本文的研究课题是设计一个可以用来建立虚拟专用网的安全网关。该网关采用IPSec协议作为网络层的安全协议。 IPSec协议主要由三部分组成:安全协议、网络密钥交换(IKE)和加密。本文首先分析了IPSec协议的体系结构,明确了IPSec协议各个组件的功能和联系,然后分析了各个组件的相关协议。AH和ESP协议是安全协议的两个具体协议,是本文的研究重点。AH协议提供了数据源认证和完整性认证的功能;ESP协议提供了加密和可选认证方法。可以根据需要选择其中之一或者两者。IKE是专门用来为通信双方自动协商加密方法、认证方法和密钥的。IPSec协议涉及到的加密算法相当多,本文没有对它作具体的研究。另外,本文对IPSec协议至今没有规范化的策略部分进行了研究,讨论了策略的任务和要完成的功能。 IPSec协议的实现是十分复杂和困难的。做为一个研究课题,本文只对IPSec协议做功能上的实现,并没有考虑商用化。根据IPSec协议在网络层实施的特点,本文选用linux操作系统作为IPSec协议的载体。在具体实施中,本文采用IPSec协议与linuxIP协议栈集成实施方案,利用linux操作系统的模块化编程思想,通过改造linux操作系统的IP协议栈来实现IPSec协议功能。在描述实施方法过程中,本文采用了两条路线:一条是以数据包处理流程为路线,介绍数据包的处理过程;另一条是以数据包处理过程中经过的各个处理模块为路线,介绍各个模块的功能和实现。通过这两条线详细介绍了IPSec协议实现的关键思想和方法。另外,本文还提出了一个性能优化方法——IPSec反重播双向滑动窗口协议,该协议大大提高了IPSec协议反重播的性能。 本文搭建了专门的实验环境来验证该实现方案的可行性,并且提出了影响系统性能的主要因素。最后对IPSec协议的关键技术和它的未来发展方向做了展望和总结。