远程接入IPsec VPN的增强型设计方案与实现

远程接入IPsec VPN的增强型设计方案与实现

论文摘要

本文对远程接入IPsec VPN进行了深入研究分析,针对实际的应用场景,实现了一种更具可用性、健壮性和安全性的远程接入方案,论文的具体研究和实现工作包括以下几个方面:分析了现有IPsec VPN体系结构中存在的不足,基于新的IPsecv2框架,提出了PAD增强型设计方案,并在此基础上提出了扩展设计,增设PAD服务器以进行集中式管理,从安全和管理的角度对原有的体系结构进行了增强;分析了IKEv1下远程自动配置方案的不足,本文提出了一种新的改进型自动配置方案,在IPsec VPN网关中实现了DHCP客户端的功能,能够根据用户及其所在组的信息发起DHCP请求,DHCP服务器端配置了用户组的匹配规则和建立地址池,能根据DHCP请求选择合适的地址池分配内部IP地址和其他内部配置信息;基于课题组实现的IPsecv2框架下的一体化防火墙和本课题完成的基于用户组的远程自动配置方案,实现了对远程用户的访问控制,提高了系统的效率和安全性;针对远程用户和IPsec VPN网关之间可能存在NAT设备的情况,研究了IKEv2协议中NAT探测和穿越的方案,实现NAT探测功能,当探测到NAT设备的存在后,通过NETLINK套接口通知IPsec内核启用NAT穿越功能,提高了系统的通用性;将DPD协议应用在IPsec VPN系统中,弥补了IKE协议本身对状态检测的不足,提高了系统的健壮性;在设计中,充分考虑到IKEv1和IKEv2的融合,支持IKEv1和IKEv2的客户端,提高了系统的兼容性;对课题的原型系统进行测试。测试结果表明,原型系统各个模块可以正常工作,在可用性、健壮性和安全性等方面均达到了设计要求。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 研究背景
  • 1.2 研究现状与存在的问题
  • 1.3 论文内容与相关工作
  • 1.4 论文贡献
  • 1.5 论文结构
  • 第二章 远程接入IPsec VPN 的总体设计
  • 2.1 基于PKI 和扩展认证的远程接入方案
  • 2.2 远程接入关键问题分析
  • 2.3 远程接入总体设计与模块划分
  • 第三章 IPsec VPN 体系结构综述
  • 3.1 IPsec 协议简介
  • 3.2 AH 协议
  • 3.3 ESP 协议
  • 3.4 IPsec 的操作模式
  • 3.5 安全关联(SA)
  • 3.6 安全数据库
  • 3.6.1 安全策略数据库SPD
  • 3.6.2 安全关联数据库SAD
  • 3.6.3 端授权数据库PAD
  • 3.7 IPsec 对进出包的处理
  • 3.7.1 入站报文处理
  • 3.7.2 出站报文处理
  • 3.8 IKEv2 协议
  • 第四章 PAD 增强设计方案与实现
  • 4.1 现有IPsec VPN 体系结构的缺陷及漏洞分析
  • 4.1.1 管理缺陷分析
  • 4.1.2 安全缺陷分析
  • 4.2 PAD 基本概念和设计
  • 4.3 改进的集中式PAD 增强设计方案与分析
  • 4.4 PAD 增强型IPsec VPN 系统的实现
  • 第五章 远程客户端自动配置的设计与实现
  • 5.1 基于IKEv1 的远程客户端自动配置缺陷分析
  • 5.2 改进的远程客户端自动配置设计
  • 5.3 改进的远程客户端自动配置实现
  • 5.3.1 CP 载荷和配置属性
  • 5.3.2 用户组信息的获取
  • 5.3.3 DHCP 客户端的设计与实现
  • CHILDSA)交互'>5.3.4 创建子SA(CREATECHILDSA)交互
  • 5.3.5 访问控制的实现
  • 第六章 NAT 探测与穿越的设计与实现
  • 6.1 NAT 的基本原理
  • 6.2 IPsec 和NAT 的不兼容性分析
  • 6.3 IPsec 和NAT 共存解决方案
  • 6.4 NAT 探测分析与设计
  • 6.5 NAT 穿越设计
  • 6.5.1 内核对外出信包的处理流程
  • 6.5.2 内核对进入信包的处理流程
  • 6.5.3 keepalive 消息
  • 第七章 DPD 协议的研究与实现
  • 7.1 传统状态检测方法的不足
  • 7.2 DPD 协议原理
  • 7.3 DPD 在IPsec VPN 中的设计与实现
  • 7.3.1 发起DPD 检测
  • 7.3.2 DPD 响应方处理
  • 7.3.3 DPD 超时处理
  • 7.4 DPD 性能分析
  • 第八章 系统原型测试
  • 8.1 课题系统测试环境
  • 8.2 windows 客户端连接测试
  • 8.3 Linux 客户端连接测试
  • 8.4 模块测试
  • 8.4.1 PAD 安全性测试
  • 8.4.2 远程客户自动配置模块测试
  • 8.4.3 NAT 穿越模块测试
  • 8.4.4 DPD 模块测试
  • 8.5 性能测试
  • 8.5.1 远程接入连接时间测试
  • 8.5.2 响应时间测试
  • 8.5.3 网络吞吐量测试
  • 8.6 保密性测试
  • 8.7 测试结论
  • 第九章 结束语
  • 9.1 论文总结
  • 9.2 下一步工作
  • 附录一 虚拟接口和路由操作脚本
  • 附录二 DHCP 服务器配置文件
  • 附录三 NAT 路由器的配置
  • 附录四 课题中使用的重要数据结构
  • packet 结构'>1 dhcppacket 结构
  • createchildsat 结构'>2 privatecreatechildsat结构
  • t 结构'>3 chunkt结构
  • 参考文献
  • 作者在攻读硕士学位期间参加的科研项目
  • 作者在攻读硕士学位期间公开发表的论文
  • 致谢
  • 详细摘要
  • 相关论文文献

    标签:;  ;  ;  

    远程接入IPsec VPN的增强型设计方案与实现
    下载Doc文档

    猜你喜欢