【文章內(nèi)容簡(jiǎn)介】 部和傳輸層頭部之間。 隧道模式，對(duì)整個(gè) IP 數(shù)據(jù) 包 進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè) IP 頭部， IPSec頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間，從而組成一個(gè)新的 IP 頭部。 VPN的基本原理 VPN 由管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密、 解密模塊 、數(shù)據(jù)分組封裝、 分解模塊和加密函數(shù)庫(kù)幾部分組成。 管理模塊負(fù)責(zé)整個(gè)系統(tǒng)的配置和管理。由管理模塊來(lái)決定采取何種傳輸模式，對(duì)哪些 IP 數(shù)據(jù)包進(jìn)行加密、 解密。由于對(duì) IP 數(shù)據(jù)包進(jìn)行加密需要消耗系統(tǒng)資源，增大網(wǎng)絡(luò)延遲，因此對(duì)兩個(gè)安全網(wǎng)關(guān)之間所有的 IP 數(shù)據(jù)包提供 VPN 服務(wù)是不現(xiàn)實(shí)的。網(wǎng)絡(luò)管理員可以通過(guò)管理模塊來(lái)指定對(duì)哪些 IP 數(shù)據(jù)包進(jìn)行加密。 Inter 內(nèi)部用戶也可以通過(guò)Tel 協(xié)議傳送的專用命令，指定 VPN 系統(tǒng)對(duì)自已的 IP 數(shù)據(jù)包提供加密服務(wù)。 密鑰管理模塊負(fù)責(zé)完成身份認(rèn)證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 6 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 成采取隨機(jī)生成的方式。各安全網(wǎng)關(guān)之間密鑰的分配采 取手工分配的方式， 通過(guò)非網(wǎng)絡(luò)傳輸?shù)钠渌踩ㄐ欧绞酵瓿擅荑€在各安全網(wǎng)關(guān)之間的傳送。各安全網(wǎng)關(guān)的密鑰存貯在密數(shù)據(jù)庫(kù)中，支持以 IP 地址為關(guān)鍵字的快速查詢獲取。 身份認(rèn)證模塊對(duì) IP 數(shù)據(jù)包完成數(shù)字簽名的運(yùn)算。整個(gè)數(shù)字簽名的過(guò)程 ： 首先，發(fā)送方對(duì)數(shù)據(jù)進(jìn)行哈希運(yùn)算 h＝ H(m)，然后 用通信密鑰 k 對(duì) h 進(jìn)行加密得到簽名 Signature＝ { h} key。發(fā)送方 將簽名附在明文之后，一起傳送給接收方。 接收方收到數(shù)據(jù)后，首先用密鑰 k 對(duì)簽名進(jìn)行解密得到 h，并將其與 H(m)進(jìn)行比較，如果二者一致，則表明數(shù)據(jù)是完整的。數(shù)字簽名在保證數(shù)據(jù)完整性的同時(shí)，也起到了身份認(rèn)證的作用，因?yàn)橹挥性谟忻荑€的情況之下，才能對(duì)數(shù)據(jù)進(jìn)行正確的簽名。 數(shù)據(jù)加密 /解密模塊完成對(duì) IP 數(shù)據(jù)包的加密和解密操作?？蛇x的加密算法有 IDEA算法和 DES 算法。前者在用軟件方式實(shí)現(xiàn)時(shí)可以獲得較快的加密速度。為了 進(jìn)一步提高系統(tǒng)效率，可以采用專用硬件的方式實(shí)現(xiàn)數(shù)據(jù)的加密和解密，這時(shí)采用 DES 算法能得到較快的加密速 度。隨著當(dāng)前計(jì)算機(jī)運(yùn)算能力的提高， DES 算法的安全性開(kāi)始受到挑戰(zhàn)，對(duì)于安全性要求更高的網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)加密 /解密模塊可以提供 TriPle DES 加密服務(wù)。 數(shù)據(jù)分組的封裝 /分解模塊實(shí)現(xiàn)對(duì) IP 數(shù)據(jù)分組進(jìn)行安全封裝或分解。當(dāng)從安全網(wǎng)關(guān)發(fā)送 IP 數(shù)據(jù)分組時(shí)，數(shù)據(jù)分組封裝 /分解模塊為 IP 數(shù)據(jù)分組附加上身份認(rèn)證頭 AH 和安全數(shù)據(jù)封裝頭 ESP。當(dāng)安全網(wǎng)關(guān)接收到 IP 數(shù)據(jù)分組時(shí)，數(shù)據(jù)分組封裝 /分解模塊對(duì) AH和 ESP 進(jìn)行協(xié)議分析，并根據(jù)包頭信息進(jìn)行身份驗(yàn)證和數(shù)據(jù)解密。加密函數(shù)庫(kù)為上述模塊提供統(tǒng)一的加密服務(wù)。加密函數(shù)庫(kù)設(shè)計(jì)的一條基 本原則是通過(guò)一個(gè)統(tǒng)一的函數(shù)接口界面與上述模塊進(jìn)行通信。這樣可以根據(jù)實(shí)際的需要，在掛接加密算法和加密強(qiáng)度不同的函數(shù)庫(kù)時(shí)，其它模塊不需作出改動(dòng)。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 7 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 2 IPSec VPN系統(tǒng)的 實(shí)現(xiàn)過(guò)程及具體設(shè)計(jì) IPSec 協(xié)議的實(shí)現(xiàn) IPsec 協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于 IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 AH（ Authentication Header，認(rèn)證頭 ） 、 ESP（ Encapsulating Security Payload，封裝安全載荷）、 IKE（ Inter Key Exchange，因特 網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中， AH 協(xié)議和 ESP 協(xié)議用于提供安全服務(wù)， IKE協(xié)議用于密鑰交換。 IPsec 提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使 IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)。 IPsec 協(xié)議中的 AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證； ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。 AH 協(xié)議（ IP 協(xié)議號(hào)為 51）提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，它能保護(hù)通信免受篡改，但不能防止竊聽(tīng)，適合用于傳輸非機(jī)密數(shù)據(jù)。 AH 的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)文頭，此報(bào)文頭插在標(biāo)準(zhǔn) IP 包頭后面，對(duì)數(shù)據(jù)提供完整性保護(hù)?？蛇x擇的認(rèn)證算法有 MD5（ Message Digest） 、 SHA1（ Secure Hash Algorithm） 等。 ESP 協(xié)議 （ IP 協(xié)議號(hào)為 50） 提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。 ESP 的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn) IP 包頭后面添加一個(gè) ESP 報(bào)文頭，并在數(shù)據(jù)包后面追 加一個(gè) ESP 尾。與 AH 協(xié)議不同的是， ESP 將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的機(jī)密性。常見(jiàn)的加密算法有 DES、 3DES、 AES等。同時(shí)，作為可選項(xiàng)，用戶可以選擇 MD SHA1 算法保證報(bào)文的完整性和真實(shí)性。 在實(shí)際進(jìn)行 IP 通信時(shí)，可以根據(jù)實(shí)際安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。 AH 和 ESP 都可以提供認(rèn)證服務(wù)，不過(guò)， AH 提供的認(rèn)證服務(wù)要強(qiáng)于 ESP。同時(shí)使用 AH 和 ESP 時(shí)，設(shè)備支持的 AH 和 ESP 聯(lián)合使用的方式為：先對(duì)報(bào)文進(jìn)行 ESP封裝，再對(duì)報(bào)文進(jìn)行 AH 封裝，封裝之后的報(bào)文從內(nèi)到外依次是原始 IP 報(bào)文、 ESP 頭、AH 頭和外部 IP 頭。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 8 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 VPN 的實(shí)現(xiàn) 網(wǎng)關(guān)需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡(luò)，一張網(wǎng)卡連接Inter。 2. Inter 中的終端 A 通過(guò)發(fā)送以內(nèi)部網(wǎng)絡(luò)的終端 B 的私有 IP 地址為目的地址的數(shù)據(jù)包來(lái)對(duì)終端 B 進(jìn)行訪問(wèn)。 3. VPN 網(wǎng)關(guān)中連接 Inter 的那一端收到來(lái)自終端 A 發(fā)出的數(shù)據(jù)包時(shí)，會(huì)檢查它的目的地址。如果目的地址是屬于內(nèi)部網(wǎng)絡(luò)中的地址，那么就封裝該數(shù)據(jù)包，不同的 VPN技術(shù)會(huì)采用不同的封裝方式。封裝后的原數(shù)據(jù)包用 來(lái)負(fù)載 VPN 網(wǎng)關(guān)構(gòu)造出的新 VPN 數(shù)據(jù)包，新的 VPN 數(shù)據(jù)包的目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)中的 VPN 網(wǎng)關(guān)的外部地址。 4. VPN 外網(wǎng)網(wǎng)關(guān)發(fā)送 VPN 數(shù)據(jù)包到 Inter 當(dāng)中，由于 VPN 數(shù)據(jù)包的目的地址是VPN 網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被 Inter 中的路由正確地發(fā)送到 VPN 網(wǎng)關(guān)外網(wǎng)接口。 5. VPN 網(wǎng)關(guān)外網(wǎng)接口會(huì)檢查所有接收到的數(shù)據(jù)包， 如果發(fā)現(xiàn)該數(shù)據(jù)包是來(lái)自于公網(wǎng)中的 VPN 網(wǎng)關(guān) ， 則可判定該數(shù)據(jù)包為 VPN 數(shù)據(jù)包 ， 然后會(huì)解封裝該數(shù)據(jù)包 。 解封裝時(shí)先剝離 VPN 數(shù)據(jù)包包頭 ， 然后把 VPN 數(shù)據(jù)包還原成原數(shù)據(jù)包 。 6. 解 封裝之后的原始數(shù)據(jù)包會(huì)被 VPN 網(wǎng)關(guān)發(fā)送到內(nèi)網(wǎng)終端 B，由于原數(shù)據(jù)包中的目的地址是內(nèi)網(wǎng)終端 B 的 IP 地址 ， 因此內(nèi)網(wǎng)中的終端 B 能夠正確地收到該訪問(wèn)數(shù)據(jù)包 。對(duì)于終端 B 來(lái)講，它所收到的數(shù)據(jù)包就跟從終端 A 直接發(fā)送過(guò)來(lái)的數(shù)據(jù)包一樣。 7. 從終端 B 返回終端 A 的數(shù)據(jù)包處理過(guò)程和上述過(guò)程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。 通過(guò)上述說(shuō)明可以發(fā)現(xiàn)，在 VPN 網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對(duì)于 VPN通訊十分重要： 原始數(shù)據(jù)包的目標(biāo)地址（ VPN 目標(biāo)地址）和遠(yuǎn)程 VPN 網(wǎng)關(guān)地址。根據(jù)VPN 目標(biāo)地址， VPN 網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包進(jìn)行 VPN 處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程 VPN 網(wǎng)關(guān)地址則指定了處理后的 VPN 數(shù)據(jù)包發(fā)送的目標(biāo)地址，即 VPN 隧道的另一端 VPN 網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行 VPN 通訊時(shí)，隧道兩端的 VPN 網(wǎng)關(guān)都必須知道 VPN 目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端VPN 網(wǎng)關(guān)地址 。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 9 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次課題的基本 實(shí)現(xiàn)功能及簡(jiǎn)要說(shuō)明 本次課題 的 網(wǎng)絡(luò)拓?fù)鋱D 圖 網(wǎng)絡(luò)拓?fù)鋱D 如圖 所示 ，本次 課題 我們采用兩個(gè)路由器分別充當(dāng)外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)。外網(wǎng)客戶端和 VPN 網(wǎng)關(guān)服務(wù)器的 eth0 端口連接 這個(gè)網(wǎng)關(guān)， VPN 網(wǎng)關(guān)服務(wù)器的 eth1接口和內(nèi)網(wǎng)搭載 web/ftp 的服務(wù)器連接 這個(gè)網(wǎng)關(guān)。由于客戶端和內(nèi)網(wǎng)服務(wù)器的 ip 屬于不同網(wǎng)段，并且他們之間并沒(méi)有設(shè)置路由條目，所以外網(wǎng)客戶端 是 無(wú)法訪問(wèn)內(nèi)網(wǎng)的 web/ftp 服務(wù) 的 。 本次試驗(yàn)的目的就是在 VPN 網(wǎng)關(guān)服務(wù)器上搭載一個(gè) VPN 服務(wù)，然后讓外網(wǎng)客戶端通過(guò) VPN 通道連上 VPN 網(wǎng)關(guān)， VPN 服務(wù)器會(huì) 隨機(jī)分配一個(gè)內(nèi)網(wǎng)的 ip給客戶端，讓客戶端能夠訪問(wèn)內(nèi)網(wǎng)的 web/ftp 服務(wù)。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 10 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次 課題 實(shí)現(xiàn)的基本流程和功能 （ 1） 基本流程 a) 繪制拓?fù)鋱D b) 安裝 虛擬機(jī) c) 在虛擬機(jī)中安裝三個(gè)操作系統(tǒng) d) 設(shè)置虛擬網(wǎng)卡，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) e) 在 VPN 網(wǎng)關(guān)操作系統(tǒng)中安裝和配置 VPN 服務(wù)器 f) 在客戶端添加證書(shū)和 VPN 連接 g) 在內(nèi)網(wǎng)服務(wù)器上安裝 web 和 ftp 服務(wù) h) 調(diào)試 （ 2） 實(shí)現(xiàn)的基本功能 a) VPN 網(wǎng)關(guān)服務(wù)器能夠開(kāi)啟和監(jiān)控 VPN 服務(wù) b) 客戶端能夠連入 VPN 網(wǎng)關(guān)服務(wù)器 c) 客戶端能夠分配到內(nèi)網(wǎng) ip 地址 d) 內(nèi)網(wǎng)服務(wù)器提供 web 和 ftp 服務(wù) e) 客戶端能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)器的 web 和 ftp 服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 11 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 3 基于 IPSec VPN的 Linux網(wǎng)關(guān)平臺(tái)的實(shí)現(xiàn) Linux系統(tǒng)的 簡(jiǎn)介 Linux 其實(shí)就是一個(gè)操作系統(tǒng)，這個(gè)操作系統(tǒng)里頭含有最主要的 kernel 以及 kernel 提供的工具！他提供了一個(gè)完整的操作系統(tǒng)當(dāng)中最底層的硬件控制與資源管理的完整架構(gòu)，這個(gè)架構(gòu)是沿襲 Unix 良好的傳統(tǒng)來(lái)的，所以相當(dāng)?shù)姆€(wěn)定而功能強(qiáng)大！此外，由于這個(gè)優(yōu)良的架構(gòu)可以在目前的個(gè)人計(jì)算機(jī) ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開(kāi)發(fā)者將他們的工作心血移轉(zhuǎn)到這個(gè)架構(gòu)上面，那就是很多的應(yīng)用軟件！雖然 Linux 僅是其核心與核心提供的工具，不過(guò)，由于核心、核心工具與這些軟件開(kāi)發(fā)者提供的軟件的整合，使得 Linux 成為一個(gè)更完整的、功能強(qiáng)大的操作系統(tǒng)！ Linux 系統(tǒng)使用單內(nèi)核，由 Linux 內(nèi)核負(fù)責(zé)處理進(jìn)程控制、網(wǎng)絡(luò)，以及外圍設(shè)備和文件系統(tǒng)的訪問(wèn)。在系統(tǒng)運(yùn)行的時(shí)候，設(shè)備驅(qū)動(dòng)程序要么與內(nèi)核直接集成，要么以加載模塊形式添加。 Linux 具有設(shè)備獨(dú)立性，它內(nèi)核具有高度適應(yīng)能力，從而給系統(tǒng)提供了更高級(jí)的功能。 GNU 用戶界面組件是大多數(shù) Linux 操作系統(tǒng)的重要組成部分，提供常用的 C 函數(shù)庫(kù)， shell，還有許多常見(jiàn)的 Unix 實(shí)用工具，可以完成許多基本的操作系統(tǒng)任務(wù)。大多數(shù) Linux 系統(tǒng)使用的圖形用戶界面創(chuàng)建在 X 窗口系統(tǒng)之上，由 X 窗 口系統(tǒng)通過(guò)軟件工具及架構(gòu)協(xié)議來(lái)創(chuàng)建操作系統(tǒng)所用的圖形用戶界面。 Linux 系統(tǒng)還具備以下優(yōu)點(diǎn)：跨平臺(tái)的硬件支持、豐富的軟件支持、多用戶多任務(wù)、可靠的安全性、良好的穩(wěn)定性、完善的網(wǎng)絡(luò)功能。 Linux 在它的追捧者眼里是一個(gè)近乎完美的操作系統(tǒng)，它具有運(yùn)行穩(wěn)定、功能強(qiáng)大、獲取方便等優(yōu)點(diǎn)，因而有著廣闊的前景，或許也值得我們每一個(gè)計(jì)算機(jī)愛(ài)好者學(xué)習(xí)和應(yīng)用。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 12 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 Linux操作 系統(tǒng) 的搭建 安裝 VMware 圖 虛擬機(jī) 如圖 所示，多臺(tái) PC 機(jī)分別充當(dāng)不懂角色來(lái)完成。所以我們需要安裝虛擬機(jī)實(shí)現(xiàn)用一臺(tái) PC 機(jī)模擬多臺(tái) 機(jī)器，從而實(shí)現(xiàn) VPN 網(wǎng)關(guān)平臺(tái)的搭建、配置與測(cè)試。 VMware虛擬機(jī)主要的功能 1. 不需要分區(qū)或重開(kāi)機(jī)就能在同一臺(tái) PC 上使用兩種以上的操作系統(tǒng)。 2. 完全隔離并保護(hù)不同 OS 的操作環(huán)境以及所有安裝在 OS 上面的應(yīng)用軟件和資料。 3. 不同的 OS 之間還能互動(dòng)操作，包括網(wǎng)絡(luò)、周邊、文件分享以及復(fù)制粘貼功能。 4. 有復(fù)原（ Undo）功能。 5. 能夠設(shè)定并隨時(shí)修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁碟空間、周邊設(shè)備等等。 6. 熱遷移，高可用性。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 13 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 利用虛擬機(jī)安裝多臺(tái)操作系統(tǒng) 圖 虛擬機(jī)上安裝的多個(gè)操作系統(tǒng) 如圖