基于IPSecurity的透明网络安全技术的研究和实现
|
摘要
针对当前各种应用和服务系统在解决网络安全问题时各自为政的情况,本
论文旨在给出一种应用与安全相互独立的透明网络安全体系,从而使应用开发
人员无须考虑网络安全问题,将精力全部投入到应用逻辑的开发中,同时,也
为现存的大量的无网络安全防范的应用系统注入新的生命力,延长其生存期,
这还有利于将安全问题作为一个整体来综合考虑,以形成一套一致的企业级安
全策略。
由于上层安全协议有应用程序相关性,透明网络安全只能选在网络层实现。
本论文根据Internet层的安全协议(RFC2401、RFC2402、RFC2406、RFC2408),
利用加密和认证技术,结合包过滤技术,在主机原有的系统上,实现IPV4的
Internet层的安全性(兼容IPV6),保证主机与主机间的安全通信,建立透明的
网络安全体系。
论文给出了IP安全系统的理论方案及在内核模式中实现的技术要点,并通
过具体的软件设计和编程,实现了IP security的基本功能,初步达到了预期的
透明网络安全的目标,形成了一个实用软件的雏形。
The developer must consider the corresponding network security problem when
building his/her application system. A transparent network security solution, which is
independent of applications, is proposed in this thesis. It frees developers from network
security problems and lets them focus on domain developing. Moreover, the transparent
security system gives new life to some application systems that were built without
security considerations. The concept introduced in this paper helps to resolve network
security problems independently and creates an enterprise level security policy.
Because of the dependence between the high level protocols and applications, the
transparent network security mechanism should be implemented on the IP layer. With
the combination of encryption, authentication and IP filter technology, this thesis
establishes a transparent network security scheme on the IPV4 (compatible with IPV6)
according to IPSEC (RFC24O 1, RFC2402, RFC2406, RFC2408), and achieves host to
host secure communication on the internet or intranet.
The thesis comprises of three main sections. The first section (Charter 1,2)
introduces the theoretical basis and algorithms. The second one (Charter 3,4) presents a
schema of IP security system and the outline of the techniques that put the schema into a
real system in the Windows Kernel Mode. The third one (Charter 5,6) discusses the
software design and programming.
论文旨在给出一种应用与安全相互独立的透明网络安全体系,从而使应用开发
人员无须考虑网络安全问题,将精力全部投入到应用逻辑的开发中,同时,也
为现存的大量的无网络安全防范的应用系统注入新的生命力,延长其生存期,
这还有利于将安全问题作为一个整体来综合考虑,以形成一套一致的企业级安
全策略。
由于上层安全协议有应用程序相关性,透明网络安全只能选在网络层实现。
本论文根据Internet层的安全协议(RFC2401、RFC2402、RFC2406、RFC2408),
利用加密和认证技术,结合包过滤技术,在主机原有的系统上,实现IPV4的
Internet层的安全性(兼容IPV6),保证主机与主机间的安全通信,建立透明的
网络安全体系。
论文给出了IP安全系统的理论方案及在内核模式中实现的技术要点,并通
过具体的软件设计和编程,实现了IP security的基本功能,初步达到了预期的
透明网络安全的目标,形成了一个实用软件的雏形。
The developer must consider the corresponding network security problem when
building his/her application system. A transparent network security solution, which is
independent of applications, is proposed in this thesis. It frees developers from network
security problems and lets them focus on domain developing. Moreover, the transparent
security system gives new life to some application systems that were built without
security considerations. The concept introduced in this paper helps to resolve network
security problems independently and creates an enterprise level security policy.
Because of the dependence between the high level protocols and applications, the
transparent network security mechanism should be implemented on the IP layer. With
the combination of encryption, authentication and IP filter technology, this thesis
establishes a transparent network security scheme on the IPV4 (compatible with IPV6)
according to IPSEC (RFC24O 1, RFC2402, RFC2406, RFC2408), and achieves host to
host secure communication on the internet or intranet.
The thesis comprises of three main sections. The first section (Charter 1,2)
introduces the theoretical basis and algorithms. The second one (Charter 3,4) presents a
schema of IP security system and the outline of the techniques that put the schema into a
real system in the Windows Kernel Mode. The third one (Charter 5,6) discusses the
software design and programming.
引文
1. RFC 2401: Security Architecture for the Intemet Protocol, 1998. 11
2. RFC 2402: Authentication Header, 1998. 11
3. RFC 2406: Encapsulating Security Payload, 1998. 11
4. RFC 2408: Internet Security Association and Key Management Protocol, 1998. 11
5. *RFC 2411: IP Security Document Roadmap, 1998. 11
6. RFC 2460: Internet Protocol, Version 6 Specification, 1998. 12
7. RFC 1321: The MD5 Message-Digest Algorithm, 1992. 4
8. RFC 2104: HMAC: Keyed-Hashing for Message Authentication, 1997. 2
6. 张武健 梁松海等:嵌入式Montgomery模乘器的实现,清华大学学报,1999,51:13-16
10.韦卫 王德杰等:基于SSL的安全WWW系统的研究与实现,《计算机研究与发展》,1999,5:619-637
11.韦卫王德杰等:Internet网络层安全协议理论研究与实现,《计算机学报》,1999,22(7):171-176.
12.张晔 刘玉莎:透明网络安全体系结构的研究,《计算机工程与应用》,2000,4:119-122
13.郑枫 俞桂平:基于隧道技术的网络安全,《计算机科学》,2000年第5期。19-23
14.许强 李信满等:基于IP Security的安全多播体系结构的研究与分析,《计算机科学》,2000,6:64-67
15.黄彦宏 白英彩等:在Windows NT下实现自动沟通PPP-IEEE802.3的驱动协议模型,《计算机工程》,2000,4:29-31
16.潘理顾尚杰等:基于Windows95的网络协议软件开发技术,《计算机工程》,2000,2:4-8
17.周杰韩 杜润生等:虚拟柔性加工单元网络信息安全的数据加密与数字签名方案,《计算机工程与应用》,2000,9:117-119。
18.刘玉莎 张晔等:嵌入式防火墙系统的实现,《计算机正程与应用》,2000,7:22-25。
19.冷健 谢冬青:基于SSL协议的网络安全模犁及其实现,《计算机工程与应用》,2000,9:142-144。
20.韩智文 卿华等:新一代互连网协议的安全机制,《计算机工程与应用》,2000,3:13-16。
21.[美]Bruce Sehneier著,吴世忠等译:应用密码学:协议,算法与C源程序,机械工业出版社,2000.3。
22.卢开澄 郭宝安 戴一奇等:计算机系统安全,重庆出版社,1999.5
23.[美]William Stallings著,潇湘工作室译:网络安全要素——应用与标准,人民出电出版社,2000.11
24.[美]Timothy Parker著,许宏丽等译:TCP/IP揭秘,电子工业出版社,1999.1
25.卢开澄著:计算机密码学(第2版),清华大学出版社,1998.7
26.[美]W. Murhammer, et al. 著,孔雷等译:虚拟私用网络技术,清华大学出版社,2000.4
27.Chris Cant: Writing Windows WDM Device Drivers, USA: R&D/Miller Freeman, Inc.1999.7
28.[美]Peter G. Viscarola等著,新智工作室译:Windows NT与Windows2000设备驱动及开发,电子工业出版社,2000.6
29.孙守阁 徐勇:Windows设备驱动程序技术内幕,清华大学出版社,2000.5
30.杨强 李堂秋:Win9X虚拟设备驱动程序编程指南,清华大学出版社,1999.3
31. Microsoft Corp: The microsoft Windows2000 device driver kit(DDK) document.
32.潘理 赵颖 沈金龙:网络协议软件开发中的接口技术,《南京邮电学院学报》,1998
33.张芸 王绍棣:IP安全协议中密钥管理的研究和分析,《第八届全国青年计算机学术会议论文集》,2000.10
34.刘克龙.蒙杨等:一种新型的防火墙系统,《计算机学报》,2000,3:231-236
35.曹勇 吴功宜:开放安全的Internet/Intranet信息系统体系结构的研究和实现,《计算机工程与应用》,2000.1
36. IBM红皮书: A Comprehensive Guide to Virtual Prive Networks, Volume I: IBM Firewall, Server and Client Solutions
37. Chapman D B, Zwick E D: Building Intemet Firewalls, USA: O'Reilly&Associates, 1995.
38. Chris Hare, Karanjit Siyan: Intemet Firewalls and Network Security, USA: Prentice Hall, 1996
39. Douglas E. Comer, David L. Stevens: Intemetworking With TCP/IP Vol Ⅱ, USA: Prentice Hall Inc, 1999. 2
40. Cheswick W, Bellovin S: Firewalls and Intemet Security, Addision-Wesley, 2000, 7
41. Chapman D, Zwicky E: A Security Architecture for the Intemet Protocol, IBM system Journal, 1998, 1
42. Man Young Rhce: Cryptography and Secure Communications, McGraw-Hill Book Co. 1994
43.文运保,周保其:基于IPSEC的网络安全及其硬件实现,《计算机工程与应用》,2001,8(37):49-51
1.廖永红,黄战:软件安全发行及注册技术的研究,《南京大学学报》(第八届全国青年计算机学术会议专刊),2000,10(36):148-153
2.廖永红,黄战:面向对象的分析、设计、实施直通车,《电脑与信息技术》,2000,5:15-20。
3.廖永红,刘吉颖:面向对象的建模语言面面观,《电脑开发与应用》,2000,10:20-24
2. RFC 2402: Authentication Header, 1998. 11
3. RFC 2406: Encapsulating Security Payload, 1998. 11
4. RFC 2408: Internet Security Association and Key Management Protocol, 1998. 11
5. *RFC 2411: IP Security Document Roadmap, 1998. 11
6. RFC 2460: Internet Protocol, Version 6 Specification, 1998. 12
7. RFC 1321: The MD5 Message-Digest Algorithm, 1992. 4
8. RFC 2104: HMAC: Keyed-Hashing for Message Authentication, 1997. 2
6. 张武健 梁松海等:嵌入式Montgomery模乘器的实现,清华大学学报,1999,51:13-16
10.韦卫 王德杰等:基于SSL的安全WWW系统的研究与实现,《计算机研究与发展》,1999,5:619-637
11.韦卫王德杰等:Internet网络层安全协议理论研究与实现,《计算机学报》,1999,22(7):171-176.
12.张晔 刘玉莎:透明网络安全体系结构的研究,《计算机工程与应用》,2000,4:119-122
13.郑枫 俞桂平:基于隧道技术的网络安全,《计算机科学》,2000年第5期。19-23
14.许强 李信满等:基于IP Security的安全多播体系结构的研究与分析,《计算机科学》,2000,6:64-67
15.黄彦宏 白英彩等:在Windows NT下实现自动沟通PPP-IEEE802.3的驱动协议模型,《计算机工程》,2000,4:29-31
16.潘理顾尚杰等:基于Windows95的网络协议软件开发技术,《计算机工程》,2000,2:4-8
17.周杰韩 杜润生等:虚拟柔性加工单元网络信息安全的数据加密与数字签名方案,《计算机工程与应用》,2000,9:117-119。
18.刘玉莎 张晔等:嵌入式防火墙系统的实现,《计算机正程与应用》,2000,7:22-25。
19.冷健 谢冬青:基于SSL协议的网络安全模犁及其实现,《计算机工程与应用》,2000,9:142-144。
20.韩智文 卿华等:新一代互连网协议的安全机制,《计算机工程与应用》,2000,3:13-16。
21.[美]Bruce Sehneier著,吴世忠等译:应用密码学:协议,算法与C源程序,机械工业出版社,2000.3。
22.卢开澄 郭宝安 戴一奇等:计算机系统安全,重庆出版社,1999.5
23.[美]William Stallings著,潇湘工作室译:网络安全要素——应用与标准,人民出电出版社,2000.11
24.[美]Timothy Parker著,许宏丽等译:TCP/IP揭秘,电子工业出版社,1999.1
25.卢开澄著:计算机密码学(第2版),清华大学出版社,1998.7
26.[美]W. Murhammer, et al. 著,孔雷等译:虚拟私用网络技术,清华大学出版社,2000.4
27.Chris Cant: Writing Windows WDM Device Drivers, USA: R&D/Miller Freeman, Inc.1999.7
28.[美]Peter G. Viscarola等著,新智工作室译:Windows NT与Windows2000设备驱动及开发,电子工业出版社,2000.6
29.孙守阁 徐勇:Windows设备驱动程序技术内幕,清华大学出版社,2000.5
30.杨强 李堂秋:Win9X虚拟设备驱动程序编程指南,清华大学出版社,1999.3
31. Microsoft Corp: The microsoft Windows2000 device driver kit(DDK) document.
32.潘理 赵颖 沈金龙:网络协议软件开发中的接口技术,《南京邮电学院学报》,1998
33.张芸 王绍棣:IP安全协议中密钥管理的研究和分析,《第八届全国青年计算机学术会议论文集》,2000.10
34.刘克龙.蒙杨等:一种新型的防火墙系统,《计算机学报》,2000,3:231-236
35.曹勇 吴功宜:开放安全的Internet/Intranet信息系统体系结构的研究和实现,《计算机工程与应用》,2000.1
36. IBM红皮书: A Comprehensive Guide to Virtual Prive Networks, Volume I: IBM Firewall, Server and Client Solutions
37. Chapman D B, Zwick E D: Building Intemet Firewalls, USA: O'Reilly&Associates, 1995.
38. Chris Hare, Karanjit Siyan: Intemet Firewalls and Network Security, USA: Prentice Hall, 1996
39. Douglas E. Comer, David L. Stevens: Intemetworking With TCP/IP Vol Ⅱ, USA: Prentice Hall Inc, 1999. 2
40. Cheswick W, Bellovin S: Firewalls and Intemet Security, Addision-Wesley, 2000, 7
41. Chapman D, Zwicky E: A Security Architecture for the Intemet Protocol, IBM system Journal, 1998, 1
42. Man Young Rhce: Cryptography and Secure Communications, McGraw-Hill Book Co. 1994
43.文运保,周保其:基于IPSEC的网络安全及其硬件实现,《计算机工程与应用》,2001,8(37):49-51
1.廖永红,黄战:软件安全发行及注册技术的研究,《南京大学学报》(第八届全国青年计算机学术会议专刊),2000,10(36):148-153
2.廖永红,黄战:面向对象的分析、设计、实施直通车,《电脑与信息技术》,2000,5:15-20。
3.廖永红,刘吉颖:面向对象的建模语言面面观,《电脑开发与应用》,2000,10:20-24