【正文】 D 的接 口進(jìn)行的，它將數(shù)據(jù)包的特征提取 出來(lái)與 SPD 中的選擇符進(jìn)行對(duì)比，找到相應(yīng)的處理策略 (丟棄、應(yīng)用 IPSec、繞過(guò) IPSec)，如果需要進(jìn)行 IPSec 處理，在 SPD 中提取對(duì)應(yīng)的 SADB 中的信息 (SAID)，并將數(shù)據(jù) 交給 IPSec 基本協(xié)議模塊接口。對(duì)于需要加密 或認(rèn)證的數(shù)據(jù)則交由加密認(rèn)證模塊處理后交 回 IPSec 基本協(xié)議模塊對(duì)其添加外部 IP 頭后交給 IP 的后續(xù)模塊處理，而不是直接交給網(wǎng)絡(luò)接口層傳出。后網(wǎng)絡(luò)接 口層將輸出 的包 傳給與外部 相連的網(wǎng)卡。當(dāng) IPSec 處理完后將沒(méi)有出錯(cuò)的包交給 IP 協(xié)議做后續(xù)處理， IP 層后續(xù)處理根據(jù)內(nèi)部 IP頭中的目的地址將其交給傳輸層或?qū)⑵浣唤o網(wǎng)絡(luò)接口層再轉(zhuǎn)發(fā)給內(nèi)部主機(jī)。由于網(wǎng)關(guān)上實(shí)現(xiàn)的隧道，隧道口的地址和真正通信的主機(jī)地址往往是不同的， 因此我們需要添加一個(gè)外部 IP頭，外部 IP 頭中的地址為網(wǎng)關(guān)的 IP 地址。如圖 19 所示。而實(shí)現(xiàn) VPN 時(shí)最重要的是保護(hù)局域網(wǎng)內(nèi)部主機(jī)的通信數(shù)據(jù)，即圖 5 中 AH 和 ESP 頭后面的數(shù)據(jù)。 輸出數(shù)據(jù)模塊 在 TCP／ IP 協(xié)議中傳輸層的數(shù)據(jù)傳給 IP 層， IP 層預(yù)處理完后，通過(guò)尋路，找到下一步將要進(jìn)行的相應(yīng)處理模塊的網(wǎng)絡(luò)設(shè)備接口，然后將該 IP 包放到該 設(shè)備的發(fā)送隊(duì)列中等待處理。在實(shí)現(xiàn)中只需要實(shí)現(xiàn) ESP 協(xié)議，其中ESP 頭的定義如下： structes phdr { ipsee— spitesp— spi；／ }安全參數(shù) 索引 }／ u32 esp_rpl；／ }抗重播序列號(hào) }／ u8 esp— iv[8]；／ }初始化向量 }／ }； Linux系統(tǒng)初始化在執(zhí)行到定義在 ／ ipv4／ af_ ie時(shí)調(diào)用了文件中 IPSee初始化函數(shù) ipsee— init ()，進(jìn)行 IPSee的初始化。esp— protoco1) ； } 其中 ESP的協(xié)議結(jié)構(gòu)定義如下： struct i_ protoeol esp — protocol { ipsee— rcv ，／斗定義此協(xié)議處理函數(shù) }／ NULL，／ } 錯(cuò)誤處理函數(shù) }／ 0，／ }下一個(gè)頭 }／ IPPRaTO— ESP，／ }協(xié)議的編號(hào) }／ 0，／ }協(xié)議共享字段 }／ NULL，／ }私有數(shù)據(jù) }／ ” ESP”／， Ic協(xié)議名稱(chēng) }／ }； 其中 ipsec— xmit． e 是在從 IPSee 虛擬設(shè)備要發(fā) 送數(shù)據(jù)時(shí)被調(diào)用，完成對(duì)相應(yīng)數(shù)據(jù)的封裝， 形成隧道模式下的 ESP 類(lèi)型的 IP 包，并交由 IP 層本身的分 段判斷程序做處理，使得 IPSec 與 IP 層的功能不重 復(fù)。 如 圖 2 是 IPSec 模塊加人后 IP 數(shù)據(jù)的輸出流程。新 IP 頭與原 IP 頭具有一定的關(guān)系。如果內(nèi)部封裝的是 I P v 6 分組 ，則 TOS 值 可能來(lái)源于一定的映射關(guān)系。MF 與該封裝后的分組是否 進(jìn)行了分段有關(guān) 7 分段偏移量：這與通常意義下 的構(gòu)建沒(méi)有區(qū)別； xxx 畢業(yè)論文 15 8 TTL：該字段與分組流經(jīng)的隧道長(zhǎng)度有關(guān)，對(duì)內(nèi)部的 IP 頭的 TTL， 安全網(wǎng)關(guān)在封裝 并轉(zhuǎn)發(fā)它的時(shí)候，將遞減這個(gè)值； 9 協(xié)議：這個(gè)值表示緊接 IP 頭的下一個(gè)載荷的類(lèi)型。我們這里的源地址為人口網(wǎng)關(guān)的 IP 地址 12)目的地址：由ESP SA 指定。 輸出數(shù)據(jù)模塊 對(duì)于接收過(guò)程，數(shù)據(jù)首先進(jìn)入物理網(wǎng)絡(luò)設(shè)備，該設(shè)備根據(jù)對(duì)應(yīng)報(bào)文中的協(xié)議分類(lèi)出 IP 報(bào)文放至 I 輸入隊(duì)列。如果目的地址是自己的， 就要根據(jù)不同的 IP 協(xié)議號(hào)分給不 同的處理函數(shù)。圖 22 為 IPSec 輸入模塊處理流程。對(duì)于公網(wǎng)來(lái)說(shuō)， 圖 1 無(wú)法理解里面的通信內(nèi)容，而只是將它 作為 一個(gè)普通的 IP 包進(jìn)行轉(zhuǎn)發(fā)。 圖 1 VPN 模型 我們采用 IPSec 的相關(guān)協(xié)議對(duì)兩端的通信數(shù)據(jù)進(jìn)行加密、認(rèn)證、封裝等安全措施，實(shí)現(xiàn)兩 端的安全 通信，達(dá)到專(zhuān)用網(wǎng)的安全性要求。這種方案實(shí)現(xiàn)的 VPN模型如圖 23 所示。如圖 23 所示 ，隧道是貫穿兩主機(jī)的整個(gè)通信線(xiàn)路的。在主機(jī)中實(shí)施的優(yōu)點(diǎn)如 下：保障端到端的安全性、能夠?qū)崿F(xiàn)所有的 IPSec 的安全模式、能夠逐數(shù)據(jù)流提供安全保障、在建立 IPSec的過(guò)程中，能夠維持用戶(hù)身份的驗(yàn)證。實(shí)施模型如圖 24 所示。隧道建立在兩個(gè)網(wǎng)關(guān)之間，而主機(jī)到網(wǎng)關(guān)是明文傳輸?shù)摹＿@樣為了能將數(shù)據(jù)傳送到真正的目的主機(jī)，就需要將真正 的源地址 和目的地址記錄在 IP 包中。在網(wǎng)關(guān)／路由器中實(shí)施，可在網(wǎng)絡(luò)的一部分中對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行安全保護(hù)。網(wǎng)關(guān) 實(shí)施方案我們選擇與 Os集成，這種情況下必須修 改 OS 內(nèi)核的標(biāo)準(zhǔn) IP 處理程 序，將 IPSec 處理程序與內(nèi)核IP 處理程序捆綁，形成新的具有 IPSec 處理功能的 IP 層處理。 xxx 畢業(yè)論文 18 結(jié) 論 本論文通過(guò)介紹研究背景，概述了 IPsec 和 VPN,進(jìn)而論述了 IPsec 的三種認(rèn)證協(xié)議服務(wù)和 VPN 網(wǎng)絡(luò)結(jié)構(gòu)，討論了三種認(rèn)證協(xié)議的體系結(jié)構(gòu)原理、核心思想，服務(wù)模型實(shí)現(xiàn)的機(jī)制，著重論述 IPsec 服務(wù)的 網(wǎng)絡(luò) 認(rèn)證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議 Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議Inter Key Exchange （ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等 在 VPN 網(wǎng)絡(luò)中的實(shí)現(xiàn)、應(yīng)用于 IPsec 中的 密鑰管理 交換 技術(shù) , 通過(guò)分析現(xiàn)有 TCP/IP 網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)存在的安全隱患 ,提出了基于 IPSec VPN 的解決方案。此論文還存在許多不足的地方，如在 IPsec 應(yīng)用方面沒(méi)有進(jìn)行更加深入的研究探討，我將會(huì)通過(guò)今后不斷的學(xué)習(xí)、研究，不斷的完善此方面的知識(shí) xxx 畢業(yè)論文 19 致 謝 語(yǔ) 首先 ,在這次的畢業(yè)設(shè)計(jì)過(guò)程中， 我要特別感謝我的指導(dǎo)老師 xxx 老師 ， 認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺 。正是 他 嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度時(shí)時(shí)鞭策我努力認(rèn)真 ，也正是他的寬容，我的論文在多次修改之后得以完成。 感謝教育我的老師們 ...還有 和我一起學(xué)習(xí)生活三年的 xxx 班的所有同學(xué)們 ,正是由于他們的幫助，我才會(huì)順利的將畢業(yè)論文創(chuàng)作完成 。 審批意見(jiàn)： 同意 系主任（簽章）： 年 月 日 注： 任務(wù)書(shū)由指導(dǎo)教師填寫(xiě)，經(jīng)系主任審批后，在畢業(yè) 設(shè)計(jì) 前下達(dá)給學(xué)生。 xxx 畢業(yè)論文 22 畢業(yè)設(shè)計(jì)（論文）開(kāi)題報(bào)告 題 目 基于 IPSEC 的 VPN 安全 方案 學(xué) 號(hào) xxxx 姓 名 xxx 系 部 xxx 年 級(jí) 專(zhuān) 業(yè) 班 級(jí) xxxx 指導(dǎo)教師 （含 職稱(chēng) ） xxxxx 設(shè)計(jì)（論文）綜述 ： 目前許多電信運(yùn)營(yíng)商采用 IPSec隧道加密技術(shù) ,在寬帶業(yè)務(wù)的基礎(chǔ)上推出主要針對(duì)商用客戶(hù)的 VPN新業(yè)務(wù) ,為商用客戶(hù)既提供了高帶寬低資費(fèi)的企業(yè)網(wǎng)絡(luò)聯(lián)網(wǎng)服務(wù) ,又提供了在公用網(wǎng)絡(luò)上擁有私有 VPN 網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全保障服務(wù) ,贏得了廣大商用客戶(hù)的青睞 。它將專(zhuān)用網(wǎng)建立在公用網(wǎng)基礎(chǔ)上，通過(guò)相關(guān)的安全技術(shù)實(shí)現(xiàn)移動(dòng)用戶(hù)與企業(yè)網(wǎng)，各分支機(jī)構(gòu)與總部及企業(yè)與合作伙伴之間的安全通信 VPN 就是針對(duì)通信安全尤其是企業(yè)分散子網(wǎng)間 通信安全問(wèn)題的一種解決辦法。隧道是一種 虛擬的點(diǎn)到點(diǎn)的連接，這個(gè)連接可以為隧道的兩個(gè)端 點(diǎn)提供了認(rèn)證、 加密和訪(fǎng)問(wèn)控制。在每個(gè)協(xié)議層上的實(shí)現(xiàn)具有不同的實(shí)現(xiàn)難度，也提供了不同強(qiáng)度的安全保 護(hù)。 本文以《 基于 IPSEC 的 VPN 安全方案 》為題， 通過(guò)介紹研究背景，概述了IPsec 和 VPN,進(jìn)而論述了 IPsec 的三種認(rèn)證協(xié)議服務(wù)和 VPN 網(wǎng)絡(luò)結(jié)構(gòu)，討論了xxx 畢業(yè)論文 23 三種認(rèn)證協(xié)議的體系結(jié)構(gòu)原理、核心思想，服務(wù)模型實(shí)現(xiàn)的機(jī)制，著重論述 IPsec服務(wù)的 網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議 Inter Key Exchange （ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等 在 VPN 網(wǎng)絡(luò)中的實(shí)現(xiàn)、應(yīng)用于 IPsec中的 密鑰管理 交換 技術(shù) , 通過(guò)分析現(xiàn)有 TCP/IP 網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)存在的安全隱患 ,提出了基于 IPSec VPN 的解決方案。 預(yù)期目標(biāo) ： 按照設(shè)計(jì)任務(wù)書(shū)要求， 根據(jù)對(duì) VPN 服務(wù)模型 體系結(jié)構(gòu) 的一定了解，及 IPSEC模型和 IPSEC 應(yīng)用方面的學(xué)習(xí)， 提出 基于 IPSEC 的 VPN 安全方案 。 指導(dǎo)教師意見(jiàn) ： 同意 指導(dǎo)教師 （簽 章 ）： . 年 月 日 xxx 畢業(yè)論文 24 中期檢查表 題 目 基于 IPSEC 的 VPN 安全 方案 學(xué) 號(hào) xxx 姓 名 xxx 系 部 xxx 年 級(jí) 專(zhuān) 業(yè) 班 級(jí) xxx 指導(dǎo)教師 （含 職稱(chēng) ） xxx 一、進(jìn)展情況 ： 基本收集到論文收集到論文所需資料。第三章，精華章節(jié)內(nèi)容太少，沒(méi)有詳細(xì)展開(kāi)。做好答