论文摘要
本文对远程接入IPsec VPN进行了深入研究分析,针对实际的应用场景,实现了一种更具可用性、健壮性和安全性的远程接入方案,论文的具体研究和实现工作包括以下几个方面:分析了现有IPsec VPN体系结构中存在的不足,基于新的IPsecv2框架,提出了PAD增强型设计方案,并在此基础上提出了扩展设计,增设PAD服务器以进行集中式管理,从安全和管理的角度对原有的体系结构进行了增强;分析了IKEv1下远程自动配置方案的不足,本文提出了一种新的改进型自动配置方案,在IPsec VPN网关中实现了DHCP客户端的功能,能够根据用户及其所在组的信息发起DHCP请求,DHCP服务器端配置了用户组的匹配规则和建立地址池,能根据DHCP请求选择合适的地址池分配内部IP地址和其他内部配置信息;基于课题组实现的IPsecv2框架下的一体化防火墙和本课题完成的基于用户组的远程自动配置方案,实现了对远程用户的访问控制,提高了系统的效率和安全性;针对远程用户和IPsec VPN网关之间可能存在NAT设备的情况,研究了IKEv2协议中NAT探测和穿越的方案,实现NAT探测功能,当探测到NAT设备的存在后,通过NETLINK套接口通知IPsec内核启用NAT穿越功能,提高了系统的通用性;将DPD协议应用在IPsec VPN系统中,弥补了IKE协议本身对状态检测的不足,提高了系统的健壮性;在设计中,充分考虑到IKEv1和IKEv2的融合,支持IKEv1和IKEv2的客户端,提高了系统的兼容性;对课题的原型系统进行测试。测试结果表明,原型系统各个模块可以正常工作,在可用性、健壮性和安全性等方面均达到了设计要求。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。
论文目录
摘要Abstract第一章 绪论1.1 研究背景1.2 研究现状与存在的问题1.3 论文内容与相关工作1.4 论文贡献1.5 论文结构第二章 远程接入IPsec VPN 的总体设计2.1 基于PKI 和扩展认证的远程接入方案2.2 远程接入关键问题分析2.3 远程接入总体设计与模块划分第三章 IPsec VPN 体系结构综述3.1 IPsec 协议简介3.2 AH 协议3.3 ESP 协议3.4 IPsec 的操作模式3.5 安全关联(SA)3.6 安全数据库3.6.1 安全策略数据库SPD3.6.2 安全关联数据库SAD3.6.3 端授权数据库PAD3.7 IPsec 对进出包的处理3.7.1 入站报文处理3.7.2 出站报文处理3.8 IKEv2 协议第四章 PAD 增强设计方案与实现4.1 现有IPsec VPN 体系结构的缺陷及漏洞分析4.1.1 管理缺陷分析4.1.2 安全缺陷分析4.2 PAD 基本概念和设计4.3 改进的集中式PAD 增强设计方案与分析4.4 PAD 增强型IPsec VPN 系统的实现第五章 远程客户端自动配置的设计与实现5.1 基于IKEv1 的远程客户端自动配置缺陷分析5.2 改进的远程客户端自动配置设计5.3 改进的远程客户端自动配置实现5.3.1 CP 载荷和配置属性5.3.2 用户组信息的获取5.3.3 DHCP 客户端的设计与实现CHILDSA)交互'>5.3.4 创建子SA(CREATECHILDSA)交互5.3.5 访问控制的实现第六章 NAT 探测与穿越的设计与实现6.1 NAT 的基本原理6.2 IPsec 和NAT 的不兼容性分析6.3 IPsec 和NAT 共存解决方案6.4 NAT 探测分析与设计6.5 NAT 穿越设计6.5.1 内核对外出信包的处理流程6.5.2 内核对进入信包的处理流程6.5.3 keepalive 消息第七章 DPD 协议的研究与实现7.1 传统状态检测方法的不足7.2 DPD 协议原理7.3 DPD 在IPsec VPN 中的设计与实现7.3.1 发起DPD 检测7.3.2 DPD 响应方处理7.3.3 DPD 超时处理7.4 DPD 性能分析第八章 系统原型测试8.1 课题系统测试环境8.2 windows 客户端连接测试8.3 Linux 客户端连接测试8.4 模块测试8.4.1 PAD 安全性测试8.4.2 远程客户自动配置模块测试8.4.3 NAT 穿越模块测试8.4.4 DPD 模块测试8.5 性能测试8.5.1 远程接入连接时间测试8.5.2 响应时间测试8.5.3 网络吞吐量测试8.6 保密性测试8.7 测试结论第九章 结束语9.1 论文总结9.2 下一步工作附录一 虚拟接口和路由操作脚本附录二 DHCP 服务器配置文件附录三 NAT 路由器的配置附录四 课题中使用的重要数据结构packet 结构'>1 dhcppacket 结构createchildsat 结构'>2 privatecreatechildsat结构t 结构'>3 chunkt结构参考文献作者在攻读硕士学位期间参加的科研项目作者在攻读硕士学位期间公开发表的论文致谢详细摘要
相关论文文献
标签:远程接入论文; 远程自动配置论文; 穿越论文;