一、基于IPSec的VPN密钥交换(IKE)协议的分析与实现(论文文献综述)
周益旻,刘方正,杜镇宇,张凯[1](2021)在《IPSec VPN安全性漏洞分析及验证》文中进行了进一步梳理网络边界是提供访问服务的主要通道,而IPSec VPN作为网络边界防护中的关键技术,对于保障网络整体安全至关重要。分析IPSec VPN中IKE协议激进模式和OSPF路由选择协议的安全性漏洞,研究三种常规OSPF路由欺骗方式在IPSec VPN中间人攻击中的性能表现,构建IPSec VPN流量劫持模型及攻击数据包,设计IPSec VPN流量劫持算法与KEYMAT密钥获取算法。通过搭建仿真环境并选取双LSA注入路由欺骗攻击方式,实现跨网段IPSec VPN中间人攻击并验证了IPSec VPN协议的脆弱性,该结论对于网络边界设备防护、骨干网络流量保护具有重要作用。
陈晨[2](2020)在《密码应用安全态势感知平台研究与开发》文中认为随着网络信息化的高度发展,万物互联成为趋势,信息孤岛逐渐消弭,网络空间安全的重要性日益凸显,而保证网络空间安全的基础与关键技术就是密码技术。使用合规的密码、安全的密码,既是对公民个人合法权益的有力保障,也是对国家安全的有力保障。但从我国密码的应用情况来看,普遍存在使用密码的自觉性不够,密码应用不广泛、不规范及不正确等问题。因此,开展网络与信息系统中密码应用安全性评估工作具有十分重要的意义。针对以上问题,本文以《信息系统密码应用基本要求》为指导,设计并实现了集采集、分析、传输、存储与可视化为一体的密码应用安全态势感知平台。本平台通过对网络流量进行分析,判断网络中传输的数据是否被加密,使用的加密协议是否符合国家标准,协议中的密码参数是否合规,从而实现对网络与通信安全层面的密码应用的有效性、正确性与合规性的全面分析与评估。本平台由采集端和存储展示端两部分组成。采集端基于校园网完成网络流量数据的采集,通过数据包首部分析和分流处理,完成网络流量从数据包级别到数据流级别的转换。针对加密流量的识别,本文选择信息熵和蒙特卡洛π值作为衡量数据包负载随机性的标准,选用C4.5决策树算法构建分类模型。针对加密协议的识别,本文首先采用基于端口号的方法进行加密协议的快速识别,其次通过对SSL协议和IPSec协议的国际和国密标准进行深入分析和研究,采用基于DPI的方法对各加密协议的特征字进行提取和匹配,并从建立安全连接的过程中提取密码参数。本平台通过Apache Nifi完成采集端和存储展示端的数据流对接。平台存储展示端使用Logstash收集流量分析的结果,使用Elastic Search实现结果的存储与索引,并基于Vue、Echarts等技术结合ES实现交互式可视化展示。平台根据特定应用场景,通过设置密码参数字段值,定义检测策略,生成ES查询表达式对ES中存储的结果数据进行匹配,并给出检测结果,实现对网络中密码应用的合规性检测。最后,本文基于校园网络搭建了平台的测试环境,对平台进行功能测试与展示。测试结果表明,平台能够成功识别出加密流量及其使用的加密协议,在识别过程中能够提取所使用的密码参数以验证合规性,实现了预期的功能。
杨文祺[3](2019)在《基于IKE的IPSec技术在软件定义切片网络中的安全应用》文中提出随着互联网技术的蓬勃发展,其实现的服务种类及业务复杂度也随之增加,复杂多变的网络状态成了扼制通信网络进一步发展的关键因素。而第五代移动通信(5G)网络切片技术的提出,为重新划分通信网络格局开辟了新的思路,各大通信网络公司都纷纷投入巨大的人力财力进行新领域的研究。而与此同时,当下已经较为成熟的软件定义网络(Software Defined Network,SDN)架构的数据层与控制层分离的理念以及SDN交换机强大的包处理能力都处处体现了与该技术的相融之处。即便如此,切片网络中的通信安全依然存在着一些潜在的安全隐患。本文利用SDN架构控制功能与转发功能分离的特性与对网络可编程的能力,以及对切片网络的易划分和可操作性的优势,设计并实现了一种基于密钥交换(Internet Key Exchange,IKE)的互联网安全(Internet Protocol Security,IPSec)技术的软件定义切片网络安全通信的系统架构。该系统架构的核心思想是利用哈希加密验证技术改进当下IPSec加密机制,并辅以IKE协商机制,提高了系统的可操作性和稳定性。该项技术的改进,旨在保障发送方发送的敏感信息数据包能安全准确的到达接收方,避免传输过程中的数据截获或欺诈数据包的入侵,全方位保证了安全通道的通信安全。本文的主要研究工作有:(1)引入了IPSec加密与IKE协商机制。IPSec加密的机制需要人工选择解析协议或者验证字段,操作繁琐且易出错,一旦选择了加密方式则短时间内不会做出新的更改,这也带来了一定的安全风险的,给攻击者很大的破解缓冲时间,而IKE的优势在于是动态的自主随机选择库中的解析协议或者验证字段,建立起安全联盟,且配置全部依赖于程序自主运作,基本上解放了开发人员;(2)设计并实现了一种路由生成算法。该功能主要是基于带宽利用率的动态选路算法,利用SDN控制器时刻掌握着整个网络拓扑状态,能更好地应对实时环境中的网络链路情况,既可以保证时延,又可以保证链路负载均衡;(3)实现随机数哈希加密认证。单纯依赖于IKE协商建立起来的IPSec加密体系,依然有被在有限时间内攻破的可能性,为此我们添加了动态改变的随机数哈希加密认证技术。在间隔时间内依据随机字符串哈希加密之后镶嵌在控制器下发的验证流表中,大大增强了通信通道的安全性。最后,本文对基于IKE的IPSec技术在软件定义切片网络安全通信体系架构进行了测试。根据测试结果分析可以证明该系统架构设计的有效性,且拥有更高的安全性、易部署性。
唐鹏毅,李国春,余刚,钟军,张英华,薛路,赵子岩,闫龙川,陈智雨,卢昌斌,罗斌,高松,刘建宏[4](2018)在《基于QS-KMS的VPN增强电网通信安全方案》文中指出在未来量子计算时代,构筑虚拟专用网络(VPN)安全的认证和密钥交换环节将存在安全隐患。为此,建立基于量子安全密钥管理服务(QS-KMS)的VPN增强安全架构,实现基于量子密码的量子安全解决方案。使用全局统一的后台QS-KMS服务为IPSec VPN提供认证和会话密钥,以进行VPN业务与物理层量子设备的解耦合。针对电力架空光缆工作状况复杂、存在强环境干扰等现状,应用量子QS-KMS密钥池动态密钥管理技术与后量子密码技术使密钥池持续拥有充足密钥,以保障VPN稳定运行。在此基础上,实现电力通信网络中有效量子安全VPN服务。测试结果表明,该方法能够满足电网控制通信的需求。
张越[5](2018)在《国密IPSec VPN安全机制研究与实现》文中研究指明VPN网络作为互联网中一种相对安全的通信网络,在日常通信,尤其是商业通信方面,发挥着越来越重要的作用。在符合RFC标准的IPSec VPN技术规范中,IKE主模式的身份认证方式、加密算法部分均有不同程度的安全漏洞。为了进一步提高IPSec VPN技术的安全性,国家密码局提出了《IPSec VPN网关产品规范》,此规范对符合我国国情的IPSec VPN开发具有很强的指导意义。本文基于《IPSec VPN网关产品规范》,研究和实现了国密IPSec VPN中主模式、加密算法、网络包过滤等安全机制的内容,主要完成了以下工作。1.针对安全机制中存在的中间人攻击与信息抵赖的安全漏洞,对RFC标准中的IKE主模式进行了研究和分析。并以开源软件OpenSwan为基础,设计并实现了主模式中采用数字证书方式进行身份认证的方法,提高了身份认证过程中的安全性和权威性。2.对安全机制中RFC标准和国密标准采用的加密算法进行了研究与比较。RFC标准采用开源算法,增加了被破解的风险。本文研究了国密算法的封闭性,基于Linux内核的Crypto框架,以定制的硬件加密卡作为算法加解密运算平台,设计并实现了在Linux系统下利用国密算法进行加解密运算的模块,释放了CPU计算资源,提高了加解密效率和系统中网络消息的安全性。3.在深入研究Linux内核的Xfrm和Netfilter框架的基础上,通过编写Xfrm交互模块与Netfilter内核模块,设计了根据网络包三元组<IP(或子网、地址范围)、端口、协议>进行网络包IPSec加密、明文传输、丢弃的过滤策略,可对不同网络数据包提供差异化服务,提高了IPSec VPN处理网络数据包的灵活性,实现了安全机制中包过滤的功能。基于上述研究,实现了符合国密IPSec VPN安全机制的服务器原型系统,并从功能和性能两个方面进行了测试。测试表明,所开发的IPSec VPN服务器系统在各方面均符合《IPSec VPN网关产品规范》。项目已通过国家某部委下属的南京某研究院验收,达到落地应用的要求。
孙志强[6](2017)在《基于IPSec的VPN在民机地空通信中的应用研究》文中研究说明民用飞机系统不能使用公共的通信网络,这会影响机载网络的安全。IPSec VPN是一种运行在IP层上并符合IP协议的安保标准架构的虚拟专网。它通过通信终端的认证和数据传输的加密,在节点之间创建专属的数据传输通道(即,隧道),能够为基于IP网络的空地无线宽带网络提供安全服务,保证民机数据网络的安全。本文从民机无线宽带通信使用需求和安保要求出发,借鉴IPSec VPN的隧道、身份认证、数据加密、认证头、封装安全有效封装、密钥交换等关键技术,提出了一个机载系统的IPSec VPN顶层模型,旨在为机载系统与地面支持服务系统之间的数据交互提供安全的通信链路。该模型包含逻辑架构、IP报文流处理、内部数据、设备间认证等。模型中考虑的几个关键技术与实现目标是:IKE协商部件支持预先共享密钥、数字签名和基于修正过的公开密钥等认证方式;支持ESP或AH+ESP等封装与解封装格式;设计了AES128、3DES等加密算法和MD5、SHA-1等校验算法;核心部件实现在触发模式下完成SA和SP的添加、删除、更新等操作。测试结果表明机载IPSecVPN网关的密钥协商功能完全符合IKE协议,创建的隧道能够实现上层服务的正常通信,并保护IP包内的数据,并且VPN能够在隧道停止后断开上层服务的对外通信。进一步的研究工作将在密钥的安全性和健壮性、IPSec新版本的兼容性、网络地址与端口转换网关的穿越等方面深入开展。
张金征[7](2015)在《基于国密数字证书认证的IPSec VPN服务器软件研究与实现》文中提出近年来,互联网不断发展并渗透进各行各业,伴随而来的是网络安全问题的日益严重,保证信息安全和网络安全成为日益关注的一大问题。专用网络虽能保证数据传输的安全性和可靠性,但其实现成本和维护成本高,因此虚拟专用网(VPN)技术应运而生并迅速普及,目前应用最广泛的是IPSec VPN技术。我国国家密码管理局在参考国际RFC标准的基础上,制定了国家标准的IPSec VPN规范——《IPSec VPN网关产品规范》和《IPSec VPN技术规范》。本文研究了国家标准的IPSec VPN规范(2014版)和国际RFC标准规范,对比了两者间的差异,在开源VPN服务器软件Openswan的基础上进行开发,实现了基于国密数字证书认证的IPSec VPN服务器软件。论文的主要工作如下:1、研究了IPSec的相关概念和技术原理,以及数字证书认证技术和国密数字证书相关知识。2、在开源VPN服务器软件Openswan的基础上,设计了IPSec VPN的整体架构,其中包括IKE的协商过程以及数字证书认证在IKE中的实现过程。3、研究了国密标准IKE协议和国际RFC标准IKEv1协议,对比了它们的异同,对Openswan软件进行修改,实现了基于国密数字证书认证的IPSec VPN服务器软件。开发主要是分应用层和内核层两大部分,其中应用层开发是本文的重点。4、对软件进行了全面的测试,主要分功能测试和性能测试,功能测试结果表明软件符合国密标准要求,性能测试结果表明软件具有良好的加解密速度,可长时间稳定运行。本文实现的IPSec VPN服务器软件采用数字证书认证方式,并且按照国密要求采用双证书模式,具有极高的安全性;其连接协商过程完全符合国密标准流程;并且使用由硬件加密卡提供的标准算法,加解密速度较快,传输速率较高,可长时间无差错稳定运行,具有很高的实用价值。
张天久[8](2014)在《基于Openswan的国密IPsec VPN服务器软件设计与实现》文中进行了进一步梳理近年来,互联网越来越深入地应用到人们的生活中,给人们的生活带来了极大的便利,然而伴随其产生的网络安全问题也越来越严重。作为网络安全的最重要的保障手段之一,IPsec VPN技术广泛地被应用于网络安全的各个重要节点中。当今广为使用的IPsec VPN技术,无论是安全协议,还是密码算法全部都是来自国外组织或机构制定的标准。为适应我国自身的安全需求,我国国家密码管理局批准了一系列国密标准的密码算法。在此基础上制订了基于国密标准密码算法的VPN技术规范。本文基于《IPsec VPN技术规范(2010版)》,在开源IPsec VPN服务器Openswan的基础上,对基于国密标准的IPsec VPN技术进行了研究和实现。主要的研究成果为:1.系统地研究了开源IPsec VPN服务器Openswan的系统整体架构、密码算法系统和IKE协商流程。2.改进了开源IPsec VPN服务器Openswan,增加了对国密标准密码算法的支持,按照国密标准的IPsec VPN技术规范的IKE协商流程的要求,修改了Openswan的IKEv1协商流程。3.对Linux 2.6内核的IPsec实现NETKEY模块进行了研究,扩大了Linux 2.6内核的IPsec实现所支持的密码算法集,使之能够支持国密标准的密码算法。4.深入研究了Linux内核的加密框架和向其中添加自定义密码算法的方法。将国密标准的密码算法注册进Linux内核的加密框架中,使得内核其他模块能够在需要的时候调用国密标准的密码算法,完成所需的密码运算。向Linux内核加密框架注册对称加密算法有cipher、同步块和异步块三种方式,本论文分别尝试了这三种注册方式对于系统的加密性能的影响。最终使用了异步块的注册方式实现了整个系统。5.在以上研究成果的基础上实现了符合《IPsec VPN技术规范(2010版)》的国密标准IPsec VPN服务器。对服务器进行了全面的测试,取得了良好的测试结果。
王蓓蕾[9](2014)在《IPsec-IKE的实现与测试方案设计》文中研究说明随着网络的快速发展和普及,现如今人们越来越重视网络安全问题。为了更好的解决网络安全问题,人们提出了各种解决方案来满足网络安全需求。而IPsec协议作为一种网络安全协议,能够保障网络数据传输的安全,主动保护网络端到端之间的传输数据,防止VPN专用网络[1]的各种攻击(窃听、篡改、重放等攻击),简化了IP上层的安全处理,并且通用性强。本文主要对IPsec-IKE协议族进行了系统的研究与分析,并介绍了一阶段主模式,二阶段快速模式的IPsec-IKE的实现方法,以及IPsec-IKE测试方案的设计。IPsec不是一个单一的协议,而是由多个协议构成,它提供的一套完整且系统的安全体系结构,能够有效地保障数据在网络上安全传输。而参与提供这一体系结构的成员包括AH、ESP和IKE(其中AH和ESP提供安全保护,IKE用于交换密钥),同时还包括一系列认证加密算法。IPsec为IP层的数据报文提供四种安全服务,包括数据加密安全服务、数据完整性校验服务、数据的来源认证以及防止数据的重放攻击服务。在IPsec使用数据保护协议(AH或ESP)对一个IP数据报文进行封装保护前,必须先生成IPsec保护通道,即IPsec SA(IPsec安全关联)。IPsec SA的生成方式分为两种,一种是使用手工配置生成,另一种是使用IKE协议协商生成。IKE不仅可以自动生成IPsec SA,而且能够提供更高的安全性,它在协商过程中不仅会对协商报文进行加密、完整性验证、身份认证和防止拒绝服务攻击,更重要的是,它使用的DH算法,使报文在交互过程中只交换使用的密钥材料,而不会交换密钥本身,因此即使有人在中间截获了报文,也无法获取到加密的密钥,进而无法破解交互的报文。根据IKE自动方式建立IPsec通道,进行数据保护的实现方法,对其整个处理流程进行详细的分析论述。整个流程包括两个阶段,一阶段协商建立IKE SA,该阶段主要完成以下工作:对双方所使用SA策略的确认,密钥信息的交换,以及ID信息和验证信息的交换。一阶段的协商模式有两种,主模式和野蛮模式。二阶段的交换称之为快速模式交换,该交换用来完成IPsec SA的生成。当一阶段IKE SA协商建立后,后续的交互报文都要由IKE SA进行加密和认证。若后续收到的协商交互报文没有受到IKE SA的保护,那么这些报文将被直接丢弃,不予处理。本文介绍的IPsec-IKE实现方法是针对一阶段使用主模式交换方式,二阶段使用快速模式交换方式的,详细分析了该实现方法中通信双方身份的协商确认过程,协商报文的构造方法以及对协商报文的处理过程,并结合其功能特性以及支持的测试组网进行了测试方案的设计,能够有效的帮助测试执行人员对IPsec-IKE有一个深入的了解。
梅明[10](2014)在《支持TNC的IPsec VPN系统的研究》文中提出传统的VPN技术在用户接入时只对用户的合法性进行认证,并不对用户终端的安全性进行检查,用户终端携带病毒、木马程序,这样的用户接入网络是十分危险的。TCG组织的TNC架构能够提供用户身份认证和平台完整性检查功能,保护企业网络不受接入终端中恶意代码和系统漏洞的危害,但TNC主要应用在局域网中,很少在VPN中应用。本文研究“支持TNC的IPsec VPN系统”,就是要将TNC技术应用到远程接入技术IPsec VPN中,使得用户接入时,不仅身份合法,而且平台完整性也符合要求。本文首先介绍了TNC架构和IPsec VPN技术,然后介绍了IKEv2的EAP消息扩展,以使系统支持TNC需要的EAP消息的传递。在此基础之上,利用strongSwan、TNC@FHH和FREERADIUS设计并搭建了支持TNC的IPsec VPN系统。然后,根据安全需求,设计并实现了对BOOTLOADER和防火墙进行安全状态检查的相关模块。最后对系统进行了测试,在IPsec VPN环境下实现了用户身份认证和平台完整性度量。
二、基于IPSec的VPN密钥交换(IKE)协议的分析与实现(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于IPSec的VPN密钥交换(IKE)协议的分析与实现(论文提纲范文)
(2)密码应用安全态势感知平台研究与开发(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文的主要工作 |
| 1.4 本文结构安排 |
| 第二章 相关技术简介 |
| 2.1 网络安全态势感知技术 |
| 2.1.1 网络安全态势感知的概念 |
| 2.1.2 网络安全态势感知平台体系结构 |
| 2.2 网络流量识别技术 |
| 2.2.1 基于端口号的流量识别技术 |
| 2.2.2 基于深度包检测的流量识别技术 |
| 2.2.3 基于机器学习的流量识别技术 |
| 2.2.4 基于主机行为的流量识别技术 |
| 2.2.5 流量识别技术比较 |
| 2.3 加密协议概述 |
| 2.3.1 SSL协议 |
| 2.3.2 IPSec协议 |
| 2.4 本章小结 |
| 第三章 密码应用安全态势感知平台分析与设计 |
| 3.1 需求分析 |
| 3.1.1 功能需求 |
| 3.1.2 非功能需求 |
| 3.2 架构设计 |
| 3.3 模块设计 |
| 3.3.1 流量探针模块 |
| 3.3.2 流量分析模块 |
| 3.3.3 数据传输与存储模块 |
| 3.3.4 可视化模块 |
| 3.4 本章小结 |
| 第四章 密码应用安全态势感知平台的实现 |
| 4.1 流量探针模块实现 |
| 4.1.1 数据采集模块 |
| 4.1.2 数据预处理模块 |
| 4.2 流量分析模块实现 |
| 4.2.1 加密流量识别 |
| 4.2.2 加密协议识别 |
| 4.3 数据传输与存储模块实现 |
| 4.4 可视化模块实现 |
| 4.5 本章小结 |
| 第五章 密码应用安全态势感知平台测试 |
| 5.1 测试环境 |
| 5.2 测试数据集 |
| 5.3 测试结果与运行展示 |
| 5.3.1 C4.5算法分类效果评估 |
| 5.3.2 平台功能测试 |
| 5.3.3 平台性能测试 |
| 5.3.4 平台运行展示 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(3)基于IKE的IPSec技术在软件定义切片网络中的安全应用(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 研究选题与全文结构 |
| 2 相关理论介绍 |
| 2.1 IPSec协议相关理论介绍 |
| 2.2 IKE协议相关理论介绍 |
| 2.3 本章小结 |
| 3 关键问题分析与阐述 |
| 3.1 问题分析 |
| 3.2 方案设计 |
| 3.3 本章小结 |
| 4 系统模块设计与方案实现 |
| 4.1 系统架构 |
| 4.2 系统的核心模块设计实现 |
| 4.3 系统整体改进及实施步骤 |
| 4.4 本章小结 |
| 5 系统测试与结果分析 |
| 5.1 系统开发环境 |
| 5.2 网络拓扑仿真 |
| 5.3 功能测试 |
| 5.4 性能测试 |
| 5.5 本章小结 |
| 6 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 下一步工作展望 |
| 致谢 |
| 参考文献 |
(4)基于QS-KMS的VPN增强电网通信安全方案(论文提纲范文)
| 0概述 |
| 1 量子安全密钥管理服务 |
| 2 QS-KMS与量子安全VPN |
| 3 VPN与量子KMS的结合 |
| 3.1 认证 |
| 3.2 密钥交换 |
| 4 QS-KMS中的动态密钥调节 |
| 5 系统性能测试 |
| 6 结束语 |
(5)国密IPSec VPN安全机制研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 选题背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 论文组织结构 |
| 第二章 IPSec VPN相关技术介绍 |
| 2.1 IPSec相关协议 |
| 2.1.1 IPSec协议 |
| 2.1.2 IKE协议 |
| 2.1.3 AH协议 |
| 2.1.4 ESP协议 |
| 2.2 IPSec工作模式 |
| 2.2.2 隧道模式 |
| 2.2.3 传输模式 |
| 2.2.4 两种模式区别 |
| 2.3 本章小结 |
| 第三章 IPSec VPN安全机制中主模式分析与研究 |
| 3.1 RFC标准主模式 |
| 3.1.1 两种模式区别 |
| 3.1.2 RFC标准下IKE主模式 |
| 3.2 主模式安全分析 |
| 3.2.1 DH交换与中间人攻击 |
| 3.2.2 中间人攻击与信息抵赖 |
| 3.2.3 国密标准下身份认证 |
| 3.3 国密标准安全机制中的主模式设计 |
| 3.3.1 OpenSwan整体架构设计 |
| 3.3.2 IKE主模式基础载荷设计 |
| 3.3.3 IKE主模式消息载荷设计 |
| 3.4 本章小结 |
| 第四章 IPSec VPN安全机制中加密算法分析与研究 |
| 4.1 对称加密算法 |
| 4.1.1 AES与SM1、SM4 |
| 4.1.2 算法比较与安全性分析 |
| 4.2 非对称加密算法 |
| 4.2.1 RSA与SM2 |
| 4.2.2 算法比较与安全性分析 |
| 4.3 哈希算法 |
| 4.3.1 SHA-1 与SM3算法 |
| 4.3.2 算法比较及安全性分析 |
| 4.4 Linux内核Crypto框架研究 |
| 4.4.1 加密算法模板 |
| 4.4.2 加密算法注册 |
| 4.4.3 Crypto框架主要调用关系 |
| 4.5 本章小结 |
| 第五章 国密IPSec VPN服务器设计与实现 |
| 5.1 安全机制整体研究与设计 |
| 5.1.1 安全机制研究 |
| 5.1.2 安全机制设计 |
| 5.2 国密IKE主模式实现 |
| 5.2.1 Usbkey介质编程开发 |
| 5.2.2 OpenSwan下主模式开发 |
| 5.3 内核添加加密算法实现 |
| 5.3.1 算法标识添加 |
| 5.3.2 算法注册内核模块 |
| 5.4 Xfrm框架研究与实现 |
| 5.4.1 Xfrm框架研究 |
| 5.4.2 Xfrm框架交互模块实现 |
| 5.5 Netfilter框架研究与实现 |
| 5.5.1 Netfilter框架钩子点 |
| 5.5.2 Netfilter框架原型 |
| 5.5.3 Netfilter框架内核模块实现 |
| 5.6 本章小结 |
| 第六章 国密IPSec VPN服务器测试与分析 |
| 6.1 软硬件开发环境 |
| 6.2 软件安装和配置 |
| 6.3 软件功能测试 |
| 6.3.2 服务器网关连接测试 |
| 6.3.3 数据包格式安全性分析 |
| 6.3.4 网络包过滤测试分析 |
| 6.4 软件性能测试 |
| 6.4.1 TCP单向传输速率测试 |
| 6.4.2 TCP双向传输速率测试 |
| 6.4.3 UDP单向传输速率测试 |
| 6.4.4 UDP双向传输速率测试 |
| 6.4.5 内存泄漏测试 |
| 6.4.6 稳定性测试 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(6)基于IPSec的VPN在民机地空通信中的应用研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 本文的结构 |
| 第二章 VPN技术分析 |
| 2.1 VPN体系架构 |
| 2.2 VPN关键技术 |
| 2.2.1 隧道技术 |
| 2.2.2 身份认证 |
| 2.2.3 数据加密 |
| 2.3 小结 |
| 第三章 IPSec技术分析 |
| 3.1 IPSec安全体系结构 |
| 3.2 IPSec通信过程 |
| 3.2.1 向外发包 |
| 3.2.2 向内收包 |
| 3.3 安全关联(SA) |
| 3.4 认证头(AH) |
| 3.4.1 AH报文格式 |
| 3.4.2 AH运行模式 |
| 3.5 封装安全有效载荷(ESP) |
| 3.5.1 ESP数据包格式 |
| 3.5.2 ESP的运行模式 |
| 3.6 Internet密钥交换 |
| 3.6.1 密钥交换算法 |
| 3.6.2 IKE工作原理 |
| 3.7 小结 |
| 第四章 机载IPSec VPN系统模型设计 |
| 4.1 民机地空无线通信的安保需求 |
| 4.2 系统安全威胁分析 |
| 4.3 基于IPSec VPN的设计考虑 |
| 4.4 机载VPN系统原理模型 |
| 4.5 逻辑架构设计 |
| 4.6 IP报文流处理设计 |
| 4.7 系统内部数据流设计 |
| 4.8 机载VPN系统身份认证设计 |
| 4.9 小结 |
| 第五章 机载IPSec VPN模型关键模块设计 |
| 5.1 IKE协商部件 |
| 5.2 核心部件 |
| 5.3 封装与解封装部件 |
| 5.4 算法管理部件 |
| 5.5 小结 |
| 第六章 机载IPSec VPN模型测试 |
| 6.1 测试拓扑结构与设备 |
| 6.2 密钥协商功能测试 |
| 6.2.1 测试场景 |
| 6.2.2 测试用例 |
| 6.2.3 测试结果分析 |
| 6.3 VPN隧道功能测试 |
| 6.3.1 测试场景 |
| 6.3.2 测试用例 |
| 6.3.3 测试结果分析 |
| 6.4 小结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
(7)基于国密数字证书认证的IPSec VPN服务器软件研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 符号对照表 |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 课题背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国家密码标准的VPN技术 |
| 1.3 本文主要内容和结构 |
| 第二章 相关知识及技术原理介绍 |
| 2.1 IPSec VPN相关概述 |
| 2.1.1 VPN技术概述 |
| 2.1.2 IPSec技术概述 |
| 2.2 数字证书认证技术 |
| 2.2.1 数字证书原理 |
| 2.2.2 国密SM2数字证书 |
| 2.3 本章小结 |
| 第三章 IPSec VPN架构设计 |
| 3.1 IPSec VPN架构实现 |
| 3.1.1 软件的体系结构 |
| 3.1.2 应用层功能模块 |
| 3.1.3 内核层功能模块 |
| 3.1.4 IKE密钥交换协议 |
| 3.2 身份认证过程的实现 |
| 3.2.1 预共享密钥认证方式 |
| 3.2.2 数字证书认证方式 |
| 3.3 本章小结 |
| 第四章 国密数字证书认证的IPSec VPN服务器实现 |
| 4.1 概述 |
| 4.2 应用层开发 |
| 4.2.1 IKE协商流程主模式修改 |
| 4.2.2 IKE协商流程快速模式修改 |
| 4.2.3 国密算法的添加 |
| 4.2.4 其他修改 |
| 4.3 内核层开发 |
| 4.3.1 国密算法标识的添加 |
| 4.3.2 内核中注册算法 |
| 4.4 本章小结 |
| 第五章 国密数字证书认证的IPSec VPN服务器测试结果与分析 |
| 5.1 测试环境 |
| 5.1.1 软件环境 |
| 5.1.2 硬件环境 |
| 5.1.3 安装与配置 |
| 5.2 功能测试 |
| 5.2.1 第一对数据包 |
| 5.2.2 第二对数据包 |
| 5.2.3 第三对数据包 |
| 5.2.4 快速模式协商数据包 |
| 5.2.5 分析结果 |
| 5.3 性能测试 |
| 5.3.1 传输速度测试 |
| 5.3.2 内存泄露测试 |
| 5.3.3 稳定性测试 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 主要工作总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(8)基于Openswan的国密IPsec VPN服务器软件设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 符号对照表 |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 国内外研究现状 |
| 1.2.1 SSL VPN |
| 1.2.2 IPsec VPN |
| 1.2.3 PPTP VPN |
| 1.2.4 L2TP VPN |
| 1.2.5 国家密码算法标准的VPN技术 |
| 1.3 本文章节安排 |
| 第二章 IPsec VPN相关概念 |
| 2.1 IPsec相关的协议 |
| 2.1.1 ISAKMP协议 |
| 2.1.2 IKE协议 |
| 2.1.3 ESP数据包封装协议 |
| 2.1.4 AH数据包封装协议 |
| 2.1.5 PF_KEY和Netlink套接 |
| 2.2 IPsec的工作模式 |
| 2.2.1 传输模式(Transport mode) |
| 2.2.2 隧道模式(Tunnel Mode) |
| 2.3 安全联盟和安全策略 |
| 2.4 与IPsec相关的算法 |
| 2.4.1 DH算法与Oakley算法 |
| 2.4.2 加密算法 |
| 2.4.3 数字签名算法 |
| 2.5 本章小结 |
| 第三章 国家密码标准VPN服务器系统设计 |
| 3.1 系统整体设计 |
| 3.2 开发环境 |
| 3.3 Openswan的主要模块 |
| 3.3.1 参数配置模块 |
| 3.3.2 IKE模块 |
| 3.4 Linux内核IPsec模块和加密框架 |
| 3.4.1 内核NETKEY模块 |
| 3.4.2 内核加密库框架 |
| 3.4.3 硬件加密卡的使用 |
| 3.5 国密IPsec VPN与国际IPsec VPN的差异 |
| 3.5.1 检测标准 |
| 3.5.2 加密算法和认证算法 |
| 3.5.3 消息格式 |
| 3.5.4 IKE主模式协商 |
| 3.5.5 IKE快速模式协商 |
| 3.6 本章小结 |
| 第四章 国家密码标准VPN服务器系统实现 |
| 4.1 概述 |
| 4.2 应用层开发 |
| 4.2.1 Pluto中的IKEv1协商流程 |
| 4.2.2 修改Pluto主模式第一对协商包的协商流程 |
| 4.2.3 修改Pluto主模式第二对协商包的协商流程 |
| 4.2.4 修改Pluto主模式第三对协商包的协商流程 |
| 4.2.5 修改Pluto主模式协商的复用流程 |
| 4.2.6 修改Pluto快速模式协商数据包的协商流程 |
| 4.2.7 添加国密加密算法接.和物理随机数生成接 |
| 4.3 内核层开发 |
| 4.3.1 Linux内核中IPsec的实现 |
| 4.3.2 添加国密加密算法标识 |
| 4.3.3 注册国密加密算法 |
| 4.4 本章小结 |
| 第五章 国家密码标准VPN服务器测试与分析 |
| 5.1 测试环境 |
| 5.2 功能测试 |
| 5.3 性能测试 |
| 5.4 测试结果分析 |
| 第六章 展望与总结 |
| 6.1 本文主要工作 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(9)IPsec-IKE的实现与测试方案设计(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 课题研究背景介绍 |
| 1.2 国内外IPsec VPN研究现状 |
| 1.3 本文的主要研究工作 |
| 1.4 论文的结构 |
| 第二章 IPsec协议简介 |
| 2.1 IPsec简介 |
| 2.2 安全协议 |
| 2.2.1 AH协议 |
| 2.2.2 ESP协议 |
| 2.2.3 IPsec的封装模式 |
| 2.3 安全关联 |
| 2.4 IPsec认证与加密 |
| 2.4.1 认证算法 |
| 2.4.2 加密算法 |
| 2.5 IPsec协议的工作原理 |
| 第三章 IKE协议简介 |
| 3.1 IKE的机制 |
| 3.2 IKE的安全性 |
| 3.3 IKE的优点以及IKE与IPsec的关系 |
| 3.4 IKE的协商过程 |
| 第四章 IPsec-IKE模块的协议状态分析与实现 |
| 4.1 IKE模块与其他模块的关联 |
| 4.1.1 模块接.关系 |
| 4.1.2 流程分析 |
| 4.2 IKE模块的协商状态机 |
| 4.2.1 一阶段主模式协商状态机 |
| 4.2.2 一阶段野蛮模式协商状态机 |
| 4.2.3 二阶段快速模式协商状态机 |
| 4.3 IKE模块的协商交互处理 |
| 4.3.1 一阶段/二阶段协商碰撞 |
| 4.3.2 一阶段主模式协商过程 |
| 4.3.3 二阶段快速模式协商过程 |
| 第五章 IPsec-IKE测试方案设计 |
| 5.1 测试方案设计一般要求 |
| 5.2 IPsec-IKE测试方案设计 |
| 5.2.1 被测对象概述 |
| 5.2.2 测试设计 |
| 第六章 结论与展望 |
| 6.1 论文结论 |
| 6.2 论文展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 1.基本情况 |
| 2.教育背景 |
| 3.在学期间的研究成果 |
(10)支持TNC的IPsec VPN系统的研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 背景简介 |
| 1.2 发展现状 |
| 1.2.1 TNC 的发展现状 |
| 1.2.3 IPsec VPN 的发展现状 |
| 1.3 目的及意义 |
| 1.4 文章结构 |
| 第二章 TNC 与 IPSEC VPN 基础 |
| 2.1 TNC |
| 2.1.1 TNC 的消息流程 |
| 2.1.2 TNC 的支撑技术 |
| 2.2 IPSEC VPN |
| 2.2.1 IPsec 协议 |
| 2.2.2 IPsec 工作方式 |
| 2.3 IKE 协议简介 |
| 2.4 IKE 协议的消息流程 |
| 2.4.1 初始化交换 |
| 2.4.2 建立新的子 SA |
| 2.4.3 信息交换 |
| 2.5 本章小结 |
| 第三章 系统设计 |
| 3.1 协议设计 |
| 3.1.1 理论模型 |
| 3.1.2 协议扩展 |
| 3.2 方案设计 |
| 3.3 本章小结 |
| 第四章 安全性讨论 |
| 4.1 风险分析 |
| 4.2 安全机制 |
| 4.3 保护能力 |
| 4.4 本章小结 |
| 第五章 系统实现与测试 |
| 5.1 系统部署 |
| 5.2 完整性采集器和校验器测试 |
| 5.2.1 BOOTLOADER 检测 |
| 5.2.2 防火墙检测 |
| 5.3 测试结果 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 附录 |
四、基于IPSec的VPN密钥交换(IKE)协议的分析与实现(论文参考文献)
- [1]IPSec VPN安全性漏洞分析及验证[J]. 周益旻,刘方正,杜镇宇,张凯. 计算机工程, 2021(06)
- [2]密码应用安全态势感知平台研究与开发[D]. 陈晨. 西安电子科技大学, 2020(05)
- [3]基于IKE的IPSec技术在软件定义切片网络中的安全应用[D]. 杨文祺. 华中科技大学, 2019(03)
- [4]基于QS-KMS的VPN增强电网通信安全方案[J]. 唐鹏毅,李国春,余刚,钟军,张英华,薛路,赵子岩,闫龙川,陈智雨,卢昌斌,罗斌,高松,刘建宏. 计算机工程, 2018(12)
- [5]国密IPSec VPN安全机制研究与实现[D]. 张越. 西安电子科技大学, 2018(02)
- [6]基于IPSec的VPN在民机地空通信中的应用研究[D]. 孙志强. 上海交通大学, 2017(09)
- [7]基于国密数字证书认证的IPSec VPN服务器软件研究与实现[D]. 张金征. 西安电子科技大学, 2015(03)
- [8]基于Openswan的国密IPsec VPN服务器软件设计与实现[D]. 张天久. 西安电子科技大学, 2014(04)
- [9]IPsec-IKE的实现与测试方案设计[D]. 王蓓蕾. 西安电子科技大学, 2014(03)
- [10]支持TNC的IPsec VPN系统的研究[D]. 梅明. 西安电子科技大学, 2014(01)