摘 要

互联网发展初期更多的关注了其功能性，没有对数据安全方面有过多的考虑。随着计算机网络的发展，互联网当初的开放自由的理念反而成为了安全缺陷，在网络上传输的机密数据很容易被被人窃听。目前网络安全已经成为了一种共识，IPSec VPN技术利用数据加密和数据验证技术，可以在混杂的互联网环境中安全地传输私有数据，IPSec VPN技术得到了快速发展。IPSec系统没有自动管理密钥信息的能力，只能使用IKEv1密钥管理协议强大的管理能力，使IPSec密钥配置简单。随着密码学的发展，IKEv1协议作为IPsec的第一版本密钥交换协议，逐渐暴露出它的安全缺陷。IKEv2是新一代的密钥交换协议，它是IKEv1协议的改良，在兼容IKEv1协议的基础上，提高了协商效率，增加了安全性和健壮性，同时降低了复杂度。由于IKEv2协议具有众多优点，已经成为新一代的密钥交换标准，被越来越来多的企业所采纳。

关键词：IPSec协议；VPN技术；IKEv2协议；网络安全

Abstract

At the beginning of the development of the Internet, more attentions are focused on its functionality, while the security of datas is ignored. With the development of computer network, the original idea of openness and freedom of the Internet has become a security flaw, and confidential datas transmitted over the network are easily eavesdropped. At present,network security has become a consensus. Using data encryption and data verification technology, IPSec VPN,which has been rapidly developed,can securely transmit private data in the complex Internet environment. The IPSec system does not have the capability to manage the key information automatically. Only by the powerful management ability of IKEv1 key management protocol,the IPSec key can be configured easily. With the development of cryptography, as IPsec's first version of the key exchange protocol, IKEv1 protocol has gradually exposed its security flaws. IKEv2 is a new generation of key exchange protocol,which is an improved version of IKEv1 protocol. With the compatibility of IKEv1 protocol,it also improves the negotiation efficiency, increases security and robustness, meanwhile reduces the complexity. As the IKEv2 protocol has many advantages, it has become a new-generation key exchange standard, which has been adopted by more and more enterprises .

Key words: IPSec protocol; VPN technology; IKEv2 protocol; Network security

目 录

第1章 绪论 1

1.1目的和意义 1

1.2本文的研究内容及章节安排 1

第2章 虚拟专用网技术 3

2.1 VPN技术简介 3

2.2 VPN基本原理 3

2.3 VPN分类 3

2.4 VPN关键技术 4

2.4.1隧道技术 4

2.4.2身份认证技术 5

2.4.3加密技术 5

2.4.4数据验证技术 7

2.5本章小结 8

第3章IPSec技术 9

3.1 IPSec简介 9

3.2 IPSec结构体系 9

3.3 IPsec基本协议 10

3.3.1 认证头协议 11

3.3.2 封装安全载荷 11

3.4.1 传输模式 13

3.4.2 隧道模式 13

3.5本章小结 14

第4章 互联网密钥交换协议 15

4.1 IKEv1协议缺点 15

4.2 IKEv2简介 16

4.3 IKEv2协商 16

4.3.1初始交换 17

4.3.2协商子交换 18

4.4 错误处理 19

4.5 IKEv2开源实现 20

4.5.1 strongSwan软件架构 20

4.5.2 charon进程架构 21

4.6常用场景部署 23

4.6.1安全网关到安全网关 23

4.6.2端点到端点 24

4.6.3端点到安全网关 25

4.7本章小结 26

第5章 总结 27

参考文献 28

附录A 29

附录B 31

附录C 33

致 谢 35

绪论

1.1目的和意义

由于企业的规模不断扩大，企业的的通信网络已经不局限与内部网络，总部和总部，总部和分部之间也需要进行互联。最原始的解决办法是通过布设专线，但由于专线组网的费用非常昂贵，运维和维护成本特别高。VPN技术应运而生，在互联网混杂的环境中虚拟出一条专属于企业的网络线路实现扩地域私网通信。

互联网是开放和自由的，它为社会带来了很多便利，的在享受它的便利性的同时，它存在很大的安全缺陷，任何人都可以截取在互联网中传输的数据，在传输某些机密性数据时，可能会带来不可估量的后果。网络信息安全越来越受到人们的重视，同时传统的VPN技术，例如GRE、PPTP和L2TP都只支持基本的网络间互联，没有任何的保护验证措施，意味这第三方可以任何窃取数据和伪造数据。IPSec VPN这这种背景下被提出，一时间引起了大量的关注，很多企业纷纷开始研究IPSec VPN并应用到实际产品中。

IPSec 系统是基于数据加密的安全，它先把数据进行加密再发送互联网中传输，只要窃听者不知道解密规则，这些数据时无规则的无意义。IPSec VPN进入高速发展阶段，目前不论是学校VPN组网还是企业VPN组网，往往都会选择IPsec VPN，带来极大的方便。随着IPSec的广泛应用和智能终端产品的发展，IPSec IKEv1协议暴露出很多缺陷，目前IKEv2已经成为IPsec VPN的的交互标准，并有逐渐取代IKEv1的趋势。

1.2本文的研究内容及章节安排

本文在研究IPSec VPN系统原理的基础上，主要分析了IKEv2密钥交换协议在IPSec系统中的工作过程，并进行了IPsec常用场景部署。本课采用了IPSec开源项目strongSwan中的IKEv2实现，基于虚拟机搭建了测试环境，对各种方案进行了测试。