随着计算机网络技术的发展和自身需求的变化,一个单位在不同地区拥有多个局域网的现象越来越普遍,各局域网之间的互联问题开始受到人们的关注。目前的网络互联技术主要有两种,一是通过租赁专用线路来实现一个单位内部各局域网之间的连接,这种方式虽然可以保障信息的安全性和实现资源共享,但由于成本过高,难以在一般单位,尤其是小型单位普及;二是通过互联网来实现各地局域网的联接,这种方式虽然大大降低了网络互联的成本,但由于互联网本身存在安全漏洞,会对单位的信息资源造成极大的安全隐患。鉴于上述两种技术的优点和不足,如何构建一个具有低成本连接方式,同时又具有安全性的局域网互联模型就成为一个亟待解决的问题。 本文正是从这一问题出发,在对虚拟专用网技术和IPSec 协议进行详细分析的基础上,构建了一个基于IPSec 协议的异地局域网互联模型。模型分成两个部分,一部分实现在应用层,负责策略的维护和协商,主要包含全局策略库、IKE 模块和用户界面。其中,全局策略库用于存放处理数据包的安全策略,用户界面提供了手工修改策略的接口,IKE 模块则负责通信双方的身份认证、策略协商以及安全联盟的创建。另一部分实现在网络层和网卡驱动之间,是模型的核心部分,负责对数据包进行IPsec处理。它主要由加密算法和认证算法库、IPSec 处理模块、SPD 库和SAD 库组成。其中,IPSec 处理模块用于按照指定的安全策略对数据包进行处理。算法库用于存放系统需要的加密算法和认证算法。SPD 库和SAD 库则是全局策略库的具体映射,前者构造成 Radix 树型结构,负责按照选择符查找对应的安全联盟,后者按照哈希表方式进行构造,负责存放具体的安全联盟,两者通过安全联盟标识SAID 相联接。同时,在构建模型的基础上,描述了模型对流入、流出数据包进行处理的策略执行流程。 此外,本文还分析了模型实现所需用到的主要技术,并给出了一个用于说明在安全策略已知情况下,如何具体实现局域网间通信的安全隧道的实现实例。该实例以Windows 2000 DDK 为开发工具,以 Sniffer Pro 为分析工具,通过对抓包结果进行分析,来展示一个安全隧道的构建过程。 本文提出的互联模型能够使不同地区的局域网之间在成本相对较低的情况下实现安全通信。同时,隧道实例又为模型的实现提供了具体的技术参考。