基于IPsec的VPN安全网关的设计与实现

上海大学硕士学位论文基于IPsec的VPN安全网关的设计与实现姓名：杭强伟申请学位级别：硕士专业：计算机应用技术指导教师：陆菊康20040101基于IPsec的VPN安全网关的设计与实现作者：杭强伟学位授予单位：上海大学相似文献(10条)1.期刊论文杨明.郭树旭.王隽.YANGMing.GUOShuXu.WANGJun基于虚拟专用网技术的一卡通网络安全设计与实现-电子技术应用2010,36(1)以数字体育一卡通网络安全为研究背景,介绍了虚拟专用技术在一卡通支付网关中的应用情况.通过对不同类型虚拟专用网分析,改进了传统的一卡通安全机制和实现方式,较好地解决了一卡通网络支付安全问题.通过系统部署后的性能测试和安全性测试,验证了设计方案的正确性和可行性.2.学位论文冯志林IPSec分析及虚拟专用网设计2002随着政府和企业越来越依赖于计算机网络所存储的数据信息,计算机网络的安全也就日益显示出了其的重要性.尽管人们多年来一直把计算机安全作为活跃的研究领域,但是直到现在,随着Internet使用的爆炸性增长,计算机网络安全才引起全社会的关注.由于访问Internet的方便和廉价,从而导致了对虚拟专用网(VPN)需求的日益增长.虚拟专用网技术是解决网络安全问题的一条有效途径,它提供了一种能够将私有数据在不安全的Internet网上进行安全传输的方法.它允许企业以相对低廉的成本通过Internet来安全地与远程员工和业务伙伴进行通讯.在论文中,我们将讨论有关VPN的需求、益处和设计问题,虚拟专用网的隧道机制以及各种实现虚拟专用网的方法;概述IPSec协议族组件,讨论如何应用IPSec协议族组件来建立虚拟专用网系统,该论文所建立的虚拟专用网系统是运行在WindowsNT4.0操作系统上的,我们将会详细描述虚拟专用网的功能和实现细节;最后,该论文将对虚拟专用网做出总结和未来工作的展望.3.期刊论文陈国炎.缪希仁.卓菡.CHENGuo-yan.MIAOXi-ren.ZHUOHanVPN技术及其在数字社区的应用-低压电器2006,(8)在阐述VPN及其关键技术--隧道技术的基础上,重点分析了数字社区网络安全布局结构及其设计技术,提出了实现数字社区VPN的MPLSVPN和嵌入式VPN模型,并分析了两种模型的应用特点.提出的数字社区网络安全模型具有经济适用、安全可靠、易于实现的特点,是适用于大、中型数字社区的网络安全解决方案.4.学位论文曹娜娜虚拟专用网技术在网络安全环境中的研究与实现2006本文从网络安全的现状谈起，分析了出现网络安全问题的根本原因，针对这些问题归纳并提出了提高网络安全应达到的目标和采取的技术手段，进而引入了VPN的概念，在系统研究了VPN协议和技术的基础上，选用目前较为理想的实现技术IPSec。鉴于IPv4与IPv6报头格式的不同，IPv6中IPSec对网络性能的影响远小于IPv4，及传统的IPv4中VPN技术与NAT之间难以调和的矛盾，分析得出在IPv6中展开VPN研究更有意义。然后简要介绍了IPSec的功能、体系模块、工作原理，给出了认证模型。阐述了IPSec协议的各组成部分，如认证报头、安全封装载荷报头、安全关联、加密和认证算法、密钥管理，进而探讨彼此之间如何展开合作，以实现对IP报文的安全保护。通过比较IPSec在IPv6中的3种实现方式，选用IPSec与源码开放的OS集成方式。在Linux系统上对开放的FreeS/WAN展开研究，借鉴了IPv4中VPN的成功经验，充分考虑了IPv4及IPv6中IPSec协议在操作系统中调用的差异，提出了将FreeS/WAN与RedHatLinux集成的模型，针对不同的信息流、操作平台和用户需求，提出了多种VPN解决方案，较传统的VPN性能有了很大改进和提高。在对部分方案进行了有关测试之后，总结了实验结果，分析了当前方案的不足。本文仅对IPv6中VPN的部分功能进行了理论和实验研究，VPN功能还不够灵活，VPN的性能还有待提高。鉴于此对今后将深入研究的内容，如服务质量(QoS)的确保和为远程移动用户提供认证的LDAP等提出了建议和思考。5.期刊论文李频.LiPin虚拟专用网与防火墙集成的设计-计算机应用与软件2006,23(11)虚拟专用网和防火墙是当前网络安全防御体系中两个非常重要和常见的防御设施.首先提出了集成实现虚拟专用网和防火墙两者功能时,VPN网关和防火墙的相对放置位置的几种方案,并分析了每种方案的优缺点.最后给出了将VPN网关和防火墙作为一个整体设备,实际安装到内部局域网与互联网之间时一个比较好的实现方案.6.学位论文杨明基于IPSec虚拟专用网的研究与实现2003该文以北京市第一个数字体育项目——基于IPSec的虚拟专用网在北京市东城区体育局一卡通网络安全的研究为背景,首先分析了网络安全状况以及与本项目相关的VPN和IPSec技术背景,对比传统的安全实现方式,按照用户需求进行了细致的分析与设计,提出本系统基于IPSec虚拟专用网的实现方案.方案对传统的一卡通安全机制和IPSec实现方式进行了改进,本项目的成功实施无论是对于2008数字奥运还是对于其它金卡工程都具有广泛的意义.IPSec体系结构包括AH、ESP、IKE等多个协议的结构.该文没有涉及IPSec协议族框架中所有协议和服务,只着重就IPSec对数据包进入处理流程和数据包外出处理流程、IPSec实施模式以及IPSec协议栈等重要方面做了详细的介绍.在课题研究中借鉴了机器学习的思想,文中给出了一个基于ID3决策树的SPD策略分析模型及其实现算法.7.期刊论文戴芦生虚拟专用网技术(VPN)及其实现-安徽电子信息职业技术学院学报2004,3(5)本文介绍了虚拟专用网技术(VPN)的概念,分析了虚拟专用网的作用,提出了不同类型的虚拟专用网及其适用对象,还对虚拟专用网的四种安全协议进行了分析,指出了四种安全协议的优缺点及分别最适合的虚拟专用网类型,并根据用户对网络联接的不同需求,设计了以下三种实现方案.8.学位论文石荣虚拟专用网的身份认证技术研究2003虚拟专用网(VPN)作为一种综合性的网络安全技术，由于其公网“专用”和安全的优点，正得到越来越多的应用。许多研究机构和安全厂商都纷纷推出了自己的VPN网关。而VPN中的身份认证也正日益受到重视，目前已有的VPN产品中身份认证，主要有两大类：一种是简单的预共享密钥认证，面向中小客户；另一种是混和认证+LAM(legacyauthenticationmechanisms)，利用已有的身份认证系统，加上改进VPN的密钥交换协议(IKE)的认证方法，可以实现用户级的认证，主要面向大客户。但是两者都有不可避免的弱点，前者在于VPN的不易扩展性，而后者对IKE的认证方法的改动，在安全领域中只能是一种暂时性方案。数字证书认证是VPN身份认证方法之一，而且随着CA建设的完善，这一方法成为未来的趋势。本文第一章首先对互联网从水平，垂直，和过程动态三个方面建立安全模型，指出虚拟专用网是互联网重要的安全技术之一，能有效的增加安全纵深，接着第二章对虚拟专用网进行研究，总结VPN的三个关键技术：(1)加密和密钥管理(2)隧道技术(3)身份认证技术。然后第三章以IPsec协议建立具体的VPN模型，包括VPN的实施，传输模式，以及密钥交换。第四章在密钥交换中，我们对IKE的中的Dime-Hellman协议的安全性进行了分析，指出了IKE协议进行认证的必要性。接下来，我们详细的分析的IKE的各种认证方式，以及它们的优，缺点。从本文的研究，我们知道IKE认证的局限性在于它只能提供标准的设备级认证，所以对远程用户接入支持不够，同时不能有效区分不同用户的接入权限。为了改进IKE认证的局限性，业界提出了的改进方法，包括混和认证，和数字证书认证。其中数字证书认证，由于可以作为用户身份标识，又是IKE可选的认证方式，并且与可信第三方CA进行配合，成为本文的实现方案。由于CA建设的滞后性，我们提出了过渡性的VPN数字证书认证方案：即在VPN网关上实现LocalCA。第五章主要分析实现中主要解决的问题，即ASN.1语法的x509v3证书的解释，数字摘要的完整性校验，数字签名的有效性校验以及在已有的VPN(freeswan源码)系统中，加入数字证书载荷和数字请求载荷。最后第六章，我们对实现的数字认证系统，提出了一种新的基于数字证书的远程用户接入的用户认证方案。并对今后数字证书的在更高颗粒度的身份认证的作用进行前瞻性展望。9.期刊论文崔秀玉.王志勇.CUIXiu-yu.WANGZhi-yong虚拟专用网技术及其在电力系统二次安全防护中的应用-广东电力2005,18(4)鉴于虚拟专用网技术在电力数据通信网和电力系统二次安全防护中的重要地位,介绍了隧道技术和认证加密等虚拟专用网核心技术,并在此基础上,对虚拟专用网技术在计算机网络安全防护中的应用进行了探讨.10.学位论文王广远程访问虚拟专用网在移动终端上的研究与实现2006虚拟专用网(VPN)是一种应用广泛的网络服务方式，随着互联网技术和无线网络技术的迅速发展，远程访问VPN技术在网络应用中扮演着越来越重要的角色。VPN技术为企业用户带来了更大的便利和自由，但这些自由也给传统的VPN技术带来了挑战。在方便地访问企业内部网并进行数据交换的同时，用户希望远程访问技术在移动性和安全性上能够提供更加完善的支持。目前，虚拟专用拨号网VPDN技术是支持VPN移动用户的主要技术。随着CDMA1X分组域网络技术的飞速发展和普及，基于CDMA20001X网络承载的VPDN(也称为无线虚拟专用拨号网WVPDN)，使用户不受地点限制就可以随时随地灵活地访问企业内部网。本文首先介绍了主要的VPN相关技术，并对本文提出的方案所要应用的IPSec安全体系结构做了重点描述和分析。在此基础上，本文从分析当前虚拟专用网技术对移动用户的支持情况入手，对’VPDN技术进行了重点分析并指出了该技术存在的安全问题和不足。然后以IPSec为立足点并结合实验室已有的关于基本移动IP协议和穿越NAT设备的移动IP系统的研究成果，给出了一套支持移动用户通过IP网络穿越VPN网关安全访问企业私有网络的解决方案——MIP-IPSecVPN解决方案。该方案对基本的移动IP协议做了简单的改动，将移动IP协议优越灵活的移动访问特性与IPSec高度安全的优点较好的结合，为用户提供了一个安全，方便，透明的远程访问网络环境。最后，我们系统的实现了方案中最为重要的IPSec安全模块，为今后与已有的移动IP系统整合，实现整个移动VPN解决方案奠定了的基础。一直以来，网络安全系统的实现大多是在国外的操作系统上面进行的。对于操作系统内部的实现及运行情况我们无法涉及，在这种情况下即使上层安全机制无懈可击，系统整体的安全性还是受制于操作系统而无法得到保证。处于这样的考虑，本文所实现IPSec系统安全模块是基于Hopen操作系统的，它是一个由我们自主研发的，具有自主知识产权的嵌入式操作系统。该模块的实现完全依托于我们自己的技术，从基本的底层操作系统到上层网络应用，我们都能进行很好的控制，因此该系统模块的实现工作有着很大的现实意义。本文链接：授权使用：上海海事大学(wflshyxy)，授权号：49789c19-3361-4a5f-b233-9e0a005ab5a3下载时间：2010年10月9日