电子科技大学硕士学位论文基于安全策略系统的IPSec安全网关设计与实现姓名:计宁申请学位级别:硕士专业:通信与信息系统指导教师:毛玉明20050101基于安全策略系统的IPSec安全网关设计与实现作者:计宁学位授予单位:电子科技大学参考文献(26条)1.参考文献2.CarltonRDavis.周永彬.冯登国.徐震.李德全IPSecVPN的安全实施20023.WRichardStevens.尤晋元UNIX环境高级编程20004.WRichardStevens.施振川.周利民.孙宏晖UNIX网络编程19995.DouglasEComer.林瑶.蒋惠.杜慰轩用TCP/IP进行网际互连20016.JohnShapleyGray.张宁UNIX进程间通信20017.Nagannandoraswamy.DanHarkinsIPSec新一代因特网安全标准8.InternetSecurityProtocol19989.AuthenticationHeader199810.EncapsulationSecurityProtocol199811.InternetKeyExchange199812.TheInternetIPSecurityDomainofInterpretationforISAKMP199813.TheInternetKeyExchange(IKE)199814.DMcDonald.CMetz.BPhanPF_KEYKeyManagementAPI199815.PSrisuresh.MholdregeIPNetworkAddressTranslator(NAT)TerminologyandConsiderations199916.ENordmarkStatelessIP/ICMPTranslationAlgorithm(SILT)200017.GTsirtsis.PSrisureshNetworkAddressTranslation-ProtocolTranslation(NAT-PT)200018.TheUseofHMAC-MD5-96withinESPandAH199819.TheUseofHMAC-SHA-1-96withinESPandAH199820.TheESPDES-CBCCipherAlgorithmWithExplicitⅣ21.吴世忠.祝世雄.张文政密码学:协议、算法与C源程序22.MartinWMurhammer虚拟私用网络技术23.DouglasEComer.林瑶.蒋彗.谢希仁用TCP/IP进行网际互联200224.CarltonRDavis.周永彬.冯登国.徐震.李德全IPSecVPN的安全实施200225.谢希仁计算机网络199926.戴宗坤.唐三平VPN与网络安全2000相似文献(10条)1.期刊论文范永清.FanYong-qingIPSecVPN数据安全传输-信息网络安全2009,(4)随着互联网技术的普及,VPN技术得到了广泛的应用.VPN是采用加密等技术,将数据加密后在Internet等公共网络上传输,其效果相当于在公共网络上建立一条专用的、私有的、虚拟通道,由此创建一条安全、可靠的连接.本文从互联网通讯所面临的安全风险开始,先简要地介绍了几种常见的VPN解决方案,然后再详细地介绍了IPSecVPN的技术体系与工作模式.2.学位论文周莉Linux2.6IPSec分析与VPN网关的研究与实现2005本文对Linux2.6内核中的IPSec支持机制进行原创性的深入研究分析,在此基础上,配合自行设计的VPN安全网关管理控制台、安全网关与内核交互模块、IKE模块,提出了一个基于Linux2.6内核的IPSecVPN安全网关的全面构建方案,设计并实现了IPSecVPN安全网关原型系统。论文的具体研究和实现工作包括如下几个方面:对Linux2.6内核IPSec协议的无缝接入,以及AH协议、ESP协议的内核实现进行了原创性的深入分析。阐述VPN网关设计所需的安全关联、安全策略的结构以及安全关联数据库和安全策略数据库的构建方法。详细设计VPN网关的消息通信机制。在分析用户进程与内核中IPSec支持机构通 信机制的基础上详细设计了与内核IPSec通信的各条消息,设计并实现了对内核消息的监听和处理。根据IPSecVPN安全网关的需求分析,提出构建方案,设计了VPN安全网关管理控制台模块和安全网关与内核交互模块。基于以上的分析与设计,实现了一个VPN网关原型系统,并对原型系统进行测试,对测试数据进行了分析。本文的研究内容来自江苏省自然科学基金资助项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”3.学位论文王烜基于IPSec的VPN安全网关模型及在Linux平台下的实现2002安全IP(IPSecurity)开放性安全框架体系结构是由IETFIP安全工作组所制定的新的网络安全协议标准.IPSec协议支持数据初始性校验、数据一致性判断、数据保密性以及安全会话管理等安全性功能.借助于灵活的IPSec安全基础框架体系,我们可以构筑企业虚拟专用网VPN.该文综合了IPSec协议标准及VPN技术,建立了一个基于IPSec隧道技术的VPN网关模型,并在LINUX操作系统平台下,实现了基于IPSec的隧道技术的VPN安全网关模型,从而为网络安全及企业虚拟专用网的构建提供一个完整的可行的解决方案.4.期刊论文何韦伟.俞柏锋.季新生.刘彩霞.HEWei-wei.YUBai-feng.JIXin-sheng.LIUCai-xia基于TCAPsec协议的网络模型没计及性能分析-计算机工程与应用2008,44(31)事务处理能力应用部分(TCAP)协议是移动通信网络的信令协议,由缺乏安全保护的七号信令承载.TCAP安全(TCAPsec)协议为传输TCAP消息提供了安全保证,在研究TCAPsec协议的网络模型、保护模式、消息结构和交互流程基础上,设计一个简化的TCAPsec网络模型,测试了不同模式下的网络时延,分析了TCAPsec对网络性能的影响.5.学位论文兰义华支持隧道代理的主动防御型防火墙——基于IPSec的VPN安全网关及其LINUX实现研究2006因特网的普及为社会带来了巨大的经济效益。然而,网络的安全问题也日益突出,已经成为人们关注的核心问题。各种安全防范技术应运而生,其中虚拟专用网络(VPN)技术以其实用性、安全性和简单、低成本获得了广泛的应用。本文首先详细分析了实现VPN安全网关的关键技术,包括VPN技术、IPSec以及Linux的Netfilter机制。VPN技术是利用相对不安全的公网来构建企业远程专用网络,利用专用的软硬件设施,通过建立在共享IP网中的逻辑隧道,实现远程网络之间安全、点对点的连接。VPN技术的核心是隧道技术,现有IPSec,GRE,L2TP,PPTP等技术。目前最为主流的是基于IPSec协议的VPN技术。IPSec协议是IETF为IP层提供安全服务而定义的一组相关协议。作为网络层安全协议,实现了基于IP数据包的安全保护,并能为上层协议提供透明的安全服务。Linux的系统内核自2.4版本之后采用了Netfilter机制,它是在内核中扩展各种网络服务的结构化底层框架。利用Netfilter的钩子函数,我们可以很容易的插入一个内核模块来实现网络新特性的扩展。为了实现一个VPN安全网关,要选用一个合适的实现思路,为此,作者选择了在IP层实现安全性,即实现IPSec协议。基于这种思路,作者先从概念上提出了VPN安全网关的设计,包括如何架构硬件,如何架构软件,如何实现安全关联,如何处理收到的IP包等。最后利用Linux的开放源代码的性质,通过系统本身Netfilter防火墙的HOOK机制,把实现的IPSec模块以注册函数的形式与系统内核进行挂接,实现了TCP/IP协议栈与IPSec的无缝整合,并经过对整合后的系统内核进行重编译,实现了一个真正的安全内核:采用Netfilter机制的钩子点作为调用处理函数的入口,在数据的IP处理过程中调用IPSec处理模块实现IPSec协议与IP协议的整合。由于是IPSec的网关实施,论文采用了隧道模式。对于安全关联数据库的维护,论文引入IKE协议进行动态维护来代替手工输入的方式。内核与应用层的通讯接口,内核和IKE守护进程交互的接口采用了PF_KEY协议来进行实现。6.学位论文徐佳基于IP的VPN安全网关的设计实现2002由于Internet的不安全性,许多的团体和组织为了在这个全球性的开放网络上进行安全的内部通信,开发并采用了虚拟私用网络技术.本文先简单介绍了虚拟私用网络的基本知识,然后集中讨论了VPN核心部件--VPN网关的安全需求,为了实现一个VPN安全网关,要选用一个合适的实现思想,为此,作者选择了IP层实现安全性.即实现IPSec协议.基于这种思想,作者先从概念上提出了VPN安全网关的设计,包括如何架构硬件,如何架构软件,如何实现安全关联,如何处理收到的IP包以及如何进行安全关联和密钥的自动协商.然后,作者选择了两种具体的实现方案,一种基于Linux和ARM芯片平台,另一种完全自建平台,并分析了这两种方案各自的性能.给出了今后的改进和展望.7.期刊论文何韦伟.季新生.刘彩霞.HEWei-wei.JIXin-sheng.LIUCai-xiaTCAPsec协议研究及其网络模型性能分析-信息工程大学学报2008,9(2)事务处理能力应用部分(TCAP)协议是移动通信网络的信令协议,TCAP安全(TCAPsec)协议为传输TCAP消息提供了安全保证,在研究TCAPsec协议工作原理的基础上,对协议存在的不足提出了改进方案.设计一个简化的TCAPsec网络模型,测试了不同模式下的网络时廷,分析了TCAPsec对网络性能的影响.8.学位论文廖俊基于IPSec的虚拟专用网的研究与应用2003IPSec是新一代Internet的安全标准框架,它为Internet上IP包的传送提供安全性.该文讨论了VPN的工作原理和VPN实现采用的几种技术,以及几种实现技术间的比较,证明了IPSec实现VPN的优势.介绍了IPSec安全体系结构和功能,讨论了SA的作用、安全策略库(SecurityPolicyDatabase,SPD)、安全关联库(SecurityAssociationDatabase,SAD)的实现.详细地介绍了在IPSec的实现中如何处理IP包的外出与进入处理.重点分析了IPSec系统中IKE协议的功能、构成及工作过程,给出了IKE在生成安全联盟(SA)过程中用到的消息格式和各个时期产生的密钥原料和密钥,讨论了在不同认证方式下的信息交换过程及密生成.论文的最后具体地介绍了一个VPN的应用案例,主要讨论了VPN安全网关设计方案,实现的具体技术路线和实现方案,以及该应用系统的具体程序设计和数据结构.9.期刊论文马如军.周卫华.谭成翔基于IPSec的VPN在Linux中的实现-计算机工程2003,29(3)在研究IPSec协议框架和Linux操作系统的基础上,分析了IPSec安全网关的应用模型和基本构成模块,提出了通过改造Linux内核以及在操作系统原来的TCP/IP协议栈上添加IPSec的实现方案,阐述了在Linux中实现IPSec安全网关的关键技术.10.学位论文鲍洪生IPSec协议研究及基于Linux的安全网关的实现2004随着Internet的快速发展,它的应用领域越来越广,作用越来越大.与此相应,Internet的安全问题也日益受到重视.Internet是一个建立在TCP/IP协议基础上的开放的分组交换网,由于TCP/IP协议在最初设计时缺乏安全考虑,导致目前Internet的安全性能严重不足.网络上IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改、伪造、重放等攻击.在各种网络安全解决方案中,IETF于1998年推出的IPSec协议有着独特的优势,占据着重要的基础地位.IPSec在TCP/IP协议的核心层IP层实现,因此可以有效地保护各种上层协