所谓VPN(Virtual Private Network,虚拟专用网络)是指通过公用骨干网联接,利用隧道协议和安全措施构建的专用网络,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN技术采用了隧道、认证、存取控制、机密性、数据完整性等措施,保证信息在传输中不被偷看、篡改、复制。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联虚拟专用网。由于使用Internet进行传输,相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。越来越多的企业开始考虑使用VPN技术构建自己的企业网和外联网。 本文首先简要介绍了VPN的概念、应用,以及常见的几种在不同通信层次实现VPN的技术,对比了不同技术实现VPN的优缺点;随后分析了IPSec VPN技术涉及的安全协议和密码技术,对IKE协议利用BAN逻辑进行了形式化分析,指出了协议存在的漏洞并提出了修改方案;而后重点阐述了基于IPSec VPN的网关的设计与实现,包括IPSec、IKE以及管理各模块的工作原理、实现的总体思想、实现细节及最终测试结果等。最后对应用中遇到的实际问题进行了分析,给出了解决方案和具体实现的部分代码。 本文的主要技术难点和创新点: 1、实现了IPSec与内核的紧密结合,提高了处理速度; 2、实现了安全关联的动态协商,增强了安全性; 3、解决了IKE协议本身不能抵御假冒攻击的漏洞; 4、实现了动态IP的VPN设备的管理,解决了实用性。