学位论文 > 优秀研究生学位论文题录展示

基于IPSec的IKE协议研究与实现

作 者: 王泽泽
导 师: 廖述剑
学 校: 太原理工大学
专 业: 信号与信息处理
关键词: 移动VPN IPSec IKE 预共享密钥 身份标识 虚拟IP地址
分类号: TN929.5
类 型: 硕士论文
年 份: 2011年
下 载: 70次
引 用: 0次
阅 读: 论文下载
 

内容摘要


移动业务的不断增多对移动网络的安全性提出更高的要求,为实现移动节点的网络漫游,构建一个完善的网络体系势在必得。移动VPN技术由于自身的优良性能能有效的满足用户对移动环境的需求和提供安全的信息服务。IPSec协议作为移动VPN的网络层技术,且在IPv6中强制使用,其重要性不言而喻。它在IP层对数据包进行严格的加密和认证,提供了数据完整性检查、机密性保障以及身份认证等功能。IKE协议作为IPSec的核心,规定了对IP报文的处理方式。本文首先介绍了VPN和IPSecl的基本原理,认真研究了IKE协议,包括IKE的组成、载荷、IKE的交换阶段、交换过程以及各种密钥信息的生成,尤其对主模式下预共享密钥认证第一阶段IKE SA的协商进行了重点研究。针对IKE对移动网络中对动态IP地址的用户支持有限且对通信双方身份的保护和验证不足等方面,提出了当移动节点连入网络后应积极的向所属域核心路由器提供其节点信息,然后将身份标识信息与预共享密钥PSK进行关联,完成在移动网络中安全的IKE SA协商,最后获得IPSec SA和一个虚拟内网IP,实现移动节点访问企业内部资源的权限。最后,将IKEv2与原IKE协议进行比较,指出了IKEv2的一些扩展功能如远程访问采集、PKI、NAT穿越。IKEv2认证方式采用预共享密钥认证和数字签名认证两种。并简单介绍了IKEv2的三种交换类型和另一种密钥交换协议JFK。在linux平台下,采用支持IKEv2协议的strongswan软件,设计了一个模拟实验来验证使用虚拟IP地址的远程工作者(Road Warrior)可以通过VPN网关安全访问子网资源。在此过程中对IKEv2密钥协商中不能确定通信双方是否已经真的建立连接的问题进行了改进,得出改进后的方案虽然增加了协商时间,却减少了系统不必要的资源浪费,这样更能增强对移动IP网络的支持。

全文目录


摘要  3-5
ABSTRACT  5-10
第一章 绪论  10-14
  1.1 课题研究背景及意义  10-11
  1.2 国内外发展状况  11-12
  1.3 论文组织结构  12-14
第二章 IPSec VPN  14-28
  2.1 虚拟专用网简述  14-18
  2.2 IPSec概述  18-20
  2.3 IPSec协议和工作模式  20-24
  2.4 密钥保护  24-25
  2.5 IPSec处理数据包的流程  25-27
  2.6 本章小结  27-28
第三章 IKE安全性分析及在移动VPN中的实现  28-46
  3.1 IKE协议组成  28-29
  3.2 IKE密钥协商  29-33
  3.3 预共享密钥认证  33-36
    3.3.1 主模式下预共享密钥认证交换过程  33
    3.3.2 安全性分析  33-34
    3.3.3 改进方法  34-36
  3.4 改进方案在移动网络中的实现  36-45
    3.4.1 移动网络拓扑  36-37
    3.4.2 客户端设置  37-40
    3.4.3 IPSec策略配置与IKE  40-42
    3.4.4 IKE第一阶段的协商  42-43
    3.4.5 NAT-T  43-44
    3.4.6 业务请求及响应  44
    3.4.7 VPN连接断开  44-45
  3.5 本章小结  45-46
第四章 IKEv2分析及模拟实验实现  46-62
  4.1 原IKKE与IKEv2对比  46
  4.2 IKEv2密钥协商过程  46-48
    4.2.1 初始交换  46-47
    4.2.2 协商子SA交换  47
    4.2.3 信息交换  47-48
  4.3 IKEv2功能  48-49
    4.3.1 远程接入采集  48
    4.3.2 PKI  48-49
    4.3.3 JFK  49
  4.4 Linux下的模拟实验  49-61
    4.4.1 实验简述  49-50
    4.4.2 实验设计  50-52
    4.4.3 移动用户的VPN隧道建立  52-53
    4.4.4 配置信息  53-55
    4.4.5 认证方式  55-56
    4.4.6 配置载荷  56-58
    4.4.7 性能测试  58-61
  4.5 实验结果分析  61
  4.6 本章小结  61-62
第五章 总结与展望  62-64
  5.1 总结  62
  5.2 展望  62-64
参考文献  64-68
致谢  68-70
攻读学位期间发表的学术论文  70

相似论文

  1. TD-SCDMA Femto基站鉴权与加密过程的研究与实现,TN929.533
  2. 基于身份标识的NVD远程密钥系统的设计与实现,TN918.2
  3. 基于IPSec与SSL VPN的网络安全研究与实现,TP393.08
  4. 面向SAN和NAS融合的安全方案研究,TP393.08
  5. 基于可重构密码处理的IPSec VPN网关研究与设计,TP393.05
  6. 基于USB的动态VPN客户端设计与实现,TP393.1
  7. IPSec穿越NAT的研究与设计,TP393.04
  8. IKE协议健壮性测试技术研究,TP393.04
  9. 基于IPSec的NAT-PT过渡机制研究,TP393.08
  10. 互联网密钥交换协议的研究与实现,TP393.08
  11. ICMP安全性分析研究,TP393.08
  12. IPSec VPN技术研究及应用,TP393.1
  13. 嵌入式IPSec的设计与实现,TP393.08
  14. PKI在IPSec VPN中的设计与实现,TP393.08
  15. IPSec协议测试优化技术研究,TP311.52
  16. VoIP安全技术研究,TN916.2
  17. 通用作战态势图数据通信安全研究与设计,TN919.2
  18. 移动IPv6安全机制的研究与分析,TN929.5
  19. 基于IPSec的密钥交换协议分析与改进,TP393.08
  20. 校园网的VPN方案设计,TP393.1
  21. 基于身份标识与位置标识分离的切换技术研究,TP393.02

中图分类: > 工业技术 > 无线电电子学、电信技术 > 无线通信 > 移动通信
© 2012 www.xueweilunwen.com