IPSecVPN网络的安全性和连通性的优化

复旦大学硕士学位论文IPSecVPN网络的安全性和连通性的优化姓名：冯冠青申请学位级别：硕士专业：软件工程指导教师：王新20070208IPSecVPN网络的安全性和连通性的优化作者：冯冠青学位授予单位：复旦大学相似文献(4条)1.学位论文李孝展基于IPSec的VPN技术研究2005随着Internet网的迅速发展，Internet已经成为全社会的信息基础设施，商务应用也在Internet上找到了更为广阔的空间。商务应用的特殊性对网络安全提出了更高的要求，它希望同一组织或申请了同一服务的用户，不论物理位置的差异，都能加入一个安全的、有身份验证的专用环境中。这也就是VPN（虚拟专用网，VirtualPrivateNetwork）产生的初衷。VPN利用各种安全协议，在公众网络中建立安全隧道，提供专用网络的功能和作用。目前的安全协议有很多种，VPN的安全协议主要是以第2层或第3层协议为基础。第2层安全协议对应OSI模型中的数据链路层，是将数据封装在点对点协议（PPP）帧中通过互联网发送的［Editor1994］，PPTP，L2TP和L2F都属于第2层协议。第3层安全协议对应OSI模型中的网络层，使用数据报作为数据交换的单位，GRE以及IPSec均属于第3层协议。IPSecVPN是基于IPSec协议的VPN。IPSec是IETF提出的确保IP通信数据安全的机制，它支持数据源认证，以及数据加密和数据完整性保证。IPSec良好的安全特性使得IPSecVPN目前在中国得到蓬勃发展，本文的研究也正是集中在这一领域的。本文的主要工作是在对VPN和IPv6相关技术研究的基础上，给出了IPSec构筑VPN的三种方式。针对NAT技术，分析了IPSec与NAT技术的兼容性问题，对比讨论了IETF提出的两种解决方案：RISP代替NAT和UDP封装，然后选择了UDP封装作为我们的解决方案，并在Linux下，实现了UDP封装。UDP封装是利用把IPSec包封装在一个UDP包中来透明地完成NAT的穿越。这个方案不需要修改NAT网关，只需对Linux的IPSec内核部分做稍微的修改，对用户透明，符合实际情况的需要，而且简单容易实现。此外本文还构筑了一个IPv6的实验环境，并实施了相关实验。考察了该环境中常见应用的运行情况，然后利用KAME和TAHI工具对IPSec构建VPN时的安全特性进行了测试。测试表明，IPSec的连接性和应用支持性良好。由于设置了IPSec报文的各种安全参数，测试均通过，因此间接地说明了基于IPSec的VPN的安全性良好。实验中，还根据UDP封装方案，对Linux内核做了相应的改进，并测试了IPSec报文的传输情况。结果表明，UDP封装方案在Linux下具有良好的可实施性，而且IPSec和NAT的兼容性得到很好的解决。2.学位论文范为IPSec和NAT协同工作问题的研究与设计2007IPSec已经成为一种成熟的信息安全技术，基于。IPSec的信息安全产品已经被广泛地用来保护信息传输的安全。NAT是一个IETF(InternetEngineeringTaskForce，Interact工程任务组)标准，它允许一个整体机构以一个公用IP(InternetProtocol)，地址出现在Intemet上。它是一种把内部私有网络地址转换成合法网络IP地址的技术。NAT技术不但是提高IP地址使用效率的好方法，而且NAT技术的另一个很有用的特性是能让多台计算机共用一个IP地址，这样NAT网关可以起到屏蔽内部网络和公用网络的作用，从而增强了系统的安全性。现在人们可以经常在防火墙或者网关、路由器上看到NAT技术的应用，但由于目前IPSec和NAT技术的不兼容，使得这两种优秀的技术无法同时在网络中并存。本文在阐述了IPSec(VPN)和NAT技术原理的基础上，对IPSec和与NAT协同工作问题进行了研究。因为IPSec技术对数据包进行加密和数字签名操作，将IP地址和端口号进行了变形或隐藏；而NAT的功能决定了NAT要读取经过它的数据包的TCP/UDP端口和IP地址并对他们进行修改映射，因此如何让在NAT后面的IPSec产品进行正常的安全通信是一个重要的问题，本文以NAT穿越方案的总体架构为基础，对数据封装格式进行改进和相关协议的功能进行扩充，形成了一套完整的NAT穿越解决方案。本文结合实际需求，在不需要对现有NAT设备进行重新部署的前提下，提出了使用UDP数据封装和IKE修改相结合的方法以完成IPSec和NAT技术的融合。为了使IKE能够支持NAT穿越，必须对原IKE进行功能上的扩充和部分修改。本文分两个阶段对主模式和快速模式进行了修改。对于主模式的修改，给出了VendorID负载的处理过程；引入了2次HASH验证，给出了探测通信双方是否存在NAT的算法；一些NAT设备不改变源端口500，即使NAT后面有多个客户机，这些NAT设备通过Cookie值而不是源端口完成与后面多个客户机的映射，这样IKE发现NAT设备的能力就会受到影响，本文给出了NAT端口转换的一种方法。对于快速模式的修改，通过在SA载荷中增加字段的方法来进行数据包(UDP)封装方式的协商；在封装方式协商的过程中，通过使用NAT-OA数据包，使得通信双方即使经过了NAT转换，依然可以进行正确的校验，解决了NAT无法更新上层校验和的问题。3.期刊论文叶润国.冯彦君.张方舟.虞淑瑶.宋成.YERun-guo.FENGYan-jun.ZHANGFang-zhou.YUShu-yao.SongChengIPSec-VPN与几种典型网络协议的互操作问题-计算机应用研究2005,22(8)分析了IPSec-VPN在一些特殊网络应用场景中与几种典型网络协议的互操作问题,并讨论了一些可行的解决方案.研究内容包括:在IPv4网络中与NAT网关互操作问题;在无线网络场景中与性能提升代理互操作问题;在动态拓扑VPN网络环境中与动态路由协议互操作问题;在移动网络环境中与移动IP协议互操作问题.4.学位论文祝芝梅支持NAT的VPN网关的研究与实现2004IPSec作为IP层的安全协议,为IP包提供了身份验证、数据完整性和机密性的保护,在网络安全特别是虚拟专用网(VPN)领域中起着重要作用.而网络地址转换(NAT)是将子网内的私网地址映射为一个或者几个Internet上的公网地址,它有效地解决了IPv4地址短缺问题.对IPSec与NAT协议深入分析后发现,它们之间存在严重的不兼容:当通过IPSec保护的数据包在经过有NAT的链路时,NAT将修改数据包的IP地址或传输标识符,这样会引起数据包不能通过IPSec的安全性检查,从而使通信双方不能进行正常通信.这些不兼容性严重限制了NAT和IPSec的协同工作.然而,在网络安全应用领域,往往需要NAT网关和IPSecVPN网关能够协同工作.为此,我们提出采用UDP封装技术,对现有的VPN系统进行修改以实现VPN穿越NAT.在IKE协商SA的过程中增加载荷以探测网关之间的VPN是否支持NAT穿越以及网关之间是否存在NAT.增加了对ESP和AH报文进行UDP封装和解封装的模块.对IPSec的处理流程也作了相应的修改.最后对实现过程中遇到的IP分片、ICMP和PMTU问题提出了一套有效的解决方案.对于两边都有NAT的情况下,发起通讯的VPN设备由于无法确定被连接的VPN设备的IP地址和协商端口号等多种原因,导致无法建立加密通讯隧道.为此,我们提出采用VPN转发网关技术.同时也分析了采用UDP封装穿越NAT存在的有待解决的问题.本文链接：授权使用：上海海事大学(wflshyxy)，授权号：161620ca-27f7-4b27-b46a-9dc400b6071f下载时间：2010年7月31日