基于IPSec的安全路由器的设计与实现

基于IPSec的安全路由器的设计与实现

杨正湖[1]2007年在《VPN在XX综合信息网中的应用研究》文中进行了进一步梳理随着社会的进步、网络技术的不断发展,网络应用也由以往单一的数据业务变成了现在的数据、语音、视频等叁大主流业务,在越来越多的企业和政府网络上得到很好应用。而近年来黑客、网络病毒等不安全因素越来越引起人们对网络安全性的重视,VPN技术应运而生。在IP网络中,目前比较成熟的、先进的VPN技术有MPLS VPN和IPSec VPN,他们有各自的优点、应用范围,但也存在一定的不足。XX省XX综合信息网原来采用帧中继永久虚电路复用方式组建全省二、叁级有线长途专网,通过传输复用设备,在同一基础传输平台上实现数据、语音和视频图像传输。原有网络在一定时期内满足了应用需求,但随着发展的变化,原网络已经不能满足XX综合信息网的发展需要,网络急需升级改造。本文以XX综合信息网改造工程为背景,首先论述了MPLS VPN技术的原理和技术特点,并详细论述了一期改造工程的设计与实现。随后,针对二期工程对网络安全性较高的需求,对MPLS VPN与IPSec VPN进行了详细的研究和比较,提出了采用基于CE的融合方案并顺利完成了二期改造工程。

安黎[2]2003年在《基于IPSec的安全路由器的设计与实现》文中提出随着越来越多的个人和机构联入互连网,网络安全问题成了世界各地研究的焦点。为了解决这个问题,实现网络信息传输的保密性、完整性、身份认证等安全特征,我们着手对IPSec安全协议体系和虚拟专用网VPN技术进行研究。 本文从网络安全的现状出发,详细介绍了安全协议IPSec技术和虚拟专用网VPN技术的原理,重点论述了对基于IPSec的安全路由器R101的设计与实现,并对R101的功能和性能进行测试。 全文共分五章。第一章简要介绍了网络安全的含义和关键技术。第二章详细介绍了IPSec和VPN网络安全技术的原理,包括VPN的含义和IPSec协议族。第叁章是本论文的重点,提出了安全路由器的总体设计思想和体系结构,主要包括IPsec在Linux操作系统下的实现和对硬件加密的设计实现,以及对国家安全标准规定的各项安全功能的支持。第四章对R101的功能和性能进行测试,并获得测试结论。第五章是全文的总结,提出对R101改进的意见和未来的发展方向。

徐恪, 徐明伟, 吴建平[3]2003年在《基于IPSec的路由器安全子系统的设计与实现》文中提出介绍了清华大学研制的高性能安全路由器中基于IPSec协议族的路由器安全子系统的设计与实现 .其主要特点是将分组过滤和IPSec相结合 ,并在分布式路由器平台上实现其分布式结构 .在实现完善而可靠的安全功能基础上 ,采用各种优化措施最大限度地提高其性能 ,使安全路由器具有实际商用价值

赵宁[4]2008年在《动态多点VPN的设计与实现》文中研究表明目前,使用IPSec协议建立的虚拟专用网(VPN)已经成为企业最常用的虚拟专用网解决方案,用于解决分布在不同地理位置的子公司或部门之间通信的安全性和完整性问题。但是传统的IPSec VPN存在过于依赖手工配置的静态隧道、不支持隧道动态获取IP地址等问题,因此随着企业规模的扩大,尤其在拥有众多部门的企业中,传统VPN面临更加严重的问题。为了解决这些问题,基于传统的VPN模型,我提出了动态多点VPN模型。本文主要阐述了路由器上IPSec与SSH协议的实现。在研究和分析了VPN相关技术的基础上提出了路由器上的动态多点VPN模型,实现了IPSec隧道的动态建立和保护应用层数据的SSH隧道。论文主要突出了对IPSec与SSH技术的理解、实现和改进。本人在VLRT路由器上实现了由改进后,带有下一跳服务器(NHS)子模块的IPSec和SSH组成的VPN模型,实现了LAN-TO-LAN VPN和SITE-TO-LAN隧道的动态建立。为隧道中的数据提供完整性和安全性保障,并提供对接入用户认证的功能。在此基础上,对项目产品进行了详细的测试和分析,并且提出对IPSec隧道的动态建立和SSH协商过程改进的想法和见解。

郭冠军[5]2006年在《安全路由器中安全模块的设计与实现》文中研究指明IP层安全性一直是倍受关注的领域,如果缺乏一定的安全保障,无论是公共网络还是企业专用网络,都难以抵挡网络攻击和非法入侵。本文基于IPSec的实现思路,结合IPV6路由器的体系结构,应用高速密码芯片SSXⅡ,实现了一种支持高速ESP传输模式包处理的安全模块接口方案,从而提高了网络核心节点的安全处理能力。该方案针对包处理与查表操作的高速性,高速查表与复杂表项管理操作间的矛盾,给出了相应的措施,并通过具体实现验证了其正确性和可靠性。本文主要工作如下: 在详细分析IPSec实现原理的基础上,结合IPV6路由器的体系结构,给出了应用高速密码算法芯片SSXⅡ开发路由器安全模块的设计方案,细化了各个模块的功能,成功开发出加密芯片的高速验证系统,从而给出加密芯片的应用实例,使之具备了现实意义。 分析了安全模块进行高速处理及大容量表项管理的实现难点,针对数据平面高速处理的要求,将并行处理与流水线技术引入到安全模块的具体设计中,实现了基于FPGA的并行流水线高速处理结构,完成数据平面中对IP数据包的高速封装/解封装处理。 针对控制平面处理复杂的特点,详细讨论了分布式存储、集中式管理的主从式SAD(安全关联数据库)控制结构;结合具体的器件约束,以及IPSec规范对SA的要求,给出SAD在安全模块中的具体存储方式,并通过软硬件协同工作的方式给出具体实现。 最后,结合项目具体实践,讨论了系统的可靠性,并进行系统性能的器件约束性分析。通过系统测试中安全模块对不同长度分组的时延、处理能力的数据分析,证明了设计方案的正确性和可行性。

王健[6]2004年在《网络安全防护技术的研究与实现》文中提出网络安全从其本质上来讲就是网络上的信息安全,网络安全涉及的内容有叁个方面:包括安全管理、安全技术、安全设备。从技术上来说,网络安全由安全的操作系统、应用软件、防火墙、网络监控、通信加密、灾难恢复、安全扫描等多个安全组件来保证的。本文分析了防火墙、入侵检测、VPN、安全审计等安全技术及原理,提出了一套安全防护体系。该安全防护体系有机地融合了以上的安全技术,使之集成为一套整体性的技术体系,并在基于TCP/IP的网络中设计实现了该安全防护体系――GateGod系列安全产品。本文的工作如下:设计并实现了防火墙系统的状态包过滤功能模块以及防火墙系统的地址伪装和端口映射功能模块。设计并实现了智能防火墙的入侵检测系统——guarder。该系统采用了“事件检测”引擎技术,并定义了一套入侵特征模式描述语言及相应的规则语法解释器。这样,可以用模式描述语言描述新的攻击并增加到攻击特征模式库中,同时增加新的事件检测引擎来识别此攻击,保证了系统的可扩展性要求,方便升级。仔细分析了IPSec在Linux操作系统中的实现,以及Linux操作系统中网络实现的部分源代码,在此基础上设计和实现IP隧道模块。该模块提供了一种自动协商、添加隧道配置信息的机制,从而提高了隧道的协商效率;并且遵循ISAKMP/OAKLEY密钥协商和管理协议,实现安全可靠的密钥分发与管理,支持X.509证书和PKCS12证书格式,支持严格的PKI身份认证。<WP=3>设计并实现了防火墙包过滤系统与入侵检测系统协同工作的机制,大大提高了防火墙自身及网络的安全性。使用Cache技术、数字水印技术与安全审计技术,提供了对整套系统的日志和事件审计日志的安全控制。定制了整套安全防护系统运行的Linux操作系统——NisecLinux。该系统定制内核,做到功能最小化,去除了众多不安全的服务,使安全防护体系建立在一个安全的操作系统上。采用DOM盘构建硬件平台进一步为整个体系提供安全可靠性。设计并实现了安全防护体系的管理配置系统。配置系统使用C/S模式,客户端管理工具位于管理员熟悉的Windows平台,可以方便用户配置管理防火墙模块、入侵检测模块、IP隧道模块以及日志审计模块。整套系统中防火墙、入侵检测与IP隧道实现了无缝集成,提供了安全可靠的数据访问控制和数据传输环境。

荣霓[7]2005年在《高速边缘路由器IPSec体系结构及关键技术的研究》文中进行了进一步梳理随着计算机网络技术的蓬勃发展,网络信息系统存在的多种安全缺陷不断被暴露出来,网络安全问题日趋严重。安全风险的增大,促使人们加大对网络安全的研究力度,并由此产生了多种面向网络安全的传输协议和相关设备。高速边缘路由器是一种在边缘接入网使用的基于IPSec协议的高速路由器。作为接入网中重要的安全设备,高速边缘路由器必须提供高速的安全报文转发和大容量的安全信息(包括安全策略、证书、签名等)存储能力,满足边缘接入网在速度匹配和安全管理上的特殊需求。为了支持高速边缘路由器这些特性,有必要针对接入网中安全报文转发速度快、安全信息存储量大的应用特点,研究与之相适应的高速边缘路由器的IPSec体系结构和相关实现的关键技术。 本文力图在综合通用IPSec路由器体系结构模型特点的基础上,提出一种面向高速边缘路由器应用的体系结构模型,对其中的IKE协商优化调度机制、安全数据库管理机制和AH/ESP处理机制进行研究,设计和描述相关的算法,并将其应用于高速边缘路由器的原型实验系统中。 围绕上述高速边缘路由器IPSec体系结构的构造思路,本文分析和研究了基于双阈值队列长度算法的IKE密钥协商调度策略、基于混合式结构的安全数据库管理关键技术和基于流水线的AH/ESP处理过程,工作主要在以下一些方面展开: 1.高速边缘路由器混合式体系结构模型的构造。传统的集中式模型不利于有效利用并行的报文处理技术和网络处理器的能力,并发式模型又会给系统带来繁重的通讯开销。引入混合式模型有利于提高系统的并行性和可扩展能力。 2.面向IPSec协议的安全策略管理框架的构造及其在高速边缘路由器安全数据库系统中应用的关键技术。安全策略的管理制约着安全数据库的设计,面向高速边缘路由器安全数据库的管理更需要一种简单、有效的机制,以提供对大容量安全数据的有效分割和对外部安全策略系统的一致性管理接口。通过引入面向IPSec协议的安全策略管理框架,并基于该框架构造混合式安全数据库管理模型,可以有效地提高安全数据库管理系统的管理能力。 3.高速边缘路由器系统设计中各功能部件的关键技术。与传统的IPSec报文处理部件相比,高速边缘路由器系统的功能部件在处理速度或存储能力上都有着更高的要求,有必要研究基于大规模IPSec协议处理的部件结构,并通过原型系统的构造来检验上述设计的合理性。 以上各方面中,(1)是本文其他工作的基础。(2)是(1)在安全数据库管理模型上的延伸和应用。(3)是(1)和(2)工作在高速边缘路由器系统中的具体展开,并在具体的实现中贯彻了(1)的要求。 本文的主要研究成果和创新包括以下几个方面: 1.提出了混合式HSBR体系结构HAIR。本文深入分析了通用IPSec路由器集中式模型

晏苏红[8]2016年在《基于IPSec场景的ACL报文过滤方法的研究与实现》文中提出IPSec(Internet Protocol Security)是一种和人们生活息息相关的VPN(Virtual Private Network)技术,它通过在公共网络上架接一条虚拟专线的方式,传输加密数据,提高网络安全性,从而可以在用户和Internet之间搭建一个虚拟专用网络。然而,由于IPSec网络配置复杂,应用容易受到网络地址转换(NAT)和网关代理设备等外界因素的影响,所以在实际使用中IPSec场景会出现各种不同的故障。为了准确定位和分析IPSec隧道故障,本文提出了基于IPSec场景的ACL(Access Control List)报文过滤方法,即在IPSec场景中为网络设备配置ACL访问控制列表。本文以TCP/IP协议和ACL报文过滤为理论基础,共设计了IPSec隧道搭建子系统和ACL报文过滤配置子系统两个部分。文中通过运用Cisco packet tracer搭建实验平台进行仿真。首先,搭建网络架构,从客户端到服务器端,无线终端通过瘦AP(Access Point)接入路由器Router1,经IPSec通道到达服务器端路由器Router2,再经核心交换机连接服务器和Internet网络;其次,进行IOS软件配置,包括两端路由器的IPSec配置和ACL配置,IPSec部分配置IKE策略的ISAKMP(网络安全联盟和秘钥管理协议)阶段和IPSec阶段,分别实现隧道的建立和数据的加密传输,ACL部分为两端路由器配置访问控制列表,实现加密数据流的限制;最后,进行实验结果记录和分析,在客户端和服务器端配合IOS和DOS环境,分别记录和分析了ACL配置前后的实验结果。实验结果对比分析显示,配置ACL访问控制列表后,IPSec隧道的加密数据流得到了限制,客户端和服务器端之间的访问权限也发生了变化。根据实验中确定的IPSec隧道加密数据流的五元组信息,可以更加准确地定位IPSec场景的故障。总之,相比于一般的IPSec故障分析方法,基于IPSec场景的ACL报文过滤方法显现出了一定的优势,不仅编写方便、针对性强、使用安全,而且具有更高的工作效率。

余璐[9]2015年在《基于分布式路由器的IPSec研究与实现》文中研究表明互联网的快速发展使网络环境变得更加复杂,网络设备的安全性也相应越来越受到重视,提高网络设备的安全性,防止各种网络攻击,对整个互联网的安全性和保密性至关重要。路由器作为互联网中的关键设备,尤其是在骨干网中采用分布式结构的高性能路由器,更需要为整个网络提供安全保护。IPSec(IP Security)是由IETF工作组制定的一个协议组,它的主要目的是在网络层提供安全服务。IPSec协议组能够实现网络安全的大部分需求,为在不安全的网络中传送敏感信息提供了安全保障。因此,在分布式路由器上实现IPSec系统,对整个网络的互通和安全具有重要意义。本文开发的IPSec系统是基于分布式路由器的,该系统是严格按照IETF制定的网络安全协议标准研制的。本文主要完成了在分布式路由器的平台上,IPSec系统的分布式设计与实现。通过分析IPSec实现的关键技术,结合分布式路由器的具体特点,提出了在路由器上采用硬件加密卡实现IPSec加密/解密的方案。给出了IPSec在路由器上分布式实现的具体方案,包括IPSec系统框架设计、IPSec功能模块划分、IPSec报文处理的总体流程,以及IPSec输入、输出处理流程等。同时研究了IPSec的扩展功能,即对等体探测机制,结合项目实际情况,提出用BFD协议代替DPD协议,并分析了其可行性与优势。最后搭建测试环境,通过对该系统进行全面的功能测试、性能测试,验证了该IPSec系统的基本功能,并且IPSec加密卡采用多核处理器,提高了IPSec加密/解密的处理性能。

邓小飞[10]2005年在《基于IPSec的VPN技术及其安全性分析》文中认为Internet技术的广泛应用,使人们可以方便地进行信息交换和共享,但是也给计算机系统带来了前所未有的安全隐患;信息在传输时可能被窥视或者篡改,内部网可能遭受非法访问和攻击。网络信息安全成为人们日益关注的核心问题。专用网络虽然能够保证信息传输安全可靠,但其实现和维护费用高,为了降低网络的运营管理费用,利用Internet技术建设内部网的需求日趋强烈,虚拟专用网(VPN)技术在这一背景下迅速发展。 本文首先对VPN的特点、工作模式、实现及相关协议进行了介绍和分析并针对存在的问题提出了改进的思路。具体包括如下几个方面: 1、VPN的隧道技术 论文对VPN的隧道技术的原理进行了介绍,并对几种主要的隧道协议PPTP、L2TP以及IPSec进行了比较和分析。 2、VPN的安全性 安全是构建虚拟专用网的首要考虑问题,IPSec是实现VPN安全性的核心技术。论文在介绍IPSec的体系结构及其实现方式的基础上,对IPSec的安全性作了介绍。 3、一种新的分层IPSec体系结构 随着网络应用领域的扩展和对网络综合性能要求的提高,Internet技术的最新进展引入了大量新的应用和服务。然而IPSec“端到端”的安全机制限制了这些服务和应用。论文对应用IPSec产生的一些问题进行了描述和分析,对这些问题的几种可能的解决方案进行了评价,并提出了一种分层IPSec(Layered IPSec)的体系结构。 在本文的最后,讨论了VPN技术及IPSec协议的发展。

参考文献:

[1]. VPN在XX综合信息网中的应用研究[D]. 杨正湖. 同济大学. 2007

[2]. 基于IPSec的安全路由器的设计与实现[D]. 安黎. 中国科学院研究生院(软件研究所). 2003

[3]. 基于IPSec的路由器安全子系统的设计与实现[J]. 徐恪, 徐明伟, 吴建平. 华中科技大学学报(自然科学版). 2003

[4]. 动态多点VPN的设计与实现[D]. 赵宁. 北京邮电大学. 2008

[5]. 安全路由器中安全模块的设计与实现[D]. 郭冠军. 解放军信息工程大学. 2006

[6]. 网络安全防护技术的研究与实现[D]. 王健. 四川大学. 2004

[7]. 高速边缘路由器IPSec体系结构及关键技术的研究[D]. 荣霓. 国防科学技术大学. 2005

[8]. 基于IPSec场景的ACL报文过滤方法的研究与实现[D]. 晏苏红. 南昌航空大学. 2016

[9]. 基于分布式路由器的IPSec研究与实现[D]. 余璐. 武汉邮电科学研究院. 2015

[10]. 基于IPSec的VPN技术及其安全性分析[D]. 邓小飞. 武汉科技大学. 2005

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于IPSec的安全路由器的设计与实现
下载Doc文档

猜你喜欢