Internet与大多数包交换网络一样都是建立在IPv4基础上的。然而，IPv4本身并不具备安全特性。很容易便可伪造出IP包的地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。IP安全(IPSec)协议使用强的密码认证和加密算法来保护IP通信的完整性和机密性，为IP及上层协议(如TCP和UDP)提供安全保证。 从IPSec协议族来看，IPSec的实现重点是Internet密钥交换(IKE)和安全策略系统，这两个技术的实现决定了IPSec实现是否完善和标准。 本文基于IPSec标准协议，遵循ISAKMP／OAKLEY密钥协商和管理协议，设计和实现了一个具有自主知识产权的VPN产品——IP隧道机，并重点研究了IKE协议，实现了IP隧道自动协商机制。 本文的工作如下： 1．仔细分析了IPSec在Linux操作系统中的实现——约5万行源代码，以及Linux操作系统中网络实现的部分源代码，在此基础上设计和实现了一个网络安全设备——IP隧道机。它可以提供256位高强度数据加密、完整性验证、基于PKI的身份认证以及抗重播保护功能，最大限度地对上层应用提供安全保护。 2．遵循ISAKMP／OAKLEY密钥协商和管理协议，实现安全可靠的密钥分发与管理，支持X.509证书和PKCS12证书格式，支持严格的PKI身份认证。 3．提供了一种自动协商、添加隧道配置信息的机制，提高隧道协商效率。 4．提供256位高强度数据加密功能。 5．采用隧道模式，支持多隧道嵌套。6.提供客户端访问控制机制，设计并实现了一个灵活、方便的配置工具。7.与GateGod防火墙实现无缝集成，应用于基于Internet的灾难恢复系 统—及时雨紧急救援中心，提供安全可靠的数据传输环境。IP隧道机在技术上取得了如下重大突破:1.实现IKE自动协商，支持手动、自动密钥协商方式，实现隧道自动 协商功能;2.提供基于PKI的身份认证技术，支持XSOg、PKCSIZ证书格式;3.提供128/256高强度数据加密功能，支持DES、3一DES、AES等国际 通用加密算法;4.实现多隧道嵌套技术，支持128路独立的IP隧道，提供网络使用率。 2003年4月25日，“基于Iniemet的灾难恢复系统—及{!寸雨紧急救援中心”通过四川省科技厅专家组鉴定，鉴定委员会一致认为:“该系统成果是国内第一款从于Intemet的跨地域、跨平台的容灾系统，属国内首创。整体技术处于国内邻乏先水平。”VPN技术为本地数据中心和远端数据备份中心提供了安全可靠的数据传输环境并实现逻辑隔离。