VPN(Virtual Private Network),即虚拟专用网。它是在Internet网络中建立一条虚拟的专用通道,让两个远距离的网络客户能在一个专用的网络通道中相互传递资料而不会被外界干扰或窃听,从而保证了资料的安全,却不必支付高昂的专线费用。客户只需连入本地的ISP,就完全可以通过ISP骨干网,在Internet公网上把遍布全球的企业内部网络连接起来,从而达到局域网的效果。 利用IPSec建立隧道的传统方法是预先知道对端主机的IP地址,通过IP地址和对端主机进行IKE协商,然后建立隧道。这种方法很大程度限制了主机建立隧道的灵活性。为此,我们在传统VPN的基础上对原来的实现方法进行改进,基于Opportunistic Encryption这个概念,实现了一种新的基于OE机制的VPN。 Opportunistic Encryption(OE),即随机加密,是基于IPSec协议提出来的一种新的机制。通过OE这种机制使得双方主机在没有预先设置的情况下进行安全的通讯。作为一种标准,只要是使用了OE机制的主机,都可以相互之间任意建立隧道。这就大大增加了建立隧道的灵活性。OE机制相对于传统的方法上是一个创新,所以本文中对OE机制的研究对于VPN技术的发展具有一定的借鉴作用。 本文首先对VPN和IPSec协议进行了介绍,包括对VPN的基本概念和IPSec协议关键技术的研究;其次对OE机制进行了分析,包括DNS服务器的应用和DNSSEC技术在网络安全设备中的优势;最后提出了一个基于OE机制的VPN网关的实现方案,包括IPSec核心模块实现、基于第三方DNS服务器的架构,NAT穿越等。