【文章內(nèi)容簡介】 部和傳輸層頭部之間。 隧道模式，對整個 IP 數(shù)據(jù) 包 進行加密或認(rèn)證。此時，需要新產(chǎn)生一個 IP 頭部， IPSec頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間，從而組成一個新的 IP 頭部。 VPN的基本原理 VPN 由管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密、 解密模塊 、數(shù)據(jù)分組封裝、 分解模塊和加密函數(shù)庫幾部分組成。 管理模塊負(fù)責(zé)整個系統(tǒng)的配置和管理。由管理模塊來決定采取何種傳輸模式，對哪些 IP 數(shù)據(jù)包進行加密、 解密。由于對 IP 數(shù)據(jù)包進行加密需要消耗系統(tǒng)資源，增大網(wǎng)絡(luò)延遲，因此對兩個安全網(wǎng)關(guān)之間所有的 IP 數(shù)據(jù)包提供 VPN 服務(wù)是不現(xiàn)實的。網(wǎng)絡(luò)管理員可以通過管理模塊來指定對哪些 IP 數(shù)據(jù)包進行加密。 Inter 內(nèi)部用戶也可以通過Tel 協(xié)議傳送的專用命令，指定 VPN 系統(tǒng)對自已的 IP 數(shù)據(jù)包提供加密服務(wù)。 密鑰管理模塊負(fù)責(zé)完成身份認(rèn)證和數(shù)據(jù)加密所需的密鑰生成和分配。其中密鑰的生 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 6 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 成采取隨機生成的方式。各安全網(wǎng)關(guān)之間密鑰的分配采 取手工分配的方式， 通過非網(wǎng)絡(luò)傳輸?shù)钠渌踩ㄐ欧绞酵瓿擅荑€在各安全網(wǎng)關(guān)之間的傳送。各安全網(wǎng)關(guān)的密鑰存貯在密數(shù)據(jù)庫中，支持以 IP 地址為關(guān)鍵字的快速查詢獲取。 身份認(rèn)證模塊對 IP 數(shù)據(jù)包完成數(shù)字簽名的運算。整個數(shù)字簽名的過程 ： 首先，發(fā)送方對數(shù)據(jù)進行哈希運算 h＝ H(m)，然后 用通信密鑰 k 對 h 進行加密得到簽名 Signature＝ { h} key。發(fā)送方 將簽名附在明文之后，一起傳送給接收方。 接收方收到數(shù)據(jù)后，首先用密鑰 k 對簽名進行解密得到 h，并將其與 H(m)進行比較，如果二者一致，則表明數(shù)據(jù)是完整的。數(shù)字簽名在保證數(shù)據(jù)完整性的同時，也起到了身份認(rèn)證的作用，因為只有在有密鑰的情況之下，才能對數(shù)據(jù)進行正確的簽名。 數(shù)據(jù)加密 /解密模塊完成對 IP 數(shù)據(jù)包的加密和解密操作?？蛇x的加密算法有 IDEA算法和 DES 算法。前者在用軟件方式實現(xiàn)時可以獲得較快的加密速度。為了 進一步提高系統(tǒng)效率，可以采用專用硬件的方式實現(xiàn)數(shù)據(jù)的加密和解密，這時采用 DES 算法能得到較快的加密速 度。隨著當(dāng)前計算機運算能力的提高， DES 算法的安全性開始受到挑戰(zhàn)，對于安全性要求更高的網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)加密 /解密模塊可以提供 TriPle DES 加密服務(wù)。 數(shù)據(jù)分組的封裝 /分解模塊實現(xiàn)對 IP 數(shù)據(jù)分組進行安全封裝或分解。當(dāng)從安全網(wǎng)關(guān)發(fā)送 IP 數(shù)據(jù)分組時，數(shù)據(jù)分組封裝 /分解模塊為 IP 數(shù)據(jù)分組附加上身份認(rèn)證頭 AH 和安全數(shù)據(jù)封裝頭 ESP。當(dāng)安全網(wǎng)關(guān)接收到 IP 數(shù)據(jù)分組時，數(shù)據(jù)分組封裝 /分解模塊對 AH和 ESP 進行協(xié)議分析，并根據(jù)包頭信息進行身份驗證和數(shù)據(jù)解密。加密函數(shù)庫為上述模塊提供統(tǒng)一的加密服務(wù)。加密函數(shù)庫設(shè)計的一條基 本原則是通過一個統(tǒng)一的函數(shù)接口界面與上述模塊進行通信。這樣可以根據(jù)實際的需要，在掛接加密算法和加密強度不同的函數(shù)庫時，其它模塊不需作出改動。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 7 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 2 IPSec VPN系統(tǒng)的 實現(xiàn)過程及具體設(shè)計 IPSec 協(xié)議的實現(xiàn) IPsec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于 IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 AH（ Authentication Header，認(rèn)證頭 ） 、 ESP（ Encapsulating Security Payload，封裝安全載荷）、 IKE（ Inter Key Exchange，因特 網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中， AH 協(xié)議和 ESP 協(xié)議用于提供安全服務(wù)， IKE協(xié)議用于密鑰交換。 IPsec 提供了兩種安全機制：認(rèn)證和加密。認(rèn)證機制使 IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。 IPsec 協(xié)議中的 AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證； ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。 AH 協(xié)議（ IP 協(xié)議號為 51）提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據(jù)。 AH 的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭，此報文頭插在標(biāo)準(zhǔn) IP 包頭后面，對數(shù)據(jù)提供完整性保護?？蛇x擇的認(rèn)證算法有 MD5（ Message Digest） 、 SHA1（ Secure Hash Algorithm） 等。 ESP 協(xié)議 （ IP 協(xié)議號為 50） 提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗和防報文重放功能。 ESP 的工作原理是在每一個數(shù)據(jù)包的標(biāo)準(zhǔn) IP 包頭后面添加一個 ESP 報文頭，并在數(shù)據(jù)包后面追 加一個 ESP 尾。與 AH 協(xié)議不同的是， ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的機密性。常見的加密算法有 DES、 3DES、 AES等。同時，作為可選項，用戶可以選擇 MD SHA1 算法保證報文的完整性和真實性。 在實際進行 IP 通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。 AH 和 ESP 都可以提供認(rèn)證服務(wù)，不過， AH 提供的認(rèn)證服務(wù)要強于 ESP。同時使用 AH 和 ESP 時，設(shè)備支持的 AH 和 ESP 聯(lián)合使用的方式為：先對報文進行 ESP封裝，再對報文進行 AH 封裝，封裝之后的報文從內(nèi)到外依次是原始 IP 報文、 ESP 頭、AH 頭和外部 IP 頭。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 8 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 VPN 的實現(xiàn) 網(wǎng)關(guān)需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡(luò)，一張網(wǎng)卡連接Inter。 2. Inter 中的終端 A 通過發(fā)送以內(nèi)部網(wǎng)絡(luò)的終端 B 的私有 IP 地址為目的地址的數(shù)據(jù)包來對終端 B 進行訪問。 3. VPN 網(wǎng)關(guān)中連接 Inter 的那一端收到來自終端 A 發(fā)出的數(shù)據(jù)包時，會檢查它的目的地址。如果目的地址是屬于內(nèi)部網(wǎng)絡(luò)中的地址，那么就封裝該數(shù)據(jù)包，不同的 VPN技術(shù)會采用不同的封裝方式。封裝后的原數(shù)據(jù)包用 來負(fù)載 VPN 網(wǎng)關(guān)構(gòu)造出的新 VPN 數(shù)據(jù)包，新的 VPN 數(shù)據(jù)包的目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)中的 VPN 網(wǎng)關(guān)的外部地址。 4. VPN 外網(wǎng)網(wǎng)關(guān)發(fā)送 VPN 數(shù)據(jù)包到 Inter 當(dāng)中，由于 VPN 數(shù)據(jù)包的目的地址是VPN 網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被 Inter 中的路由正確地發(fā)送到 VPN 網(wǎng)關(guān)外網(wǎng)接口。 5. VPN 網(wǎng)關(guān)外網(wǎng)接口會檢查所有接收到的數(shù)據(jù)包， 如果發(fā)現(xiàn)該數(shù)據(jù)包是來自于公網(wǎng)中的 VPN 網(wǎng)關(guān) ， 則可判定該數(shù)據(jù)包為 VPN 數(shù)據(jù)包 ， 然后會解封裝該數(shù)據(jù)包 。 解封裝時先剝離 VPN 數(shù)據(jù)包包頭 ， 然后把 VPN 數(shù)據(jù)包還原成原數(shù)據(jù)包 。 6. 解 封裝之后的原始數(shù)據(jù)包會被 VPN 網(wǎng)關(guān)發(fā)送到內(nèi)網(wǎng)終端 B，由于原數(shù)據(jù)包中的目的地址是內(nèi)網(wǎng)終端 B 的 IP 地址 ， 因此內(nèi)網(wǎng)中的終端 B 能夠正確地收到該訪問數(shù)據(jù)包 。對于終端 B 來講，它所收到的數(shù)據(jù)包就跟從終端 A 直接發(fā)送過來的數(shù)據(jù)包一樣。 7. 從終端 B 返回終端 A 的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。 通過上述說明可以發(fā)現(xiàn)，在 VPN 網(wǎng)關(guān)對數(shù)據(jù)包進行處理時，有兩個參數(shù)對于 VPN通訊十分重要： 原始數(shù)據(jù)包的目標(biāo)地址（ VPN 目標(biāo)地址）和遠程 VPN 網(wǎng)關(guān)地址。根據(jù)VPN 目標(biāo)地址， VPN 網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包進行 VPN 處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠程 VPN 網(wǎng)關(guān)地址則指定了處理后的 VPN 數(shù)據(jù)包發(fā)送的目標(biāo)地址，即 VPN 隧道的另一端 VPN 網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進行 VPN 通訊時，隧道兩端的 VPN 網(wǎng)關(guān)都必須知道 VPN 目標(biāo)地址和與此對應(yīng)的遠端VPN 網(wǎng)關(guān)地址 。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 9 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次課題的基本 實現(xiàn)功能及簡要說明 本次課題 的 網(wǎng)絡(luò)拓?fù)鋱D 圖 網(wǎng)絡(luò)拓?fù)鋱D 如圖 所示 ，本次 課題 我們采用兩個路由器分別充當(dāng)外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)。外網(wǎng)客戶端和 VPN 網(wǎng)關(guān)服務(wù)器的 eth0 端口連接 這個網(wǎng)關(guān)， VPN 網(wǎng)關(guān)服務(wù)器的 eth1接口和內(nèi)網(wǎng)搭載 web/ftp 的服務(wù)器連接 這個網(wǎng)關(guān)。由于客戶端和內(nèi)網(wǎng)服務(wù)器的 ip 屬于不同網(wǎng)段，并且他們之間并沒有設(shè)置路由條目，所以外網(wǎng)客戶端 是 無法訪問內(nèi)網(wǎng)的 web/ftp 服務(wù) 的 。 本次試驗的目的就是在 VPN 網(wǎng)關(guān)服務(wù)器上搭載一個 VPN 服務(wù)，然后讓外網(wǎng)客戶端通過 VPN 通道連上 VPN 網(wǎng)關(guān)， VPN 服務(wù)器會 隨機分配一個內(nèi)網(wǎng)的 ip給客戶端，讓客戶端能夠訪問內(nèi)網(wǎng)的 web/ftp 服務(wù)。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 10 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次 課題 實現(xiàn)的基本流程和功能 （ 1） 基本流程 a) 繪制拓?fù)鋱D b) 安裝 虛擬機 c) 在虛擬機中安裝三個操作系統(tǒng) d) 設(shè)置虛擬網(wǎng)卡，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) e) 在 VPN 網(wǎng)關(guān)操作系統(tǒng)中安裝和配置 VPN 服務(wù)器 f) 在客戶端添加證書和 VPN 連接 g) 在內(nèi)網(wǎng)服務(wù)器上安裝 web 和 ftp 服務(wù) h) 調(diào)試 （ 2） 實現(xiàn)的基本功能 a) VPN 網(wǎng)關(guān)服務(wù)器能夠開啟和監(jiān)控 VPN 服務(wù) b) 客戶端能夠連入 VPN 網(wǎng)關(guān)服務(wù)器 c) 客戶端能夠分配到內(nèi)網(wǎng) ip 地址 d) 內(nèi)網(wǎng)服務(wù)器提供 web 和 ftp 服務(wù) e) 客戶端能夠訪問內(nèi)網(wǎng)服務(wù)器的 web 和 ftp 服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 11 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 3 基于 IPSec VPN的 Linux網(wǎng)關(guān)平臺的實現(xiàn) Linux系統(tǒng)的 簡介 Linux 其實就是一個操作系統(tǒng)，這個操作系統(tǒng)里頭含有最主要的 kernel 以及 kernel 提供的工具！他提供了一個完整的操作系統(tǒng)當(dāng)中最底層的硬件控制與資源管理的完整架構(gòu)，這個架構(gòu)是沿襲 Unix 良好的傳統(tǒng)來的，所以相當(dāng)?shù)姆€(wěn)定而功能強大！此外，由于這個優(yōu)良的架構(gòu)可以在目前的個人計算機 ( X86 系統(tǒng) ) 上面跑，所以很多的軟件開發(fā)者將他們的工作心血移轉(zhuǎn)到這個架構(gòu)上面，那就是很多的應(yīng)用軟件！雖然 Linux 僅是其核心與核心提供的工具，不過，由于核心、核心工具與這些軟件開發(fā)者提供的軟件的整合，使得 Linux 成為一個更完整的、功能強大的操作系統(tǒng)！ Linux 系統(tǒng)使用單內(nèi)核，由 Linux 內(nèi)核負(fù)責(zé)處理進程控制、網(wǎng)絡(luò)，以及外圍設(shè)備和文件系統(tǒng)的訪問。在系統(tǒng)運行的時候，設(shè)備驅(qū)動程序要么與內(nèi)核直接集成，要么以加載模塊形式添加。 Linux 具有設(shè)備獨立性，它內(nèi)核具有高度適應(yīng)能力，從而給系統(tǒng)提供了更高級的功能。 GNU 用戶界面組件是大多數(shù) Linux 操作系統(tǒng)的重要組成部分，提供常用的 C 函數(shù)庫， shell，還有許多常見的 Unix 實用工具，可以完成許多基本的操作系統(tǒng)任務(wù)。大多數(shù) Linux 系統(tǒng)使用的圖形用戶界面創(chuàng)建在 X 窗口系統(tǒng)之上，由 X 窗 口系統(tǒng)通過軟件工具及架構(gòu)協(xié)議來創(chuàng)建操作系統(tǒng)所用的圖形用戶界面。 Linux 系統(tǒng)還具備以下優(yōu)點：跨平臺的硬件支持、豐富的軟件支持、多用戶多任務(wù)、可靠的安全性、良好的穩(wěn)定性、完善的網(wǎng)絡(luò)功能。 Linux 在它的追捧者眼里是一個近乎完美的操作系統(tǒng)，它具有運行穩(wěn)定、功能強大、獲取方便等優(yōu)點，因而有著廣闊的前景，或許也值得我們每一個計算機愛好者學(xué)習(xí)和應(yīng)用。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 12 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 Linux操作 系統(tǒng) 的搭建 安裝 VMware 圖 虛擬機 如圖 所示，多臺 PC 機分別充當(dāng)不懂角色來完成。所以我們需要安裝虛擬機實現(xiàn)用一臺 PC 機模擬多臺 機器，從而實現(xiàn) VPN 網(wǎng)關(guān)平臺的搭建、配置與測試。 VMware虛擬機主要的功能 1. 不需要分區(qū)或重開機就能在同一臺 PC 上使用兩種以上的操作系統(tǒng)。 2. 完全隔離并保護不同 OS 的操作環(huán)境以及所有安裝在 OS 上面的應(yīng)用軟件和資料。 3. 不同的 OS 之間還能互動操作，包括網(wǎng)絡(luò)、周邊、文件分享以及復(fù)制粘貼功能。 4. 有復(fù)原（ Undo）功能。 5. 能夠設(shè)定并隨時修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁碟空間、周邊設(shè)備等等。 6. 熱遷移，高可用性。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 13 上海應(yīng)用技術(shù)學(xué)院 計算機科學(xué)與信息工程學(xué)院 畢業(yè)論文 利用虛擬機安裝多臺操作系統(tǒng) 圖 虛擬機上安裝的多個操作系統(tǒng) 如圖