应用于中小型企业的VPN网关的设计与实现

摘要

随着Internet应用的普及，由于虚拟专用网(VPN)以Internet媒介，能为企业提供一种安全、经济、灵活的组网方式受到越来越多的关注。VPN大致可分为两种类型：VDPN(VirtualPrivateDialNetwork)和IntranetVPN(即VPN网关)。VDPN是远程用户或移动雇员和公司内部网之间的VPN，它为远程用户或移动雇员和公司内部网之间提供一条安全、经济的数据通道；VPN网关是公司远程分支机构的LAN和公司总部LAN之间的VPN，可使企业中的异地局域网通过Internet实现安全的互连。 目前实现VPN网关主要是基于IPSec协议，基于IPSec协议的VPN网关能为上层应用提供透明的支持，所以是企业构建跨地区信息化管理平台的首选。但由于基于IPSec协议的VPN网关实现复杂(需要更改或重构操作系统的TCP/IP协议栈)，高开发成本导致VPN网关产品昂贵，不能很好满足国内中小型企业的需要(性价比)。 为简化实现难度，降低开发成本，满足国内中小型企业的需要，本文在分析了当前典型的基于IPSec协议VPN网关解决方案的基础上，参照IPSec协议，结合国内中小企业的应用环境(Windows平台)和企业应用(Web服务、FTP服务、邮件服务、ERP系统、OA系统)，运用Winpcap函数库、原始套接字技术和CryptoAPI，提出了一种在应用层加密待转发IP数据包的新设计方案并将之实现。 该VPN网关作为一个模块已经成功用于某无线办公网的控制系统中，对上层的企业应用提供了良好的透明支持；对异地局域网之间传输的IP包提供了私密性保护和完整性、真实性验证；实现了会话密钥的自动分发和更新。在实际应用中，取得了良好的效果。

目录

文摘

英文文摘

1绪论

1.1课题提出

1.2本文工作简介

2国内外研究现状

2.1 IPSec协议

2.1.1认证头协议规范（AH协议）

2.1.2安全封装协议规范（ESP协议）

2.1.3安全关联（SA）

2.1.4 Internet密钥交换交换协议（IKE协议）

2.2基于IPSec协议的VPN网关

2.3针对中小型企业的设计思路

2.3.1现有解决方案的不足

2.3.2应用于中小型企业的VPN的设计方案

3应用于中小型企业的VPN网关的体系结构

3.1中小型企业的网络现状

3.2应用VPN网关的企业网络模型

3.2.1总部网络构成

3.2.2分部网络构成

3.2.3整个企业网络的子网划分

3.2.4企业网络拓扑图

3.3 VPN网关的体系结构

3.3.1总部VPN网关的功能模块

3.3.2分部VPN网关的功能模块

3.3.3 VPN网关的工作流程及交互

4 VPN网关中的主要数据结构及协议

4.1术语表

4.2信任域单元

4.3控制协议

4.3.1认证请求报文

4.3.2认证确认报文

4.3.3密钥传输报文

4.3.4更换密钥通知报文

4.3.5停止运行通知报文

4.3.6应答报文

4.3.7对控制报文真实性、完整性的验证

4.3.8控制报文的传输

4.4安全传输协议

4.4.1安全传输报文

4.4.2安全传输报文的传输

4.4.3安全传输报文的发送和接收

4.4.4对安全传输报文真实性、完整性的验证

5应用于中小型企业VPN网关的实现

5.1系统初始化模块的实现

5.1.1系统网络接口检测

5.1.2信任域数组的生成

5.2认证模块的实现

5.2.1实现认证功能的原理

5.2.2认证过程

5.2.3实现认证的具体算法

5.3密钥分发模块的实现

5.3.1密钥分发模块的工作流程

5.3.2实现的具体算法

5.4数据捕获模块的实现

5.4.1 IP数据包的捕获原理

5.4.2 Winpcap函数库

5.4.3具体的实现算法

5.5数据转发模块的实现

5.5.1具体的实现算法

5.6数据加密模块的实现

5.6.1 Windows的加密服务

5.6.2加密模块的组成

6结语

6.1本文工作总结

6.2未来研究及展望

致 谢

参考文献

附录A作者在攻读硕士学位期间取得的成果

A.1参加的研发项目

A.2论文及获奖情况

独创性声明及学位论文版权使用授权书