熊正光[1]2002年在《VPN产品中IPSec协议分析及产品的测试方法研究》文中研究说明随着信息时代的到来,信息安全受到国内外各界人士的高度重视,因为它是信息系统健康发展的基础。IPSec协议,即IP协议层的安全体系结构,是对网络层的IP协议进行安全扩展,加入安全关联协商、数据报的加密、认证和面向主机的访问控制等安全措施,为上层的协议和应用程序提供Internet上一致的安全保护。 对根据IPSec协议开发的VPN(虚拟专用网)产品的安全性测试、评估和认可是使其广泛应用的基础。其中测试又是为评估和认可提供最可信的依据,因此对测试进入深入研究显得迫切而需要。 本文详细介绍了IPSec协议的工作原理及安全机制,并根据信息技术安全评估通用准则(CC)和实际对VPN产品的测试经验,导出了VPN产品的保护轮廓,提出了VPN产品的安全功能和安全保证要求。在此基础上,推导出了VPN产品的测试要求,根据自己所写的测试要求,撰写测试要求和大纲。 所有送检产品的测试都必须依据相应的测试准则,测试VPN产品的基本参考资料就是VPN产品保护轮廓。在此基础上,本文作者提出了VPN产品的导出测试要求(以下称为DTR),根据自己所写的导出性测试,撰写测试要求和大纲,并且,以上述两准则为依据,联系测试实际,将测试的几大方面即性能测试、功能测试、协议一致性测试和安全性测试的每个方面均以分类、定量的方法细分成多个测试项,且每个测试项都有对应的测试指标和测试结果。 本文还设计开发了一套基于FreeBSD操作系统的测试工具。该测试工具可以测试出VPN产品对IPSec协议的实现是否遵守有关的RFC以及相关的密码算法是否正确,并用它测试了一些VPN产品。在测试原理上,摒弃了已往“记录通信双方会话数据做离线分析”的测试原理,采用了“测试机与被测机直接对话”的测试原理,具有易如实现、测试结果精确等优点。对IPSec协议一致性的测试在国内、国外目前还没有人做过,属于开创性的工作,具有重要的理论意义和实用价值。
张强[2]2009年在《IPSec VPN技术研究与工程实现》文中提出IPSec协议是IP协议的安全标准,主要分为AH、ESP和IKE叁个部分。IPSec协议不但可以为上层应用数据提供基础安全服务,同时是构建虚拟专用网络VPN的核心技术。IPSec协议对于研究网络安全通信以及VPN产品的应用具有重要的价值。本论文主要研究内容包括叁个部分:(1)IPSec体系概述,主要对IPSec协议体系和各协议组件、AH和ESP对数据报的处理过程以及IKE协议各阶段的协商过程进行了综述。(2)IPSec的工程实现,主要研究基于Linux平台下IPSec网络环境的部署、Openswan的部署及实现过程,完成针对同类技术的功能和性能对比分析。(3)IPSec协议分析与VPN改进建议,主要以理论分析和测试结果对IPSec协议存在的问题进行总结和归纳,以代理ARP技术为基础,为IPSec VPN IP地址冲突问题提出了改进方法,最后通过系统测试验证改进技术的正确性和有效性。
冯妮娜[3]2006年在《基于IPSec的VPN网关设计与实现》文中认为随着信息时代的到来,越来越多的个人和机构联入互联网,通过互联网人们可以方便的实现信息的交互与共享,然而信息安全问题又成为不得不面对的问题。 虚拟私有网络(VPN)指采用隧道技术以及加密、身份认证等方法,在公众网络(如Internet)上构建专用网络的技术。因其保证数据的安全性、组网方便、成本低等特点,得到了广泛的应用。VPN实现有多种方式,其中根据IPSec安全协议实现是目前的工业标准。 本文从VPN安全网关的背景意义出发,深入研究了TCP/IP协议和IPSec协议,论述了在TCP/IP协议栈各层实施安全保障时的特点,总结了IPSec对数据包的处理流程。然后,在对比当前实现IPSec VPN的叁种方案之后提出了硬件解决方案,并根据软件工作流程对软件部分进行了模块化划分设计,并介绍了各模块的功能与实现方案,其中详细介绍了软件部分的系统配置管理模块。最后对VPN网关系统进行了测试。测试结果表明,符合VPN安全网关的相关要求。
郭彦涛[4]2017年在《面向国密新标准的IPsec VPN服务器软件研究》文中研究指明随着互联网技术的快速发展,人们日常的生活、办公已趋于完全网络化,网络已成为我国经济发展的重要组成部分,然而在网络方便我们生活的同时,所带来的网络安全问题也越来越凸显,保护网络数据的安全性是目前网络技术发展所面临的主要问题。IPSec VPN技术是目前应用最为广泛的网络数据安全保护技术,它通过安全策略协商在网络中建立虚拟网络数据传输通道,对数据采用加密和认证算法进行处理,从而达到保护网络数据安全的目的。IPSec VPN技术的核心内容是一套IPSec协议组件,由Internet工程任务组(IETF)提出并制定,目前以IPSec协议为基础的VPN产品也是各式各样,其各自的实现方式、采用的加密算法都有所不同。我国国家密码局针对我国的网络安全管理的相现状,制定了符合我国网络安全技术发展的《IPSec VPN技术规范》,经过几次迭代,内容发生了很大的变化,目前最新版是2014年所发布的版本。本文设计并实现了一套符合国密新标准的IPSec VPN服务器软件。首先,分析了标准IPSec协议所存在的问题,面向IPSec VPN规范和国密标准设计了新的IPSec协议框架。接着,研究了IPSec VPN的国密IKE协商流程,对协商过程中数据包的格式进行深入的分析和探讨。然后,以IPSec内核框架为出发点,分析了IPSec对网络数据包发送和接收的处理流程,研究了Linux内核加密库算法添加方法,完成了国密加密算法的添加。最后,在开源的IPSec VPN服务器软件OpenSwan的基础上,按照国密新标准的规范,实现了符合国密新标准要求的IPSec VPN软件。本文的主要工作有:(1)研究了IPSec VPN相关协议规范和国密新标准的相关内容,分析了IKE协商流程和IPSec内核加密框架,对国密对称称算法SM1/SM4、非对称算法SM2以及杂凑算法SM3进行了研究。(2)面向国密新标准的相关规范改进了IPSec VPN协议框架,实现了符合国密标准要求的IKE协商流程和采用国密数字证书的身份认证,IKE协商过程中数据包格式满足国密标准规定。(3)实现了国密标准的内核加密框架,编写了硬件加密卡驱动程序,向Linux内核加密库中添加和注册了国密算法,完成了网络数据使用国密算法进行加密和认证保护,实现了应用层和内核层的USB-key与硬件加密卡的分离。(4)对符合国密新标准的IPSec VPN软件进行了功能测试和性能测试,软件符合国密新标准要求,并且具有较好的通信效率。本文所实现的IPSec VPN软件在协商阶段结合Usb-Key设备,采用国密数字证书的认证方式进行身份认证,具有极高的可靠性和安全性。网络数据的传输采用国密加密算法进行认证和保护,加密算法由硬件加密卡提供,保证了软件具有较快的通信速度。完成后的软件传输速率高,运行稳定,能够为当前的网络数据保护提供有力的支撑。
刘新华[5]2006年在《基于NP架构的UTM一体化网关设计与实现》文中研究说明随着网络应用的发展,企业面临的安全威胁不仅仅来自于网络层,更多的是应用层的威胁,如病毒、垃圾邮件、不良Web内容等。网络安全的需求也在发生变化,用户需要能够防御混合型威胁的安全设备。 UTM紧密集成了多种安全功能,能够在网络边缘有效防御攻击,不仅可以保护整个内部网络,还能将安全机制延伸到远程办公机构。通过将反病毒、反垃圾邮件、网址过滤、防火墙和虚拟专用网等技术整合到一个开放的安全平台,可以全面防御各种已知和未知的攻击。 性能和成本一直是网络安全设备中存在的一对矛盾。高性能网络设备大都采用了ASIC技术来保证网络设备的高吞吐率,NP(NetworkProcessor)的出现,使得构筑高性能和低成本的网络设备成为可能。NIP技术具有高性能、扩展灵活、低成本,开发短周期等优势。本文正是基于NP硬件平台,设计实现了一个高性能,低成本的UTM安全网关。 本文首先介绍了UTM的含义、出现的背景以及主要功能;然后对UTM的典型技术、优点和主要功能做了详细描叙;接着分析了VPN中的核心技术IPSec协议、NP技术以及IPSec协议在NP中的实现;并给出了一个具体的UTM一体化网关的设计实现。最后分析了UTM需要改进的地方和市场前景。 本文主要研究基于NP构架的UTM技术实现,这一安全领域的前沿课题。由于目前UTM尚不成熟,该课题的研究,对UTM安全产品的研发具备一定的借鉴作用,同时对UTM概念的普及和产品的推广具有很大的现实意义。
许锡雷[6]2002年在《IPSec的协议分析和实现》文中认为IPSec(IP SECURITY)是近年来发展起来的一种网络安全标准,它在网络层针对IP包进行加密和认证,以保证数据的机密性和完整性。IPSec标准由IETF(internet engineering task force)的IPSec工作组制定。IPSec作组目前尚在出台大量的Internet draft,所以说,IPSec是一个正在发展的标准。 本文是对近一年半来的IPSec标准学习和基于LINUX平台实现工作的总结。我们实验室已经开发了一套完整的VPN(virtual private network虚拟专用网络)产品,基于IPSec构建,包括网关、客户机和管理工具。我参与了这个项目。在这个过程中,我感到IPSec标准也存在一些缺点需要改进,同时也在高效实现方面做了一些探索。 本文共分四章: 第一章简要介绍了IPSec协议体系,包括总体结构、模式、安全关联、安全策略、实现方式、进出包的处理万式、ESP(encapsulation security payload封装安全载荷)、AH(authentication header验证头)、ISAKMP(internet security associationand key management protocol)、IKE(internet key exchange protocol)。还简要介绍了VPN的概念。 第二章是对IPSec协议体系的分析,其中的指导原则是复杂性会导致安全漏洞,该章结合实践体会并参考国外同行的意见对总体结构,ESP、AH、ISAKMP、IKE逐一进行了分析,介绍了一些可能的修改建议。 第叁章是对高效实现的研究。指出衡量实现的叁个标准是安全、性能、可管理性。其中谈到硬件加速、大规模并发隧道、添加国密办算法、提高可管理性等问题,都是对开发工作的总结。 第四章介绍了IPSec的一些发展趋势和可能在近几年内采用的新技术。
刘权[7]2009年在《基于Netfilter机制的IPSec VPN网关的研究与实现》文中研究表明Internet的互联性和开放性使信息的交换与共享成为现实,为社会带来巨大利益的同时,也不可避免地带来许多安全隐患。IPSec协议是IETF为网络层提供安全服务而定义的一组相关协议。基于IPSec构建VPN网关成为一种主流的VPN技术,然而,IPSec协议的处理将会大大增加网关的负载,因此,IPSec VPN网关的实现要特别讲究优化设计以提升效率。利用Linux的Netfilter机制,可以插入一个内核模块来实现网络新特性的扩展。另外,Linux内核稳定而高效,开放源代码,既降低了成本、又掌握了系统的安全。论文研究Linux下基于Netfilter机制的IPSec处理,完成的工作包括:研究了Linux下开源的IPSec协议簇的实现——S/WAN项目中KLIPS模块的体系结构,重点研究了Openswan的内核空间模块和用户空间模块的源代码实现,总结出Openswan的系统框架、IPSec的实现方法,进而结合IPSec的实现机制,指出了Openswan中IPSec实现的架构缺陷。研究了Linux内核的网络模块处理机制,TCP/IP处理流程以及Netfilter的HOOK机制,重点研究了Netfilter机制的实现过程,提出了一种基于Netfilter机制的IPSec处理框架。基于该框架,可以将整个IPSec协议的实现融入到IP协议栈中,在不影响原操作系统协议栈的前提下,既能利用Linux内核网络协议栈已实现的功能,又拥有了内核处理的高效性,实现更为合理,更具有可操作性。研究和实现了基于Netfilter机制的IPSec相关处理模块的处理流程和模块框架,利用Linux开放源代码的特性以及Netfilter的HOOK机制,借助于Openswan开源软件,改造其KLIPS模块形成新的IPSec相关处理模块、函数,利用可加载内核模块技术动态加载其到内核空间,在HOOK点上注册IPSec相关处理模块、函数,使得IPSec处理加入到操作系统内核中的IP数据包处理过程的适当位置,形成Linux下新的、具有高效的IPSec处理功能的IP层。搭建了虚拟机环境下的IPSec VPN实验系统,对论文提出的改进方案进行了初步的功能测试和性能测试,并对测试结果进行了分析。实验结果表明:利用本文改进的IPSec VPN网关建立的ESP隧道进行网络通信,可以有效保护网关之间信息传输的安全,与Openswan的虚接口机制相比,该方案提高了IPSec处理的效率,加快了数据包在网关上的传送速度,使IPSec VPN网关的性能在吞吐量及响应时间上得到明显的提升。
杜春燕[8]2005年在《基于PKI/ECC的IKEv2协议研究与实现》文中研究表明本文对新的IKEv2动态密钥协商机制进行了深入研究分析,提出引入公钥基础设施体系PKI的具体方案,同时在PKI现有RSA算法的基础上研究应用新的高强度椭圆曲线密码ECC算法,将ECC、PKI与IKEv2协议相结合,对IKEv2协议进行改进和增强,设计并实现了基于Linux2.6内核的增强型IKEv2原型系统,论文的具体研究和实现工作包括如下几个方面:分析了现有的IKEv1协议,总结其存在的一些主要不足和缺陷;跟踪IKE协议发展动向,对最新的IKEv2协议进行研究,分析其协议规范和交互过程;并从简洁性、安全性、可靠性、功能特点等方面与IKEv1进行对比,分析其优势所在;对PKI技术进行研究,提出将PKI提供的密钥、证书和身份认证机制应用于IKEv2协议中,从而提高IKE协商的安全性和VPN网关系统部署的可扩展性。并给出具体的整合设计方案;对ECC算法进行研究,阐述在现有的PKI中使用ECC算法的优势。并在系统中实现基于ECC证书的身份认证方式和ECDH密钥交换的支持,进一步提高了IKEv2协商的安全性和效率;对课题原型系统进行测试。测试结果表明,原型系统可以正常工作,且效率有了明显提高,从实践上证明了IKEv2的优越性和基于ECC优化设计的可行性、正确性,达到了最初的设计目标。
周晓东[9]2007年在《远程接入IPsec VPN的增强型设计方案与实现》文中研究说明本文对远程接入IPsec VPN进行了深入研究分析,针对实际的应用场景,实现了一种更具可用性、健壮性和安全性的远程接入方案,论文的具体研究和实现工作包括以下几个方面:分析了现有IPsec VPN体系结构中存在的不足,基于新的IPsecv2框架,提出了PAD增强型设计方案,并在此基础上提出了扩展设计,增设PAD服务器以进行集中式管理,从安全和管理的角度对原有的体系结构进行了增强;分析了IKEv1下远程自动配置方案的不足,本文提出了一种新的改进型自动配置方案,在IPsec VPN网关中实现了DHCP客户端的功能,能够根据用户及其所在组的信息发起DHCP请求,DHCP服务器端配置了用户组的匹配规则和建立地址池,能根据DHCP请求选择合适的地址池分配内部IP地址和其他内部配置信息;基于课题组实现的IPsecv2框架下的一体化防火墙和本课题完成的基于用户组的远程自动配置方案,实现了对远程用户的访问控制,提高了系统的效率和安全性;针对远程用户和IPsec VPN网关之间可能存在NAT设备的情况,研究了IKEv2协议中NAT探测和穿越的方案,实现NAT探测功能,当探测到NAT设备的存在后,通过NETLINK套接口通知IPsec内核启用NAT穿越功能,提高了系统的通用性;将DPD协议应用在IPsec VPN系统中,弥补了IKE协议本身对状态检测的不足,提高了系统的健壮性;在设计中,充分考虑到IKEv1和IKEv2的融合,支持IKEv1和IKEv2的客户端,提高了系统的兼容性;对课题的原型系统进行测试。测试结果表明,原型系统各个模块可以正常工作,在可用性、健壮性和安全性等方面均达到了设计要求。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。
胡佳文[10]2007年在《基于IPv6的家庭网关的研究与设计》文中研究表明随着Internet的飞速发展,网上丰富的资源对人们产生着巨大的吸引力。嵌入式Internet技术使得设备可以通过嵌入式模块而非PC系统直接接入Internet,在这种技术的推动下,“网络家电”、“信息家电”迅速发展起来,从而使冰箱、空调、电视等家电网络化得以实现,构建出人们理想中的智能家居。IPv6的出现使得这种理想更加迅速的成为现实,毫不夸张的说它可以为地球上任何设备分配一个IP地址,从而解决了由于IPv4地址短缺给构建智能家居系统构成的瓶颈。同时,伴随而来的网络安全问题也越来越受到人们的重视。本文从简单介绍TCP/IP协议入手,简述了IPv6的产生及其特点和编址方法,并介绍了当前接入IPv6网络的一些方法。接着对IPSec协议体系作了总结性介绍,包括一些本基本概念如安全策略、安全联盟、选择符等,以及IPSec协议体系的各个组件如SPD、SAD、AH、ESP、IKE等,详细阐述了IPSec的处理流程,并总结了IPSec协议的优点。设计了在Linux上实现基于IPSec协议的VPN安全网关的实现方法。在分析了Linux的Netfilter机制和iptables/ip6tabtes原理后,设计了基于过渡时期的双协议栈防火墙。家庭网关硬件平台是采用32位嵌入式微处理器S3C4510,软件平台是6WIND管理平台。在简单介绍了6WIND平台后,对IPSec和防火墙的集成进行详细的设计和实现。最后,对实现的IPSec VPN和防火墙进行了系统测试和结果分析。
参考文献:
[1]. VPN产品中IPSec协议分析及产品的测试方法研究[D]. 熊正光. 湖南大学. 2002
[2]. IPSec VPN技术研究与工程实现[D]. 张强. 西安电子科技大学. 2009
[3]. 基于IPSec的VPN网关设计与实现[D]. 冯妮娜. 西北工业大学. 2006
[4]. 面向国密新标准的IPsec VPN服务器软件研究[D]. 郭彦涛. 西安电子科技大学. 2017
[5]. 基于NP架构的UTM一体化网关设计与实现[D]. 刘新华. 湖南师范大学. 2006
[6]. IPSec的协议分析和实现[D]. 许锡雷. 浙江大学. 2002
[7]. 基于Netfilter机制的IPSec VPN网关的研究与实现[D]. 刘权. 重庆大学. 2009
[8]. 基于PKI/ECC的IKEv2协议研究与实现[D]. 杜春燕. 苏州大学. 2005
[9]. 远程接入IPsec VPN的增强型设计方案与实现[D]. 周晓东. 苏州大学. 2007
[10]. 基于IPv6的家庭网关的研究与设计[D]. 胡佳文. 兰州理工大学. 2007
标签:电信技术论文; ipsec论文; netfilter论文; vpn论文; 浙江大学vpn论文; 内部网关协议论文; 安全协议论文; 动态vpn论文; 功能测试论文; 信息安全论文; 软件安全论文; 模块测试论文; 网络标准论文; 功能分析论文; 网络安全论文; vpn网关论文; vpn网络论文;