随着信息时代的到来,信息对人们生活的重要性日益加重,信息安全的重要性也随之变得日益重要。IPSec已经成为一种成熟的信息安全技术,基于IPSec的信息安全产品已经被广泛地用来保护信息传输的安全。在Linux中有FreeS/WAN这样成熟的产品,在其他的UNIX系列以及Microsoft操作系统上也有相应的IPSec产品供用户配置使用(依据本文所写的原理进行的开发是在Linux的FreeS/WAN中进行的)。本文在这种成熟的技术和产品的基础上,对IPSec在以下新环境中的应用进行了研究: 1.IPSec与NAT协同工作的问题。因为IPSec技术对数据包进行加密和数字签名的操作,这些操作将IP地址和端口号进行了变形或隐藏;而NAT的功能决定了NAT要读取经过他的数据包的TCP/UDP端口和IP地址并对他们进行修改映射,因此如何让在NAT后面的IPSec产品进行正常的安全通信是一个重要的问题。本文对这个问题进行了研究,给出了解决方案,此设计已经在基于IPSec的网络安全产品中实现。 2.IPSec在移动IP网络中的应用。移动IP的移动性和无线性,IPSec应用于移动中时要进行相应的适应性改进。因为移动主机的转交地址不断的改变,因此在原有的IPSec实现中就要不断地进行IKE协商,IKE协商涉及到大量的数据包交换以及密码计算,因此频繁的IKE协商会大大降低IPSec在移动IP中地应用。当移动主机以无线通信的方式与网络相连时,其带宽容量受到限制,因此频繁IKE协商带来的延迟更为严重。本文在这个问题的解决中采用了改进IPSec产品内核程序在SADB中寻找SA的方法,大大减少IKE协商的次数! 本文的组织结构如下:第一章主要介绍IPSec的工作原理,着重介绍了与本论文相关的部分,包括IPSec的安全机制以及IPSec的运行过程,IKE协商的步骤等内容。第二章主要讲述了NAT与IPSec之间的不兼容性。本章首先简要介绍了NAT的应用原理,说明了与IPSec之间存在哪些不兼容