基于工作组的IPSec安全策略系统设计与实现

摘要

IPSec作为网络层的一种安全技术，得到了越来越广泛的应用。IPSec为IP数据包提供了基于加密的安全保护机制，而IPSec的正确实施依赖于安全策略为它提供的安全保护参数。因此，安全策略的正确配置和管理成为了基于IPSec的网络安全技术的重要组成部分。 本文根据金航网内部端到端安全通信的需求，提出了基于IPSecVPN技术的端到端虚拟组网思想，引入了虚拟工作组及组策略的概念来实现不同VPN通信实体的安全隔离。在分析研究了现有安全策略管理方法的基础上，结合虚拟组网思想，本文利用socket网络编程接口和支持可视化编程的集成开发环境C++Builder和Kylix，设计实现了一个基于工作组的安全策略系统，并讨论了该安全策略系统的功能模块及对关键问题的解决方法。本文主要对基于工作组的安全策略系统如下功能组件进行了研究与实现： 1.策略数据库。参照了DMTF和IETF的一些关于策略和IPSec安全策略的标准文档，最大限度的实现了文档规定的IPSec安全策略语义，并使用SQLServer2000关系数据库系统设计了安全策略数据库。 2.策略服务器。设计了安全策略数据库配置界面，实现工作组、用户及组策略的集中配置，并为策略客户端提供状态维护以及组策略分发等服务。 3.策略客户端。设计了策略客户端登陆界面，接收来自策略服务器的组策略并解析为端到端基于IP的隧道策略，并通知IKE服务程序与同组其它用户的IKE服务程序协商生成端到端的IPSec安全隧道。 本文最后对基于工作组的安全策略系统进行了功能测试，测试结果表明系统工作正常。本文研究设计安全策略系统，结合底层IPSec驱动和IKE模块的实现，对于其它行业的企业内部信息通信安全同样具有适用性。

目录

文摘

英文文摘

第一章绪论

1.1研究背景

1.2IPSec VPN

1.3安全策略系统

1.4研究内容

第二章IPSec协议及安全策略管理

2.1IPSec体系结构

2.1.1IPSec安全协议

2.1.2安全关联

2.1.3密钥管理

2.1.4加密算法

2.2IPSec实现及应用

2.2.1IPSec实现方法

2.2.2IPSec应用模式

2.3IPSec安全策略管理

2.3.1IPSec安全策略

2.3.2IPSec策略管理的必要性

2.3.3现有IPSec策略管理方法-SPS

2.3.4SPS中存在的问题

2.4小结

第三章端到端虚拟组网及组安全策略系统

3.1金航网端到端虚拟组网思想

3.2虚拟组网及组策略

3.2.1工作组和用户定义

3.2.2IPSec策略信息模型

3.2.3组策略的定义

3.2.4组策略的特点

3.3组安全策略系统

3.3.1安全策略数据库

3.3.2策略配置

3.3.3策略分发

3.4小结

第四章组安全策略系统设计及实现

4.1基于IPSec的端到端安全通信系统框架

4.2组安全策略系统设计目标

4.3组安全策略系统设计

4.3.1策略服务器

4.3.2策略客户端

4.3.3策略数据库

4.4组安全策略系统关键问题解决方法

4.4.1系统开发环境的选择

4.4.2客户端跨平台和跨网段的支持

4.4.3服务器与客户端通信消息的制定

4.4.4UDP消息的可靠性与安全性

4.4.5组策略的解析

4.4.6IKE协商角色的确定

4.4.7系统的异常检测机制

4.5小结

第五章组安全策略系统测试

5.1测试环境

5.1.1网络拓扑结构

5.1.2安全域组结构

5.1.3其它测试条件

5.2测试内容

5.2.1策略客户端登陆

5.2.2策略客户端退出

5.2.3工作组、用户及组策略管理配置

5.2.4客户端根据收到的新策略刷新隧道

5.2.5用户登陆状态显示列表

5.2.6管理员退出服务器程序

5.2.7策略客户端异常退出

5.2.8策略服务器异常退出

5.3测试结果

5.4小结

第六章结束语

参考文献

硕士学位期间发表的学术论文

致谢

西北工业大学学位论文知识产权声明书及原创性声明