IPSec作为网络层的一种安全技术,得到了越来越广泛的应用。IPSec为IP数据包提供了基于加密的安全保护机制,而IPSec的正确实施依赖于安全策略为它提供的安全保护参数。因此,安全策略的正确配置和管理成为了基于IPSec的网络安全技术的重要组成部分。 本文根据金航网内部端到端安全通信的需求,提出了基于IPSec VPN技术的端到端虚拟组网思想,引入了虚拟工作组及组策略的概念来实现不同VPN通信实体的安全隔离。在分析研究了现有安全策略管理方法的基础上,结合虚拟组网思想,本文利用socket网络编程接口和支持可视化编程的集成开发环境C++Builder和Kylix,设计实现了一个基于工作组的安全策略系统,并讨论了该安全策略系统的功能模块及对关键问题的解决方法。本文主要对基于工作组的安全策略系统如下功能组件进行了研究与实现: 1.策略数据库。参照了DMTF和IETF的一些关于策略和IPSec安全策略的标准文档,最大限度的实现了文档规定的IPSec安全策略语义,并使用SQLServer2000关系数据库系统设计了安全策略数据库。 2.策略服务器。设计了安全策略数据库配置界面,实现工作组、用户及组策略的集中配置,并为策略客户端提供状态维护以及组策略分发等服务。 3.策略客户端。设计了策略客户端登陆界面,接收来自策略服务器的组策略并解析为端到端基于IP的隧道策略,并通知IKE服务程序与同组其它用户的IKE服务程序协商生成端到端的IPSec安全隧道。 本文最后对基于工作组的安全策略系统进行了功能测试,测试结果表明系统工作正常。本文研究设计的安全策略系统,结合底层IPSec驱动和IKE模块的实现,对于其它行业的企业内部信息通信安全同样具有适用性。