IPSec客户端自动认证配置方式的研究与实现

摘要

目前，基于IPSec技术的VPN正在得到越来越广泛的应用。其中，一种具有广泛市场前景的构想是，远程VPN客户端使用本地ISP的服务与所在组织的VPN网关建立安全隧道，访问网关后面的子网。为实现这种构想，IETF在1997年提出了ISAKMP配置方法，2003年提出了IPSec隧道模式的DHCP配置方式。 通过对上述两种配置方法的研究，同时针对它们存在的不足，设计了更有效、具有更好扩展性的自动认证配置方法。设计思想是在现有IPSec VPN网关基础上添加认证代理模块、内部地址池的管理模块，在客户端上添加认证功能。这样使得客户端在认证成功后，能够获得一个唯一标识的虚拟IP地址，使用此IP地址来通过隧道方式访问网关后面的子网。 自定义了VPN网关和客户端之间的认证通讯协议，考虑到目前客户端一般使用Windows系统，这样在客户端的实现上，采用了在NDIS Miniport上实现一块虚拟网卡来完成虚IP、内部DNS、WINS服务器等信息的配置，同时在本机路由表中添加到网关后面保护子网的路由信息。采用NDIS-HOOK技术及相应的加密和签名算法，对将要发送的或刚接收到的数据报文进行策略查找，并根据查找得到的策略做后续处理。这里的策略是IKE协商出来的，并保存在IPSec核心策略库中的SPD、SA等信息的集合。通过策略查找和后续处理后就在客户端上实现了IPSec的功能。 使用自动认证配置方式的安全产品已经得到了很广泛的应用，同时它还能适用于许多不同的网络环境。