重庆大学硕士学位论文IPv6环境下的分布式防火墙研究姓名:杨毅力申请学位级别:硕士专业:计算机软件与理论指导教师:王茜20061015IPv6环境下的分布式防火墙研究作者:杨毅力学位授予单位:重庆大学参考文献(26条)1.RichardStevensTCP/IP详解20002.Christianlluitema新因特网协议IPv620003.KentStephen.AtkinsonRandallSecurityarchitecturefortheInternetprotocol19984.程艳云IPv4向IPv6转换的五种机制[期刊论文]-江西通信科技2002(3)5.DaiGang.MaYanMobileIPv6solutionbasedonLinuxNetfilterframework[会议论文]20016.翁亮.陈依群.诸鸿文基于IPSec的网络层VPN技术1999(04)7.CarrelDave.HarkinsDanTheInternetKeyExchange(IKE)19988.StevenMBellovinSecurityProblemsintheTCP/IPProtocolSuite1989(02)9.KentStephen.AtkinsonRandallIPEncapsulatingSecurityPayload(ESP)199810.MarcusGoncalves.KittyNiles.黄锡伟.杨震IPv6网络200211.李建萍.郭学理.吕宏辉Internet的安全机制[期刊论文]-微型机与应用1999(2)12.韦卫.王德杰.王行刚Internet网络层安全协议理论研究与实现[期刊论文]-计算机学报1999(2)13.刘克龙.蒙杨.卿斯汉一种新型的防火墙系统[期刊论文]-计算机学报2000(3)14.黄智祥.叶震.孙志勇防火墙技术及其体系结构研究1999(11)15.杨生强防火墙的安全机制研究[期刊论文]-航空计算技术2000(3)16.尹欣分布式防火墙结构模型关键技术的研究[学位论文]硕士200217.HennessyJTheFutureofSystemsResearch199918.IntelCoLtdIXP2800NetworkProcessorProductBrief200219.IntelCoLtdIntelIXP2800NetworkProcessordatasheet200220.李晓峰.张玉清.李星Linux2.4内核防火墙底层结构分析[期刊论文]-计算机工程与应用2002(14)21.TLMagnanti.RTWongNetworkDesignandTransportationPlanning,ModelsandAlgorithms2001(01)22.彭湘凯VPN及其核心技术[期刊论文]-成都大学学报(自然科学版)2001(1)23.何小东基于IPv6的防火墙系统分析[期刊论文]-湖南经济管理干部学院学报2002(4)24.李晓峰.张玉清.李星Linux2.4内核防火墙底层结构分析[期刊论文]-计算机工程与应用2002(14)25.韩德志.耿红琴一种基于安全操作系统的防火墙设计与买现[期刊论文]-计算机工程2000(11)26.喻中超.吴建平.徐恪IP分类技术研究[期刊论文]-电子学报2001(2)相似文献(10条)1.学位论文郜文美基于Openswan的IPv6IPsecVPN网关的研究2008随着网络技术的不断发展,越来越多的企业拥有了自己的异地分支机构,如何实现彼此之间的安全通信已成为越来越重要的课题。以IPsec协议为基础的虚拟专用网(VPN)技术为广域网上的安全通信提供了一种有效的解决方案。然而,目前的IPsec实现大都基于IPv4,具有开销大和“NAT穿越问题”等缺点,为了从根本上解决这些问题,需要IPv6协议,因为在该协议下:路由速度提高;IPsec实现简单;地址空间巨大、NAT问题不再存在。本文首先对VPN技术做了概述、分析了IPsec协议族,并对IPv6协议进行研究、指出了其相对于IPv4的优点、论述了IPsec在IPv6下实现的可行性。然后对Linux内核中的IPsec模块NETKEY进行了深入分析,总结出了其基本框架和支持IPv6的关键技术。最后,本文对开源软件Openswan进行了源代码级的深入剖析,具体研究了其内核模块KLIPS、用户模块Pluto,对其主要函数做了详细的注释,总结出了其整体框架,并对比了KLIPS与NETKEY的优缺点。在对Openswan进行了深入的理论分析之后,本文提出了实现IPv6IPsecVPN的总体思路:即利用Openswan的虚接口机制,结合NETKEY中支持IPv6的具体方法,实现IPv6IPsecVPN。本文对Openswan中的冗余代码进行了删减,并去掉了NAT-T的支持模块,对IPv4的相关接口和数据结构进行了向IPv6的迁移,实现了IPv6协议下的虚接口模块、进入和外出处理模块、SPD模块、SAD模块、ESP模块、IKEvl模块和PF-KEYv2模块,最终完成了支持IPv6的VPN软件v6swan。最后在Linux平台上安装此软件,并在我校IPv6实验网上进行模拟测试,测试的数据表明,本文的v6swan方案是切实可行的。2.期刊论文李力.袁新治.郑超美.吴芳宇.LILi.YUANXin-zhi.ZHENGChao-mei.WUFang-yu基于IPv6协议的IPSec与防火墙协同工作设计与实现-计算机工程与设计2006,27(16)IPSec通过对IP报文的加密和验证,保证数据在传输过程中的安全.由于IPSec封装了报文中一些重要信息,使得IPSec与防火墙不能同时有效地工作.利用IPv6的Hop-by-Hop扩展报头存放端口信息,并建立验证关联以保证端口信息的完整性.把这种方案与防火墙技术结合起来,设计实现网关防火墙的主要功能,并对系统的时延和吞吐量进行了测试与分析,证明了该策略的可行性.3.学位论文呙亚南IPv6协议的安全体系结构2001随着Internet飞速发展,出现了大量的应用和服务,因此网络安全问题就变得更加重要.目前,IPv6协议正处于试验阶段,因此对IPSec的设计与实现以及测试都是非常重要的.第一章:介绍了IPv4协议的局限性和IPv6协议的基本知识.第二章:介绍IPv6协议安全体系结构的总体概述和各子部分之间的关系,然后分别描述认证头标、封装化净荷以及安全联盟数据库和安全策略数据库,最后讨论密钥管理.第三章:实践部分,首先描述了科大IPv6试验床的建设情况,然后描述了PSec的实施结构,最后描述了IPSec在FreeBSD上的具体实现.第四间;介绍了IPSec的基本应用.第五章;介绍IPSec未来发展方向.4.期刊论文康金钟.杨明.康志伟基于IPv6协议的IPSec网络安全的研究-长沙电力学院学报(自然科学版)2003,18(2)针对IPv6网络安全IPSec协议族进行了研究,主要内容为IPSec的体系结构,包括AH、ESP、IKE等多个协议的结构,并在此基础上讨论了IPSec在虚拟专用通道中实现的方式.5.学位论文吴爱慧IPv4/IPv6协议过渡机制的研究2006随着Internet的快速发展,自从20世纪70年代出现后就被广为使用的IPv4协议暴露出了越来越多的问题,例如地址短缺和缺乏安全性等。为了彻底解决IPv4存在的问题,IETF(InternetEngineerTaskForce)提出和设计了下一代网络协议,即IPv6。它有128位地址,因此可以有效解决IP地址短缺的问题。除此之外,IPv6还采用高效的IP数据报头、服务质量、主机地址自动配置等许多新技术,将极大的满足用户对网络的新需求,这也决定了IPv4必然向IPv6过渡。由于目前Internet网络是基于IPv4协议,计算机网络中存在大量的IPv4主机及各种IPv4网络设备,要想快速完成从IPv4到IPv6的过渡,需要花费巨大的代价。同时,随着网络安全形势的日益严峻,迫使我们必须将过渡机制与安全问题结合起来考虑。通过将安全问题与IPv4到IPv6的过渡机制结合起来,对于我们实现平滑、无缝和安全的过渡具有重要的理论和实际意义。本文首先阐述了课题研究的意义、目的和国内外研究现状及发展趋势。第二章分析比较了IPv4和IPv6协议,并详细阐述了IPv6协议。第三章对目前存在的多种过渡机制进行研究分析和比较,重点论述了目前常用的隧道机制。第四章对IPSec协议进行论述,着重讨论了在IPv6中实现内置安全性的方式。第五章通过搭建实验环境,在结合IPSec的基础上实现了常见的IPv4/IPv6过渡机制;并通过自主开发的IPv4/IPv6过渡机制测试平台和Sniffer工具软件,验证了结合IPSec安全机制的各种过渡机制的可行性和安全性;最后通过使用基于代理的隧道机制系统连入IPv6网络世界,即可访问IPv6网络世界,享受IPv6网络服务。6.期刊论文赵军.ZhaoJunIPSec密钥交换方案的改进与安全性分析-电脑开发与应用2009,22(3)移动节点在移动过程中的安全问题是目前比较难解决的问题,在分析了代理发现机制中的安全威胁后,针对现有的IPSec密钥交换方案在移动IP应用中存在的问题,提出了改进的密钥交换方案,分析了其安全性,实现了代理发现机制的安全保护.7.学位论文兰振平基于Linux平台的IPSec-VPN在IPv6协议中的研究与实现2004该文从网络安全的现状谈起,分析了出现网络安全问题的根本原因,有针对性的归纳并提出了提高网络安全应达到的目标和采取的技术手段,进而引入了VPN的概念.在系统研究了VPN协议和技术的基础上,通过分析比较选取目前较为理想的实现技术IPSec.鉴于IPv4与IPv6报头格式的不同;且IPv6中IPSec对网络性能的影响要远小于IPv4;及传统的IPv4中VPN技术与NAT之间难以调和的矛盾,从而分析得出在IPv6中展开VPN的研究更有意义.然后简要介绍了IPSec的功能、体系模块、工作原理,给出了认证模型.阐述了IPSec协议的各组成部分,如认证报头、安全封装载荷报头、安全关联、加密和认证算法、密钥管理,进而探讨彼此之间如何展开合作,以实现对IP报文的安全保护.通过比较IPSec在IPv6中的3种实现方式,选用IPSec与源码开放的OS集成方式.在Linux系统上对FreeS/WAN展开研究,借鉴了在IPv4中实施VPN的成功经验,充分考虑了IPv4及IPv6中IPSec协议在操作系统中调用的差异,提出了将FreeS/WAN与RedHatLinux内核集成的模型,针对不同的信息流、操作平台和用户需求,提出了多种VPN解决方案,较传统的VPN性能有了很大改进和提高.在对部分方案进行了有关测试之后,总结了实验结果,分析了当前方案的不足.该文仅对IPv6中VPN的部分功能进行了理论和实验研究,因此VPN功能还不够灵活,其性能也有待提高.鉴于上述不足,该文对今后将深入研究的内容,如服务质量(QoS)的确保和为远程移动用户提供认证的LDAP等提出了建议与思考.8.学位论文吕波IPv6环境下IKEv2的形式化分析及应用研究2007IPSec(IPSecurity)为IPV4和IPv6提供可互操作的、高性能的、基于密码学的通信安全。Internet密钥交换协议(IKEInternetKeyExclaange)是IPSec协议族的重要组成部分,其主要功能是实现IPSec安全参数的协商与管理,现在己经发展到IKEv2。IKEv2协议涉及的内容较为繁杂。当前,国际上有关IKEv2协议的实现仍处于起步阶段,还没有成熟的IKEv2产品进入市场,也没有公开的IKEv2协议实现报告可供参考。首先,文章介绍了CNGI贵州师范大学IPv6驻地网络实验环境搭建,以及基于IPv6网络应用服务的建设作了简要介绍。在对IPSec体系结构进行分析、IKEv2的安全性及利用CPNtools分析的基础上,在IPv6网络环境下,介绍了对在li