IPSec协议体系理论的分析研究以及基于IPSec协议的VPN的实现与组建

详细信息    本馆镜像全文|  推荐本文 |  |   获取CNKI官网全文

作者：高明虎 论文级别：硕士 学科专业名称：管理科学与工程 中文关键词：网路安全协议 ; 网络密钥交换 ; 验证头 ; 安全封装载荷 ; 安全联盟 ; 数据库 ; 安全策略数据库 ; 安全联盟 ; 安全策略 英文关键词：IPSEC ; IKE ; AH ; ESP ; SA ; SP ; SADB ; SPDB 学位年度：2004 导师：钟叔玉 学科代码：1201 学位授予单位：昆明理工大学 论文提交日期：2004-04-25

摘要

近年来，计算机网络取得了突飞猛进的发展，网络已经成为人类社会的基础通信设施。在其出现的最初几十年里，它主要用于在各个大学的研究人员之间传送电子邮件，以及共同合作的职员之间共享打印机。在这种条件下，安全未能引起足够的重视。但随着计算机网络在人们的社会中发挥的作用越来越大，网络安全的重要性也越来越凸现出来。
     网络安全问题一直都是研究的热门话题。信息被窃取、篡改和伪造，因而保护信息就是为了为信息提供保密性、完整性，并提供身份验证。虚拟专用网VPN则提供这种保护的一种强有力的设备。VPN技术就是一种正被逐渐推广的网络安全技术，它利用公共网络如Internet来实现移动用户与企业网、公司各个子公司与母公司以及商业伙伴与公司之间的可靠连接，提供了数据加密、数据源确认、数据完整性检验等安全保护，能够抵抗多种网络攻击，并且能在建设企业网时节省投资。
     VPN设备位于受保护的子网和路由器之间，两个VPN设备联合起来，对两个子网之间的通讯实施安全保护。当VPN的安全策略被配置后，两个VPN进行协商，建立起双方共享的安全参数，即建立起了一个IPSEC安全通道。两个受保护的子网的主机进行通讯时，在子网区域内，数据处于明文状态，当其进入安全通道时，则被加密和验证，保证了数据的机密性和完整性，并提供了源身份验证。
     VPN技术能够被多个网络层次上的安全协议所支持，如数据链路层上的PPTP，网络层上的IPSEC，会话层上的SOCKS等，由于基于TCP／IP的各个应用都要通过网络层将数据封装成一个IP包在进行传送，并且在网络层进行能够对上层应用提供安全透明服务，所以本文选择了基于IPSEC来实现VPN技术。IPSEC安全协议共包括AH协议、ESP协议以及进行自动密码交换的IKE协议。
     本文对VPN的协议体系、实现机制以及安全机制进行了比较详细的分析和论述。
Developing rapidly in the recent years, the computer network has become the communication infrastructure of the human society. Its security was not noticed in the first few years when it came into being and was used to transmit email among the researchers in the university and to share printer among collaborative employees, but its importance becomes more and more outstanding along with its more and more value in the social life.
    Security of network has been a hot topic of research. The protection to the information, which is easy to be peeked, modified and counterfeited, is to offer secrecy, integrity and source verification. Virtual Network is an effective device to provide such protections. The technology of VPN is being popularized. It links consumers,subsidiary companies and commerce-partners to corporation through internet and provides secrecy, integrity and identity verification. VPN can resist attack from internet and economizes money.
    The device of VPN which is between protected subnet and router can keep communication of network away from attack if more than two devices are used all together. Two VPN devices negotiate about shared parameter in order to establish a secure tunnel when security policies were configured. The data in the protected subnet are not encrypted, but are encrypted in the tunnel in order to keep its secrecy, integrity.
    The technology of VPN can be used in the every layer of net-model, for example: Data Link Layer, Network Layer and Session Layer . This article is about the implement of VPN based on IPSEC because data will be encapsulated IP-pack before data are transmitted, moreover, the operation of data in the network layer can offer secure and transparent service for up layer.
    It is very detail that article is about IPSEC VPN.

引文

[1].严朋，曾文方基于IPSEC的VPN的研究和实现四川大学论文集
    [2].李海泉、李建 计算机网络的安全与加密。计算机通信，1997
    [3].刘莹 网络安全问题的探讨 贵州工业大学学报 1992.2
    [4].李中献、詹榜华等 认证理论与技术的发展 电子学报 1999.1
    [5].杨献议 虚拟专用网概论 电子展望与决策 1999.1
    [6].翁亮、诸鸿文，虚拟专用网的一般体系结构的研究 上海交大学报 1999.1
    [7].丁佚凡、吉逸 SOCKS技术及其在Extranet中的应用研究 数据通信 1999.4
    [8].董小宇等译 构件虚拟专用网 人民邮电出版社 2000
    [9].师成江、汪海航、谭成翔 基于IPSEC的安全的VPN模型研究 计算机应用 2001.6
    [10].谢庆杰、黄令恭 IPSEC策略管理机制 计算机工程 2001.8
    [11].朱箐、张勇、白芙采 基于IPSEC的安全路由器设计与实现 计算机工程 2001.6
    [12].路建德 基丁IPSEC协议的LinuxVPN安全网关的研究与设计 小型微型计算机系统，第22卷，第7集
    [13].肖道举、李馨 面向IPSEC的关联数据库结构的研究 华中科技大学学报 2001.2
    [14].沈一平、许勇、吴国新 IPSEC中密钥管理协议的研究 25卷、特刊 1999.10
    [15].将涛、刘积人 基于Web系统的VPN设计与实现 台湾交大咨询工程研究所
    [16].张克友 基于VPN远程访问Intranet的事项 信阳师范学院学报自然科学版 第15卷 第4期
    [17].吴越、仆勇华、胡爱群、毕光国 基于IPSEC的虚拟专用网密钥交换实现以及其安全分析东南大学无线电工程系
    [18].Mircosoft Press著 潇湘工作室翻译 MSEC致胜宝典—网络基础
    [19].韩海东 用VPN构件安全的内部网(网络版)
    [20]. http://www.cankey.com
    [21].文华 IP VPN隧道协议《现代通信》2002年第一期
    [22].张文华 IP VPN安全保证技术《现代通信》2002年第一期
    [23].中深、陈海雯 APN-新一代的VPN 网络纵横
    [24].IPSEC VPN设计《世界电信》2002年第8期
    [25].艾旭升、崔志明 IPSec VPN的研究和设计《微机发展》第13卷第5期
    
    
    [26].姚尹雄，张研，王豪行.一种提供服务质量保障的移动ad—hoc网络介质访问控制策略[J1.上海交通大学学报，2002，(6)：153.
    [27].吴海亚、马瑞 IPSec VPN的应用分析《通信技术》2003年第二期.
    [28].路路 浅谈IPsec与虚拟网安全技术.《中国数据通信》2000年第四期 P30-P34
    [29].徐大为 IPSEC穿越NAT的设计与实现.《计算机工程》2002年第28期
    [30].黄智 IPsec的研究和分析.《计算机工程和应用》2002年第13期
    [31].李博 两种基于IP的vPN体系比较.《计算机工程和应用》2002年
    [32].刘锦德等 计算机网络大全 北京电子工业出版社，1997.
    [33].Dbraswamy N、harUns D IPSec新一代冈特闷安全标准—京京工作室
    [34].陈世清，李珍辉，夏春和 IPSEC VPN、MPLS VPN与网络数据安全《电脑与信息技术》2003年第一期
    [35].韩锦莱 王新梅 ipSec虚拟专用网技术《通信技术》第36期
    [36].董品、董桂林.用UtMB5构建InteMot／Extmnot应用.北京电子工业出版社，2000年
    [37].罗林、陈伯之、陈斌等.Notes编程疑难辩解.北京人民邮电出版社，2000年
    [38].Tamm AT.UNs Nob8和Dom5noSeIvor 4.6技术大全.北京机械工业出版社，1999年
    [39].查尔斯.斐迪.Domino Developer’s Reference开发人员手册.北京北京希望电子出版社，2001年
    [40].商起、刘晓破、张思尔 IP层安全的研究和实现 北方交通大学学报 第26卷第3期
    [41].于秀莲等译.虚拟专用网.人民邮电出版社，2000年.
    [42].杨明等译.密码编码学与网络安全.电子工业出版社 2001
    [43]. K.Hamzeh, G.S.Pall, W.vertehtin and W.A.Little point to point tunneling protocol internet draft IETF JUL 1997
    [44]. A. Valencia, Cisco layer two forwarding RFC2341 MAY 1998
    [45]. S.Kent and R.Atkinson IP Authentication Header RFC 2402 NOVEMBER 1998
    [46]. C.Madison and N.Draswamy THE ESP DES-CBC Caper Algorithm with Explicit Ⅳ RFC 2405 NOVEMBER 1998
    [47]. Dippier The Internet IP Security Domain of Interpretation for ISAKMP rfc2007 NOVEMBER 1998
    [48]. D.Maughan and D.Carell The Internet Key Exchange RFC2009 NOVEMBER 1998
    
    
    [49]. R.Houseley and W.Ford Internet X.509 Public Key Infrastructure Certificate and CRL Profile RFC2459 January 1999
    [50]. W.Rchard Stevens TCP/IP 详解 卷1：协议 机械工业出版社 2002年
    [51]. J.Boder and M.Jobo Performance Enhancing Proxies Intended to mitigate Link-Related Degradations IETF RFC3135 June 2002
    [52]. Michal S.Borella,3Com Corp, Methoal and protocal for Secury Key Netotion Using IKE,IEEE Network ,JULY/AUGEST 2002.
    [53]. Kend.S.Aktion.R.IP Encapsulating Security Paylload RFC2401 November 19999
    [54]. Larry.J.Hughes.Jr, Acutally Useful Intemet Security Technology. New Riders Publishing USA 1999
    [55]. Math Works. Inc. MATLAB documentation [H]. 2001.
    [56]. E.Fama,L.Fisher, M.Jenson,et al. The Adjustment of Stock Price to New Information[J].Intemational Economic Review. 1999,2
    [57]. A.Madison , H.Dratwame THE ESP DES-CBC Caper Algorithm With Explicit Ⅳ RFC 2400 NOVEMBER 2001