嵌入式平台下基于IPSec的VPN技术研究—IKEv2的实现技术

论文摘要

IPSec是由IETF工作组提出的将安全机制引入TCP/IP网络的一系列标准,为当前的IPv4网络和未来的IPv6网络提供高质量的、基于密码的安全,是实现VPN的基础。IKE是IPSec协议族中的一个极为关键的协议,负责密钥的协商与管理,建立安全服务相关的安全关联。IKEv1是一个混合型协议,十分复杂,这很可能导致二义性、低效和漏洞等诸多安全问题。针对这种现状,IETF积极筹措IKEv2,目前正处于草案阶段。本文深入分析了IKEv2协议,包括协议组成、协商过程、消息及载荷的格式等,总结了IKEv2相对于IKEv1的变化之处,详细论述了IKEv2在安全性、兼容性、通信效率和可靠性方面的优势。在深入研究协议的基础上,设计了一个IKEv2系统模型,并提出了一个模块化的可行的IKEv2系统实现方案。该方案将整个系统分为系统管理模块、外部接口模块和内部模块三大部分。作者主要负责内部模块(包括IKE消息交换模块和载荷处理模块)和外部模块中的配置接口模块的工程实现。本文具体描述了上述模块的设计思想和具体实现方法,总结了实现的关键技术和难点。最后,对实现的IKEv2系统的整体功能和性能进行实验测试,并进行分析。测试结果表明实现的IKEv2系统能够很好地完成对安全关联的协商,并利用PF_KEY接口与内核安全数据库交互,实现安全关联的管理和维护;而且IKEv2系统的整体性能比IKEv1有显著提高。

论文目录

摘要

Abstract

第一章引言

§1.1 课题背景

§1.2 论文研究内容和目标

§1.3 课题的难点和研究成果

§1.4 论文的结构安排

第二章 IPSec系统概述

§2.1 IPSec的工作模式

§2.2 认证头协议

§2.3 封装安全载荷协议

§2.4 安全关联和安全数据库

§2.4.1 安全关联

§2.4.2 安全数据库

§2.5 Intemet密钥交换协议

§2.6 IPSec技术发展情况

§2.7 本章小结

第三章 IKEv2协议分析

§3.1 IKEv1面临的主要问题

§3.2 IKEv2的主要变化

§3.2.1 消息头部和主要载荷

§3.2.1.1 IKEv2消息头部

§3.2.1.2 IKEv2的主要载荷

§3.2.1.3 消息头部及载荷的小结

§3.2.2 IKEv2消息交换

§3.2.2.1 IKEv2基本交换

§3.2.2.2 IKEv2辅助性交换

§3.2.2.3 IKEv2消息交换小结

§3.2.3 IKEv2对NAT穿越的支持

§3.2.4 安全关联重协商

§3.2.5 IKEv2变化总结

§3.3 IKEv2的兼容性

§3.4 IKEv2的通信效率及可靠性

§3.5 IKEv2的安全性分析

§3.5.1 抵御中间人攻击

§3.5.2 抵御拒绝服务攻击

§3.5.3 完美向前保密PFS

§3.6 本章小结

第四章 IKEv2的实现

§4.1 IKEv2的最小化实现要求

§4.2 总体设计

§4.2.1 系统管理模块

§4.2.2 外部接口模块

§4.2.3 内部模块

§4.3 系统运行环境

§4.4 模块的设计与实现

§4.4.1 IKE消息交换模块的设计与实现

§4.4.1.1 实现分析

§4.4.1.2 模块的实现

§4.4.1.3 实现的关键技术和难点

§4.4.2 载荷处理模块的设计与实现

§4.4.2.1 实现分析

§4.4.2.2 消息头和主要载荷的实现

§4.4.2.3 实现的关键技术和难点

§4.4.3 配置接口模块的设计与实现

§4.4.3.1 实现目标及实现思想

§4.4.3.2 策略配置的基本要求

§4.4.3.3 配置界面的B／S实现

§4.4.3.4 实现的关键技术和难点

§4.5 系统功能总结

§4.6 本章小结

第五章系统测试与分析

§5.1 系统测试

§5.1.1 测试环境

§5.1.2 实验测试与性能分析

§5.2 安全性分析

§5.3 本章小结

第六章结束语

§6.1 工作总结

§6.2 系统存在的不足

§6.3 进一步工作

参考文献

致谢

附录A 贯穿协商的数据结构

附录B 策略配置实例

嵌入式平台下基于IPSec的VPN技术研究—IKEv2的实现技术

论文摘要

论文目录

相关论文文献

猜你喜欢