多的业务都是在用户和网站之间完成的，这就使得很多不法分子为了获得利益而大肆对各类的站点进行攻击，攻击的手段也是各种各样。比如针对网站采用的Sql注入攻击和XSS攻击，还有很多其他的站点也会遭受一些钓鱼网站和木马病毒之类的攻击，由此可见，网络的安全正处在一个很危险的境地，同时网络安全问题也成为了限制电子商务发展的一个主要的原因。只有维护好这些网络站点，保证网站的正常工作，才能让这些网络业务正常运行，互联网经济才不会垮掉。还有一些比如网上的电子银行，电子政务，这些十分方便的应用与现在的网络发展是离不开的。既然利用网络来传输信息，那么网络的安全性问题也就成了一个比较受人关注的点。用户不希望个人的信息在网络上进行传输时被黑客截取或者篡改，从而导致出现经济上的损失。对于一些政府部门甚至国家来说，一些机密信息如果遭到泄露，或者他们的网络体系遭到攻击而瘫痪，可能就会有一些不法分子发表一些反动性的言论，那么到时候造成的影响就不仅仅是经济上的了，就连国家安全都会受到威胁。现在看来网络安全问题就不仅仅是一些个人或者企业的问题了，它还牵扯到了国家的主权和安全，社会经济的发展和稳定以及中华民族文化的传承与发扬。

刚才阐述了一些网络安全松懈可能带来的一些危害，下面来了解一下实行网络安全的重要意义。

首先，网络让每一个人之间的距离都缩短了，甚至帮助人们跨越大洋进行交流，保护网络的安全，不仅让人与人之间更好的相处，还能让国家与国家之间相互和平共处，促进世界的和平与发展。

其次，网络安全事关国家安全和国家主权，也事关民族文化的继承和发扬，在如今这个互联网时代，网络的边界就是国家的第二个国门，安全问题，至关重要。

最后，维护网络安全其实也是在维护政治安全，防止有人利用网络散播谣言，发表反动言论，只有这样，才能更好地维护社会的稳定。

随着越来越多的用户接入Internet，网络安全问题越来越受到人们的重视。网络安全的问题包含了方方面面的问题。其中包括了计算机科学的原理，网络组成中的各种协议，通信方面的相关技术以及信息的加密和解密技术等等。计算机网络安全体系结构由硬件（通常所谓的终端设备，交换机和路由器之类的）、网络通信软件和操作系统组成，对于一个系统来说，首先该系统是以硬件电路等物理设备为载体，然后在载体上运行着各种各样的功能。通过使用路由器，集线器，交换机，电缆和其他网络设备，用户可以建立属于自己的通信网络的无线局域网，所需要的面积比较小，用户需要在无线局域网范围内使用这些网络设备，最简单的一种保护方法，是在无线路由器上设置相应的指令来防止非法用户的登陆或者入侵，可以使用一些通信保护协议来作为保护措施，目前广泛采用的协议加密技术如常用的WPA2加密协议，只有通过使用正确密钥的用户才能访问该无线路由器，驱动程序也可以采用这样的方法进行保护。网络安全通常指的是网络系统的硬件保护（如对一些终端硬件设备的保护）、软件保护（如在PC上设置的个人防火墙），不能非法对其上的数据进行改变、泄露和损坏，可以使整个网络的运行保持稳定且可持续，从而完成对信息的安全传输，并能同时使数据获得良好的保密性。总的来说，计算机网络安全包含了很多的方面，其中包括网络中的硬件设备、数据通信中使用到的一些协议、为了保密而采用的加密技术。但是同时也要知道安全它是相对的，不是绝对的，虽然有着各种不同的安全协议但黑客也会有着更新的攻击手段，这两者永远都是互为矛盾的存在。

网络安全层次体系结构主要分为以下几层：

剩余内容已隐藏，请支付后下载全文，论文总字数：27319字

相关图片展示：