孙瑜[1]2004年在《基于IPSEC的VPN系统的研究及IKE协议的改进实现》文中认为本文主要研究了IPSEC协议族中,用于建立安全关联和密钥管理的协议—IKE协议(Internet Key Exchange protocol)的详细内容、实现细节,以及协议本身的优缺点,同时对IKE协议中的安全性进行分析,并在实现中对安全性的漏洞进行了改进和有益的探讨。 首先介绍了IPSEC协议。它是针对TCP/IP协议族缺乏安全保证而开发的,通过在IP层实现来解决安全问题。IPSEC可分成两大部分,一部分添加到网络协议栈中,对输入输出的IP报文进行机密性、数据完整性和身份验证方面的处理,本部分是直接实现网络通信安全的协议;另一部分是为了这些安全协议能正常工作而设置的,即为安全协议间进行协商工作建立安全关联和加密、验证密钥,这部分称为密钥管理,由IKE和相关的协议来完成。 然后介绍了IKE协议的内容。IKE协议的安全性是整个 太原理_L大学硕士研究生毕业论文IPSEC协议安全的基础,因为现代密码学中安全的实现不再依靠算法的保密,而是由密钥的机密性来保证的,如果密钥被窃,整个工PSEC协议都将没有安全性可言。工KE协议正是用来产生密钥并保证密钥交换的安全性的协议,它的强安全性必然导致复杂性,因此对IKE协议细节的掌握就格外重要。 论文的主要工作首先不仅在实现中体会和把握了IKE协议协商流程与协商参数的复杂性,而且对IKE协议安全性进行了加强并且适当简化了协商流程,安全性改进主要针对拒绝服务攻击、转换载荷攻击和身份泄漏问题。然后对工KE协议实现的各个具体模块进行设计,包括工KE管理界面模块、工KE事件处理模块、协商消息处理模块。并且对采用IKE主模式的数字签名认证方式的关键技术进行了实验,并运用网络截包工具对工KE协商过程和一协商结果进行分析,验证是否达到预期的协商与加密效果。
刘伟[2]2007年在《IPSec VPN的研究设计与实现》文中认为VPN网络是新兴的网络组网模式。VPN网络解决了传统网络中数据传输的安全性问题。VPN网络实现安全性的手段是通过对数据进行完整性校验,通过密码算法对数据进行加解密处理来获得的。VPN网络不同于传统的网络,它能够为逻辑上不能相通的两个局域网络之间建立安全的通讯通道,使得这两个局域网之间的访问能够像同一个局域网内数据互访一样的方便。本片论文通过在实际工作中对IPSec VPN的理解和研究写成的。主要的目的是通过对各网络安全协议的分析,指出IPSec VPN的优缺点,使得人们对IPSec VPN有清晰的认识,让IPSec VPN系统能更好的服务于网络安全事业。本文共分四章。第一章对IPSec协议族进行了重点介绍,主要包括IPSec协议族的协议元素如AH、ESP、安全关联、安全策略等。然后从网络协议栈以及各网络层次的安全性需求出发,列出了不同网络层次的安全协议,以及它们的优缺点。第二章对IPSec VPN系统进行设计,主要是两个子系统的设计,包括VPN网关和VPN客户端。在设计中重点说明了VPN系统的设计方法和手段。第叁章说明了IPSec VPN系统的实现方法和手段,重点是从实现的方法,工程性的角度来阐述。包括编程工具,编程方法等。第四章则主要是通过对IPSec VPN的理解,对IPSec VPN系统和IPSec VPN协议本身提出了一些改进和建议。在VPN系统的改进上提出了增加策略服务器的功能,如何解决双向NAT穿越的问题;在IPSec协议本身的改进中提出了IKE协议和NAT穿越的协议可以使用TCP协议,而不是传统的UDP协议。本文的意义在于提出了IPSec VPN系统的完整实现手段和方法。针对过去IPSec VPN实现所面临的诸多难题如分片问题、NAT穿越问题、策略分发问题等,提出了完整的解决办法。在此基础上,对IPSec VPN的协议进行了深入思考,提出了用TCP协议完成IKE协商和NAT穿越的概念。
李石磊[3]2013年在《基于IPsec协议的VPN代理网关系统的研究与实现》文中认为Internet的迅猛发展始于20世纪90年代,随着NSFnet的建设和开发,网络节点数和用户数迅速增加。Internet也迅速向全球发展,世界上许多国家纷纷接入到Internet上,使网络上的通信量急剧增长。Internet上有丰富的信息资源,有些信息具有私密性,却遭到泄露和窃取,有些恶意信息,却又无法进行过滤。基于IPsec协议的VPN系统为通信的两端建立了一条使用加密流量的通道,这对恶意流量和涉密内容流量的检测提出了新的课题。本文对解决这一课题进行了研究,并提出了一种基于IPsec协议的代理网关系统的解决方案,并设计了一套轻量级系统,实现了对IPsec流量的监控和透明传输。本文首先介绍了VPN的分类及IPsec VPN的特征和发展历程,并对Linux系统下的IPsec VPN的实现工具进行了介绍;然后详细分析了IPsec协议族的相关协议和组成部分,其中包括Internet密钥交换协议(IKE),认证头(AH协议),封装安全载荷(ESP协议),安全关联,安全策略;接着设计了基于IPsec协议的代理网关系统的总体框架,为系统划分功能模块,分析各模块需完成的功能和设计方案。然后,通过分析和测试影响系统性能的指标,提出了两种新的技术方案,一种为并行协议栈技术在系统中的应用,另外设计了一种新的用户空间加/解密API,并通过与基于Netlink接口的用户空间加/解密API进行对比,展示了该API接口的设计灵活性和可定制性,通过与用户空间实现加/解密算法逻辑的方式进行对比,展示了该API接口的高效性。然后,重点阐述了基于IPsec协议的代理网关系统在Linux平台下的设计和具体实现,并在实现过程中详细描述了模块中关键技术的实现方法。最后,在Linux平台下进行了仿真实验和测试,并对测试结果和性能指标进行了分析。本文以实际项目需求为背景,研究和实现了一种轻量级的基于IPsec协议的VPN代理网关系统,对于企业级系统的应用具有实际意义。另外,本文在具体应用中提出的用户空间加/解密API接口,可以方便的应用于Linux平台下其他网络安全产品的开发,从而可以方便的使用内核空间中成熟的Crypto API架构,可以提高开发效率,并能够为具体的功能需求进行功能定制。
周晓东[4]2007年在《远程接入IPsec VPN的增强型设计方案与实现》文中指出本文对远程接入IPsec VPN进行了深入研究分析,针对实际的应用场景,实现了一种更具可用性、健壮性和安全性的远程接入方案,论文的具体研究和实现工作包括以下几个方面:分析了现有IPsec VPN体系结构中存在的不足,基于新的IPsecv2框架,提出了PAD增强型设计方案,并在此基础上提出了扩展设计,增设PAD服务器以进行集中式管理,从安全和管理的角度对原有的体系结构进行了增强;分析了IKEv1下远程自动配置方案的不足,本文提出了一种新的改进型自动配置方案,在IPsec VPN网关中实现了DHCP客户端的功能,能够根据用户及其所在组的信息发起DHCP请求,DHCP服务器端配置了用户组的匹配规则和建立地址池,能根据DHCP请求选择合适的地址池分配内部IP地址和其他内部配置信息;基于课题组实现的IPsecv2框架下的一体化防火墙和本课题完成的基于用户组的远程自动配置方案,实现了对远程用户的访问控制,提高了系统的效率和安全性;针对远程用户和IPsec VPN网关之间可能存在NAT设备的情况,研究了IKEv2协议中NAT探测和穿越的方案,实现NAT探测功能,当探测到NAT设备的存在后,通过NETLINK套接口通知IPsec内核启用NAT穿越功能,提高了系统的通用性;将DPD协议应用在IPsec VPN系统中,弥补了IKE协议本身对状态检测的不足,提高了系统的健壮性;在设计中,充分考虑到IKEv1和IKEv2的融合,支持IKEv1和IKEv2的客户端,提高了系统的兼容性;对课题的原型系统进行测试。测试结果表明,原型系统各个模块可以正常工作,在可用性、健壮性和安全性等方面均达到了设计要求。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。
胡国强[5]2013年在《Linux下基于IPv6的混合VPN组网方式的设计与实现》文中研究表明IPv6技术体系经过多年的高速发展,在许多领域有着广阔的应用前景,IPv6已经成为未来主流的IP技术。同时,IPv6协议的广泛应用也给互联网带来了新的安全隐患。VPN技术采用加密和认证的方法保障用户的个人数据在公共网络中安全的传输。目前应用最为广泛的VPN技术包括IPSec VPN和SSL VPN,在实际应用中这两种技术各有长短,单一的技术无法满足用户多样性的需求亦没有办法为用户提供全方位的保护。本文对IPv6网络的发展及其应用中的安全问题进行了分析,针对IPv6网络存在的安全问题采用IPSec VPN和SSLVPN相结合的技术进行解决,在测试环境中基于Linux混合VPN组网方式实现了混合VPN系统。本文主要工作如下:(1)对IPSec VPN和SSL VPN的技术进行了分析,并对这两种VPN技术进行了结合,在IPv6网络中设计了一种新的混合VPN组网方式。(2)通过在Linux操作系统中搭建多种环境对这种混合VPN组网方式进行了实现。(3)在(Windows XP、Windows7、Windows8)系统中对混合VPN系统的IPSec VPN和SSL VPN的综合性能进行了测试和分析,实验表明混合VPN能解决IPv6网络存在的部分安全问题。测试表明,这种混合系统在IPv6网络中完全能实现IPSec VPN和SSLVPN的全部功能,并且能满足用户的多种需求,还能全方位为用户数据提供保护,同时在一定程度上能有效防御多种网络攻击,因此这种混合VPN系统在未来的IPv6网络组建中有一定的参考价值。
陈明[6]2013年在《改进的IPSec VPN系统的设计与实现》文中提出随着信息化时代的快速发展,Internet的应用也日益广泛。Internet提供了极其丰富的网络服务,越来越多的信息通过Internet进行共享和传输,如何保证信息的安全性就越发显得重要。Internet是一个以TCP/IP协议为基础的开放式的分组交换网,而IP协议本身并不提供安全性服务,在Internet上的数据几乎都是采用明文方式进行传输,致使这些数据很容易被第叁方截取或篡改等,信息的安全性得不到保障。在众多的网络安全解决方案中,IPSec协议由于其安全可靠、互操作性及实施灵活等优点而被广泛应用,特别是在VPN(虚拟专网)技术中,IPSec更是几乎成为一种标准。但是IPSec又是一个比较复杂的协议,并且还不十分完善。因此,有必要对IPSec协议和基于它的VPN系统继续进行研究和探讨。本文主要完成以下叁个方面的内容:1.对VPN的工作原理、关键技术、相关协议标准及网络安全等主要问题做比较详细的研究和分析,着重对VPN的叁种协议(SOCKS v5、IPSec、PPTP/L2TP)在安全性方面进行分析和比较。2.对IPSec协议的体系结构、运行模式及IPSec中AH、ESP、IKE等组成模块做系统的研究和分析。同时对IPSec协议各组成模块如何相互协作并为IP提供安全保护的工作机制做进一步的讨论。3.在综合分析了实际应用、网络层关系、运行效率等因素,为了应对IPSec的复杂性,本文以现有的体系为基础,创建了一个完善的改进方案,在此基础上认真分析和研究了如何实现改方案,最终成功的使其在现有体系上得到实现。最后测试了系统的各项功能,另外还进一步研究和评价了测试结果。本文的根本目的是保障网络通信的安全性和在开放的Internet中实现异地的局域网之间的虚拟连接,为数据传输提供完整性、认证性和保密性,并且尽可能提高其传输效率,应用于各种访问控制中。本文的工作为在实际应用环境中利用IPSec实现VPN提供了一种方法,同时为如何通过IPSec来更有效的确保VPN通信的安全性提供了一个新思路。
朱轶文[7]2003年在《基于VPN技术的信息安全构架的研究与设计》文中研究表明随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是,网络在提供开放和共享资源的同时,也不可避免的存在着安全隐患。目前,安全问题已给网络经济造成严重的威胁,如何保护网络的安全,特别是通过网络传输的信息的安全,成为了人们关注的焦点。因此,研究和开发广泛适用的网络信息安全产品具有很大的实用价值。而基于加密学基础的IPSec协议和IKE协议是有效解决公用网上IP数据传输安全性的一个有效手段。如何设计构建基于IPSec协议的高效、安全、稳定的VPN系统,正是本文的目的。 本文主要以IP安全协议体系IPSec为基础,对虚拟专用网(VPN)这一目前广泛流行的信息安全技术及其实现方案进行深入的研究。本论文分为叁大部分。第一部分在简要介绍了VPN发展背景、VPN基础技术、VPN安全性和VPN的类型的基础上,着重对VPN的隧道技术进行系统研究分析,为构建基于IPSec的VPN模型打下理论基础。第二部分系统的研究了IP层安全协议(IPSec)和Internet自动密钥交换协议(IKE)。第叁部分基于IPSec的VPN网络方案,并对VPN模型的建立过程及具体实现进行详细介绍。并且实现IKE协议在两个希望进行安全化通信的系统之间建立安全联结、协商加密算法以及生成共享会话密钥的方法、同时协商身份认证的过程。
梅明[8]2014年在《支持TNC的IPsec VPN系统的研究》文中研究指明传统的VPN技术在用户接入时只对用户的合法性进行认证,并不对用户终端的安全性进行检查,用户终端携带病毒、木马程序,这样的用户接入网络是十分危险的。TCG组织的TNC架构能够提供用户身份认证和平台完整性检查功能,保护企业网络不受接入终端中恶意代码和系统漏洞的危害,但TNC主要应用在局域网中,很少在VPN中应用。本文研究“支持TNC的IPsec VPN系统”,就是要将TNC技术应用到远程接入技术IPsec VPN中,使得用户接入时,不仅身份合法,而且平台完整性也符合要求。本文首先介绍了TNC架构和IPsec VPN技术,然后介绍了IKEv2的EAP消息扩展,以使系统支持TNC需要的EAP消息的传递。在此基础之上,利用strongSwan、TNC@FHH和FREERADIUS设计并搭建了支持TNC的IPsec VPN系统。然后,根据安全需求,设计并实现了对BOOTLOADER和防火墙进行安全状态检查的相关模块。最后对系统进行了测试,在IPsec VPN环境下实现了用户身份认证和平台完整性度量。
余俊丰[9]2005年在《基于IPSec的VPN网关的体系结构设计与实现》文中指出IPSec VPN是通过在公众互联网络上使用IPSec加密技术为企业提供安全保密的网络接入手段。它为在IP网络上实现安全的保密通讯提供了一个开放的框架并逐渐成为最广泛使用的网络层安全协议之一。IPSec能够提供不同类型的数据保护,包括保密性、完整性、数据源认证、抗重放攻击和抗流量分析。企业组织通过Internet与远程站点进行连接,IPSec的加密认证可以有效防止网络上的通讯遭受恶意入侵和篡改。IPSec VPN提供了替代传统的广域网接入的有效的而经济的方法。论文利用首信千兆VPN项目为依托,旨在实现支持千兆吞吐量的IPSec VPN。通过对IPSec协议的分析和对IPSec VPN系统架构的讨论,研究了基于Linux平台的IPSec实现,并给出了一种有效的实现方法。通过在网关两端的主机建立隧道连接通信的性能测试,分析了IPSec VPN网关可以提供服务的性能,并给出了一种定量分析最大支持隧道连接数与CPU处理器性能关系的方法。实践表明,论文提出的思路和实现方法是合理的、可行的,可为实现性能更好的IPSec VPN提供一定的参考价值。
王建[10]2016年在《基于众核网络处理器的IPSec VPN系统的研究与实现》文中提出自从上世纪八十年代以来,以TCP/IP为基础网络协议的互联网得到迅速发展,该技术对人类日常工作、生活等领域产生了日益广泛的影响。近几年来,随着网络用户的不断增加以及互联网承载信息能力的增强,互联网开始朝着多元化、高速化的方向发展,主干网的带宽已经普遍接近40Gbps。并且在数据的传输过程中,数据的安全极大程度取决于TCP/IP网络协议的安全,因此,网络协议的安全问题成为未来网络应用快速发展的重要因素。虚拟专用网(Virtual Private Network,简称VPN)技术是互联网环境下保证信息安全的一种重要手段,它通过在一个公用网络中建立一条安全、专用的虚拟通道,连接异地的两个网络,构成逻辑上的虚拟子网,然后采用加密、身份认证以及完整性校验、访问控制等技术保证连接用户之间数据的安全传输。本文在陕西省工业攻关项目(2014K05-43)、横向项目<<安全网关软件>>(项目编号:2015KJ-333)的支持下,以我国某部队单位高速网络环境下的信息传输安全需求为背景,设计并实现了基于众核网络处理平台的IPSec VPN系统。论文研究工作如下:1.基于Tilera众核处理平台的IPSec VPN系统结构设计。系统采用高性能的Tilera Gx36众核网络处理器作为硬件平台,IPSec VPN系统主要有主处理器和加解密协处理器两大模块。作为系统的核心模块,主处理器负责大部分数据业务逻辑处理,可分为控制平面和数据平面。控制平面负责IKE密钥协商、控制报文收发等慢路径报文处理以及路由表项同步和设备配置等功能;数据平面负责快路径数据包处理,包括策略检索、路由表项管理和数据包封装及高速转发等任务。加解密协处理器负责对报文加解密处理和Hash验证。2.IP数据包封装与高速转发技术研究。IP数据包封装负责对IPSec协议对收发的数据包进行加封装与解封装。本文采用隧道模式下ESP协议封装格式,在主处理器和加解密协处理器获取和发送数据包时完成对数据包的加封装与解封装处理。由于网络设备需要维护的路由表项不断增加,路由表查找成为高速数据包转发的瓶颈。因此本文借鉴基于Hash的前缀长度路由表查找算法在存储和检索上的优势,并结合基于多分支Trie树路由表查找算法的查询效率。这极大的提高了路由表的查询速度和命中率。由实验结果表明,系统对于不同大小负载的数据包均能满足40Gbps的转发速度。3.IPSec安全策略的存储与检索技术研究。IPSec协议设计中通常会用到SPD和SAD数据库。随着IPSec维护的隧道数目不断增长,SPD和SAD中保存的表项也随之增加,SPD和SAD数据库的存储和检索的效率直接影响系统的性能。因此,本文设计一种基于Hash组织结构的叁级表用于存储安全表项,使用基于流表的策略检索方式,只将一条流的首报文送至策略检索模块进行查表处理,并将检索结果添加到流表,对于此流的后续报文直接引用此流表表项中对应的规则字段即可,大幅度减少检索策略规则时查询策略表的次数,提高系统的运行速度。基于Tilera众核处理平台的IPSec VPN系统主要采用IPSec、加解密技术等技术,并负责网络数据报文在公共网络上的安全传输。本文从功能和性能两方面对系统进行测试,结果表明系统逻辑业务正确并满足40Gbps的处理能力,符合设计要求。
参考文献:
[1]. 基于IPSEC的VPN系统的研究及IKE协议的改进实现[D]. 孙瑜. 太原理工大学. 2004
[2]. IPSec VPN的研究设计与实现[D]. 刘伟. 山东大学. 2007
[3]. 基于IPsec协议的VPN代理网关系统的研究与实现[D]. 李石磊. 太原理工大学. 2013
[4]. 远程接入IPsec VPN的增强型设计方案与实现[D]. 周晓东. 苏州大学. 2007
[5]. Linux下基于IPv6的混合VPN组网方式的设计与实现[D]. 胡国强. 西北农林科技大学. 2013
[6]. 改进的IPSec VPN系统的设计与实现[D]. 陈明. 福州大学. 2013
[7]. 基于VPN技术的信息安全构架的研究与设计[D]. 朱轶文. 武汉理工大学. 2003
[8]. 支持TNC的IPsec VPN系统的研究[D]. 梅明. 西安电子科技大学. 2014
[9]. 基于IPSec的VPN网关的体系结构设计与实现[D]. 余俊丰. 华中科技大学. 2005
[10]. 基于众核网络处理器的IPSec VPN系统的研究与实现[D]. 王建. 西安工程大学. 2016
标签:互联网技术论文; ipsec论文; vpn论文; 安全协议论文; 内部网关协议论文; 信息安全论文; ipv6测试论文; 功能测试论文; 模块测试论文; 用户分析论文; 功能分析论文; 网络安全论文; vpn网络论文; vpn网关论文;