一、基于隧道IKE探测方案的研究与实现(论文文献综述)
李超凡,刘伟,吴响,马凯[1](2021)在《高性能IPSec VPN工程设计与仿真》文中指出为提升医院间网络平台的稳定性与安全性,以徐州市某三甲医院网络架构改进为背景,基于MNSS(medical network system simulator)教学实验平台进行医院间高性能IPSec VPN工程仿真设计,为平台储存工程实践案例。仿真实验实现了医院间网络平台的高可用性、数据加密与负载均衡,提升了医院网络信息化的运行效能。MNSS通过多元化教学模式与科研形式,提升医工结合的交叉教学体系质量,更好地围绕医学与信息科学进行理论基础与实践应用的前瞻性研究。
赵明[2](2020)在《基于轻量级虚拟机监控器的安全计算环境》文中研究表明本文基于BitVisor轻量级虚拟机监控器框架和Intel硬件虚拟化技术实现了SLVMM(Secure Lightweight Virtual Machine Monitor,安全的轻量级虚拟机监控器)。然后以此S-LVMM构建操作系统的安全计算环境,对个人计算机进行保护。针对BitVisor存在的不足进行了适当的修改和扩展,主要工作内容如下:(1)由于BitVisor将密钥存储在内存中,因此密钥很容易受到冷启动攻击。本文使用了一种抗冷启动攻击的密钥管理方法。首先使用SHA-256算法根据密码生成256bit的密钥。该密钥的前128bit作为数据密钥,后128bit作为调柄密钥。然后将该密钥存储在CPU的四个调试寄存器中。最后使用Intel硬件虚拟化技术使得密钥只能由S-LVMM访问。(2)BitVisor对存储设备的加密方法是通过调用OpenSSL库中的AES加密函数实现的,在加密的过程中也使用了内存,因此也很容易受到冷启动攻击。本文使用了一种抗冷启动攻击的数据加密方法。使用AES-NI指令集实现AES算法并替换了BitVisor的加密方式。选择可调工作模式XTS作为AES算法的工作模式。AESNI通过提供aesenc、aesenclast、aesdec和aesdeclast等指令来实现AES的硬件加速,这些指令只在处理器上执行,不涉及内存,因此可以避免冷启动攻击。(3)由于BitVisor没有提供内存加密的功能,本文借助HyperCrypt提供的针对BitVisor的内存加密补丁来实现内存加密。在EPT(Extended Page Table,扩展页表)中只保留解密页面,加密页面不会插入到EPT中。在任何时候,只有一小部分工作的内存页面是解密页面,而绝大多数页面是加密页面。使用一个滑动窗口保持对这些解密页面的引用,并使用第二次机会算法减少滑动窗口中多余的解密页面。(4)对半穿透驱动程序拦截到的I/O数据进行处理。如果此I/O对应的逻辑块地址在预先配置的加密范围内,就进一步判断此I/O是读操作I/O还是写操作I/O。如果为写操作I/O,就将影子缓冲区中的数据加密后再复制到存储设备。如果为读操作I/O,就将影子缓冲区中的数据解密后再复制到客户缓冲区中。(5)重用了BitVisor的VPN客户端模块,分析了VPN客户端模块的实现原理,配置了VPN模块所用到的参数,使用strongSwan作为VPN服务端,并对strongSwan的相关配置进行了参数配置。最后对S-LVMM和strongSwan服务器之间的VPN连接进行了测试。
杨文祺[3](2019)在《基于IKE的IPSec技术在软件定义切片网络中的安全应用》文中研究表明随着互联网技术的蓬勃发展,其实现的服务种类及业务复杂度也随之增加,复杂多变的网络状态成了扼制通信网络进一步发展的关键因素。而第五代移动通信(5G)网络切片技术的提出,为重新划分通信网络格局开辟了新的思路,各大通信网络公司都纷纷投入巨大的人力财力进行新领域的研究。而与此同时,当下已经较为成熟的软件定义网络(Software Defined Network,SDN)架构的数据层与控制层分离的理念以及SDN交换机强大的包处理能力都处处体现了与该技术的相融之处。即便如此,切片网络中的通信安全依然存在着一些潜在的安全隐患。本文利用SDN架构控制功能与转发功能分离的特性与对网络可编程的能力,以及对切片网络的易划分和可操作性的优势,设计并实现了一种基于密钥交换(Internet Key Exchange,IKE)的互联网安全(Internet Protocol Security,IPSec)技术的软件定义切片网络安全通信的系统架构。该系统架构的核心思想是利用哈希加密验证技术改进当下IPSec加密机制,并辅以IKE协商机制,提高了系统的可操作性和稳定性。该项技术的改进,旨在保障发送方发送的敏感信息数据包能安全准确的到达接收方,避免传输过程中的数据截获或欺诈数据包的入侵,全方位保证了安全通道的通信安全。本文的主要研究工作有:(1)引入了IPSec加密与IKE协商机制。IPSec加密的机制需要人工选择解析协议或者验证字段,操作繁琐且易出错,一旦选择了加密方式则短时间内不会做出新的更改,这也带来了一定的安全风险的,给攻击者很大的破解缓冲时间,而IKE的优势在于是动态的自主随机选择库中的解析协议或者验证字段,建立起安全联盟,且配置全部依赖于程序自主运作,基本上解放了开发人员;(2)设计并实现了一种路由生成算法。该功能主要是基于带宽利用率的动态选路算法,利用SDN控制器时刻掌握着整个网络拓扑状态,能更好地应对实时环境中的网络链路情况,既可以保证时延,又可以保证链路负载均衡;(3)实现随机数哈希加密认证。单纯依赖于IKE协商建立起来的IPSec加密体系,依然有被在有限时间内攻破的可能性,为此我们添加了动态改变的随机数哈希加密认证技术。在间隔时间内依据随机字符串哈希加密之后镶嵌在控制器下发的验证流表中,大大增强了通信通道的安全性。最后,本文对基于IKE的IPSec技术在软件定义切片网络安全通信体系架构进行了测试。根据测试结果分析可以证明该系统架构设计的有效性,且拥有更高的安全性、易部署性。
艾龙[4](2019)在《车地多链路无线通信系统安全保障技术研究》文中进行了进一步梳理轨道交通是关系到国计民生的重要行业之一,一旦轨道交通信息系统出现故障,极可能引发交通阻塞、甚至导致追尾事故的发生。目前轨道交通地铁列车与地面的通信主要采用基于WLAN的无线双链路备份的方式,无线通信技术已经非常成熟。但如何在网络和应用层面保障车地多链路无线通信系统的安全性和可靠性,目前还没有明确的技术方案。鉴于此,文章将对如何优化IPSec VPN技术来保障轨道交通多链路车地通信环境作简要阐述,提出当前IPSec VPN技术在多链路环境存在的问题,并针对性地提出解决策略,意在推动车地多链路无线通信系统安全保障建设的进一步发展。
余璐[5](2015)在《基于分布式路由器的IPSec研究与实现》文中进行了进一步梳理互联网的快速发展使网络环境变得更加复杂,网络设备的安全性也相应越来越受到重视,提高网络设备的安全性,防止各种网络攻击,对整个互联网的安全性和保密性至关重要。路由器作为互联网中的关键设备,尤其是在骨干网中采用分布式结构的高性能路由器,更需要为整个网络提供安全保护。IPSec(IP Security)是由IETF工作组制定的一个协议组,它的主要目的是在网络层提供安全服务。IPSec协议组能够实现网络安全的大部分需求,为在不安全的网络中传送敏感信息提供了安全保障。因此,在分布式路由器上实现IPSec系统,对整个网络的互通和安全具有重要意义。本文开发的IPSec系统是基于分布式路由器的,该系统是严格按照IETF制定的网络安全协议标准研制的。本文主要完成了在分布式路由器的平台上,IPSec系统的分布式设计与实现。通过分析IPSec实现的关键技术,结合分布式路由器的具体特点,提出了在路由器上采用硬件加密卡实现IPSec加密/解密的方案。给出了IPSec在路由器上分布式实现的具体方案,包括IPSec系统框架设计、IPSec功能模块划分、IPSec报文处理的总体流程,以及IPSec输入、输出处理流程等。同时研究了IPSec的扩展功能,即对等体探测机制,结合项目实际情况,提出用BFD协议代替DPD协议,并分析了其可行性与优势。最后搭建测试环境,通过对该系统进行全面的功能测试、性能测试,验证了该IPSec系统的基本功能,并且IPSec加密卡采用多核处理器,提高了IPSec加密/解密的处理性能。
刘杰[6](2014)在《VPN架构下基于IPSec协议的NAT-T研究与改进》文中研究说明近几年,随着IPSec技术与NAT技术应用越来越广泛,同时两者之间的矛盾越来越突出,IPSec技术与NAT技术结合使用即可以提高内网与外网数据通信安全性,又可以解决IPv4资源耗费和代价较高的问题。但是这两种技术在各自的架构上,传输原理上,协议运行机制上等方面在兼容性上有着先天的不足。本文充分收集国内、国外对IPSec和NAT兼容性研究的理论及实践文献,深入了解IPSec技术与NAT技术,研究了IPSec技术与NAT技术共同工作的方案和NAT-T机制,并针对NAT-T过程提出了改进。1、研究了本课题的相关技术,VPN技术应用、IPSec安全体系、NAT工作机制。结合复杂工作流程分析了NAT和IPSec/IKE产生不兼容的方面及已有的解决方法。同时指出了这几种方法各自的优势和劣势。2、重点分析了IKE协商机制的第一阶段和第二阶段。在此基础之上提出了针对NAT-D载荷二次散列计算,保证IKE协议数据的完整性,对防止旁路监听、网络数据截取篡改起到了一定的作用。3、采用基于信任第三方改进NAT-T穿越。现有UDP封装实现IPSec和NAT兼容方案的不仅必须使用ESP封装格式,还必须限定首先发起IKE协商的主机,首先发起IKE协商的主机必须位于NAT设备后面的内网(私有网络)中。根本原因在于该机制是实际应用在的单向NAT-T穿越,即“IPSec—NAT—公网—IPSec”模式。本论文提出基于信任第三方改进NAT-T穿越,实现了“结点—IPSec—NAT—公网—NAT—IPSec—结点”模式的网络通信,同时通过采用PKE证书机制提高通信实体的安全性。
蒋嘉琦[7](2014)在《高性能IPSec客户端软件设计与实现》文中研究指明VPN(Virtual Private Network,虚拟专用网)是一种在不安全的网络上建立安全、虚拟网络通道的技术,IPSec(Internet Protocol Security,互联网协议安全)是VPN技术的一种实现方式,其主要通过对IP数据包的加密与认证来确保IP数据包在传输过程中的安全性。随着网络技术的不断发展,接入企业用户的网络带宽已经从传统的十兆、百兆发展到千兆、万兆级别,而现有的Windows平台IPSec客户端软件由于自身设计等因素,在千兆网络环境下安全过滤带宽较低,造成了网络带宽的浪费。此外,由于Windows操作系统的不断升级,现有的IPSec客户端软件在新版本操作系统上普遍存在一定的兼容性问题。本文针对现有Windows平台IPSec客户端软件的不足,基于Windows内核网络过滤驱动与AES-NI(Advanced Encryption Standard-New Instruction,高级加密标准-新指令集)技术设计并实现了一款Windows平台高性能IPSec客户端软件。该软件主要分为用户层应用程序与内核层网络过滤驱动程序两个部分,其中用户层应用程序使用IKEv2(Internet Key Exchange,互联网密钥交换)协议与IPSec网关协商建立VPN通道;内核层针对不同的Windows操作系统版本分别使用NDIS IM(Network Driver Interface Specification Intermediate,网络驱动接口标准中间层)与WFP(Windows Filtering Platform,Windows过滤平台)两种内核网络过滤驱动框架实现了IPSec过滤驱动程序,其解决了IPSec实现过程中常见的MTU(Maximum Transmission Unit,最大传输单元)与大数据包分片等问题,并使用AES-NI技术对IPSec的处理进行加速。千兆以太网环境中测试结果表明,本文所实现的客户端软件能够满足实际的功能需求,借助于AES-NI技术将IPSec处理性能提升至500Mbps左右,且具有良好的操作系统版本兼容性与稳定性。该软件目前已经成功部署于某部门使用,在近半年的使用过程中运行稳定、性能良好。
惠晨犇[8](2013)在《安全网关基于量子加密算法VPN系统的研究与实现》文中认为随着我国“宽带中国”战略的综合部署,宽带普及提升的工程全面展开,我国宽带发展呈现出以运营商为主的市场主体与政府主体携手推进“宽带中国”之势。随着宽带网络的快速发展,“最后一公里”的瓶颈问题变得尤为突出。无源光网络PON (Passive Optical Network)技术由于消除了局端与用户端之间的有源设备,使得网络的维护变得简单,而且物理环境适应性高、成本低,成为打破“最后一公里”瓶颈的核心技术。在PON通信的过程中,光线路终端OLT (Optical Line Terminal)始终处于主动地位,OLT可随时获取ONU (Optical Network Unit)用户发送的任何信息。因此,在PON中ONU用户端共享一段光纤的问题,给PON中通信带来了很大的安全隐患。为了解决PON通信中的安全问题,本文将量子加密算法引入安全网关传统虚拟专用网VPN (Virtual Private Network)系统中。通过具有认证功能的量子密钥分配协议QKD (Quantum Key Distribution),不仅解决了VPN中的认证的关键问题,并且实现了VPN内部ONU用户之间的量子密钥分配。因为OLT不会参与ONU用户间的密钥分配,即ONU用户间的通信对于OLT是保密的,从而能有效地降低OLT的工作负担,提高ONU用户间通信的安全性。本文重点阐述了量子加密VPN系统的设计及实现,重点包括界面设计、数据处理、通信命令及进程的交互,以及测试环境的搭建,并验证了系统的稳定性、兼容性,以及通信的高效与安全。该系统以安全网关为依托,为PON通信提供了一种高效、安全的解决方案。
王慧娟[9](2012)在《基于NAT-PT的IPv4/IPv6转换机制研究和实现》文中认为随着计算机网络的快速发展,IPv4协议表现出越来越多的不足,IPv6协议取代IPv4协议已经成为一种必然。由于IPv4和IPv6互不兼容,将出现IPv4和IPv6网络长期共存的状况,在这个过渡阶段,保证纯IPv4主机和纯IPv6主机的互通有很重要的理论和实践意义。NAT-PT作为一种协议翻译机制,可以实现IPv4与IPv6的相互翻译。本文在深入研究基于Netfilter框架的NAT-PT翻译网关的基础上,针对地址映射表转换效率低造成NAT-PT翻译网关性能瓶颈的问题,设计并实现了一种优化的地址映射表查找算法;同时针对IPSec和NAT-PT不兼容的问题,给出了NAT-PT-UDP的解决方案加以解决。本文主要开展了以下几方面的工作:1、详细分析和讨论了双协议栈技术、隧道技术、翻译技术三种典型的IPv4/IPv6过渡技术的工作特点及适用场合,并着重论述了NAT-PT的工作原理及其地址翻译算法,指出其地址映射表查找算法的不足。2、深入分析Netfilter功能框架,并基于该框架设计了实现NAT-PT翻译网关的整体方案。该方案将NAT-PT模块和NAT-PT-UDP模块挂载在Netfilter相应的钩子点上,并根据NAT-PT翻译原理完成对数据包的处理和转发。3、针对大量数据包流经NAT-PT翻译网关时产生的性能瓶颈问题,提出了一种基于多位树并辅之以Hash表的快速搜索算法,实验证明该算法的效率优于传统算法,提高了地址转换的效率。4、针对现有的IPSec安全协议与NAT-PT不能协同工作的问题,本文首先深入研究了二者不兼容的原因,然后结合NAT-PT自身特点,借鉴RSIP和IPSec穿越NAT的方法,提出了NAT-PT-UDP的解决方案。该方案采用UDP封装IPSec报文的形式,并通过修改IKE协议的协商过程,实现了IPSec和NAT-PT翻译网关的相互兼容。本文设计的NAT-PT翻译网关,可以有效的实现IPv4/IPv6的互通,为今后研究IPv6网络翻译技术提供了一定的参考。
汪晓璐[10](2011)在《IPSec与NAT工作冲突模型分析》文中提出由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备,但其所使用的加密技术却造成了与NAT技术的不兼容。解决这些问题最简单的办法,就是再增加一个路由器来运行NAT和虚拟专用网VPN。本文简单介绍了IETF基于UDP封装方案的工作过程,讨论了其弊端,有针对性的提出了一种新的方案,并对这个方案的安全性做了简单分析.
二、基于隧道IKE探测方案的研究与实现(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于隧道IKE探测方案的研究与实现(论文提纲范文)
(1)高性能IPSec VPN工程设计与仿真(论文提纲范文)
| 1 相关技术 |
| 1.1 GRE协议 |
| 1.2 IPSec VTI技术 |
| 1.3 IPSec安全框架 |
| (1)认证与加密算法。 |
| (2)安全协议。 |
| (3)秘钥交换协议。 |
| (4)安全关联。 |
| 2 高性能IPSec VPN工程设计 |
| 2.1 三类高性能IPSec VPN工程设计方案分析 |
| 2.1.1 链路备份 |
| 2.1.2 设备备份 |
| 2.1.3 链路备份与设备备份的综合运用 |
| 2.2 高性能IPSec VPN最优设计方案 |
| 3 高性能IPSec VPN工程仿真 |
| 4 仿真实验性能测试 |
| 4.1 IPSec VPN的协商过程 |
| 4.2 IPSec VPN的高性能测试 |
| 5 结语 |
(2)基于轻量级虚拟机监控器的安全计算环境(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文研究内容 |
| 1.4 本文组织结构 |
| 1.5 关键名词解释 |
| 第二章 相关理论与技术基础 |
| 2.1 Intel硬件虚拟化技术 |
| 2.1.1 CPU虚拟化 |
| 2.1.2 内存虚拟化 |
| 2.2 IPSec VPN相关理论与技术 |
| 2.2.1 IPSec协议 |
| 2.2.2 IPSec隧道建立原理 |
| 2.2.3 IKEv1 密钥交换和协商 |
| 2.3 AES原理 |
| 2.4 XTS-AES数据加密原理 |
| 2.5 TRESOR |
| 2.6 本章小结 |
| 第三章 系统总体设计 |
| 3.1 系统需求分析 |
| 3.2 系统总体结构设计 |
| 3.2.1 BitVisor架构 |
| 3.2.2 半穿透驱动程序 |
| 3.2.3 S-LVMM总体结构 |
| 3.3 系统运行流程 |
| 3.3.1 系统启动流程 |
| 3.3.2 内存加密模块工作流程 |
| 3.3.3 存储设备加密流程 |
| 3.3.4 VPN模块与strongSwan服务器交互流程 |
| 3.4 本章小结 |
| 第四章 系统详细设计与实现 |
| 4.1 密钥管理模块 |
| 4.1.1 密钥生成 |
| 4.1.2 密钥存储 |
| 4.2 AES实现模块 |
| 4.3 内存加密模块 |
| 4.3.1 页面管理 |
| 4.3.2 设备内存 |
| 4.3.3 DMA缓冲区 |
| 4.3.4 函数调用流程分析 |
| 4.4 存储设备加密模块 |
| 4.4.1 存储设备信息的配置 |
| 4.4.2 处理影子缓冲区数据 |
| 4.4.3 USB存储设备加解密实现 |
| 4.4.4 硬盘加解密实现 |
| 4.4.5 函数调用流程分析 |
| 4.5 VPN模块分析 |
| 4.5.1 S-LVMM的总体网络架构 |
| 4.5.2 IKEv1 密钥交换和协商实现 |
| 4.5.3 数据包的发送流程和SA的管理 |
| 4.6 本章小结 |
| 第五章 系统测试与分析 |
| 5.1 测试概述 |
| 5.2 strongSwan的编译安装和配置 |
| 5.3 S-LVMM的功能测试 |
| 5.3.1 S-LVMM的安装 |
| 5.3.2 S-LVMM的启动 |
| 5.3.3 存储设备加密模块功能测试 |
| 5.3.4 VPN模块功能测试 |
| 5.3.5 内存加密模块功能测试 |
| 5.4 S-LVMM的性能测试 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 工作总结 |
| 6.2 未来展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士期间取得的研究成果 |
(3)基于IKE的IPSec技术在软件定义切片网络中的安全应用(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 研究选题与全文结构 |
| 2 相关理论介绍 |
| 2.1 IPSec协议相关理论介绍 |
| 2.2 IKE协议相关理论介绍 |
| 2.3 本章小结 |
| 3 关键问题分析与阐述 |
| 3.1 问题分析 |
| 3.2 方案设计 |
| 3.3 本章小结 |
| 4 系统模块设计与方案实现 |
| 4.1 系统架构 |
| 4.2 系统的核心模块设计实现 |
| 4.3 系统整体改进及实施步骤 |
| 4.4 本章小结 |
| 5 系统测试与结果分析 |
| 5.1 系统开发环境 |
| 5.2 网络拓扑仿真 |
| 5.3 功能测试 |
| 5.4 性能测试 |
| 5.5 本章小结 |
| 6 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 下一步工作展望 |
| 致谢 |
| 参考文献 |
(4)车地多链路无线通信系统安全保障技术研究(论文提纲范文)
| 0 引言 |
| 1 IPSec VPN技术概述 |
| 2 IPSec VPN技术应用到地铁车地无线通信场景中存在的问题 |
| 2.1 传统IPSec VPN对多链路场景支持不足 |
| 2.2 无法适应地铁无线多链路场景 |
| 3 面向无线多链路环境的IPSec VPN设计思路 |
| 3.1 整体体系架构 |
| 3.2 配置模块 |
| 3.3 MIS-IKE模块 |
| 3.4 隧道匹配模块 |
| 3.5 MA-IPSec模块 |
| 4 方案分析 |
| 4.1 隧道多线路复用方案分析 |
| 4.2 隧道负载均衡方案分析 |
| 4.3 隧道冗余方案分析 |
| 4.4 方案可用性分析 |
| 5 结语 |
(5)基于分布式路由器的IPSec研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题研究背景与意义 |
| 1.2 国内外研究现状与发展趋势 |
| 1.2.1 IPSec 实现的结构 |
| 1.2.2 IPSec 在路由器上的实现方案 |
| 1.3 本文主要研究内容 |
| 1.4 本文主要组织结构 |
| 1.5 本章小结 |
| 第2章 分布式路由器体系结构的研究 |
| 2.1 分布式路由器概述 |
| 2.1.1 路由器工作原理 |
| 2.1.2 分布式路由器与集中式路由器 |
| 2.1.3 路由器分布式架构特点 |
| 2.2 分布式路由器硬件体系结构 |
| 2.3 分布式路由器软件体系结构 |
| 2.3.1 软件平台结构 |
| 2.3.2 数据包处理流程 |
| 2.4 本章小结 |
| 第3章 IPSec 基本原理 |
| 3.1 IPSec 概述 |
| 3.1.1 IPSec 的体系结构 |
| 3.1.2 IPSec 提供的安全服务 |
| 3.1.3 IPSec 的优点 |
| 3.2 IPSec 基本概念 |
| 3.2.1 安全联盟 |
| 3.2.2 安全策略和安全策略库 |
| 3.2.3 认证算法与加密算法 |
| 3.3 IPSec 工作原理 |
| 3.3.1 IPSec 工作原理 |
| 3.3.2 IKE 工作原理 |
| 3.3.3 IKE 与 IPSec 关系 |
| 3.4 IPSec 工作模式 |
| 3.4.1 传输模式 |
| 3.4.2 隧道模式 |
| 3.5 本章小结 |
| 第4章 IPSec 系统的分布式设计与实现 |
| 4.1 IPSec 系统框架设计 |
| 4.1.1 分布式协议实现原理 |
| 4.1.2 IPSec 分布式实现框架 |
| 4.2 IPSec 功能模块 |
| 4.2.1 IPSec 功能模块划分 |
| 4.2.2 IPSec 功能模块关系 |
| 4.3 IPSec 系统处理流程 |
| 4.3.1 IPSec 报文处理的总体流程 |
| 4.3.2 IPSec 输入处理流程 |
| 4.3.3 IPSec 输出处理流程 |
| 4.3.4 IPSec 业务在板卡上的处理流程 |
| 4.4 IPSec 对等体保活机制 |
| 4.4.1 IPSec 对等体检测机制 |
| 4.4.2 DPD(失效对等体检测) |
| 4.4.3 BFD 代替 DPD 的可行性分析 |
| 4.5 本章小结 |
| 第5章 系统测试 |
| 5.1 测试环境 |
| 5.2 功能测试 |
| 5.2.1 手工方式建立 IPSec 安全隧道 |
| 5.2.2 IKE 方式建立 IPSec 安全隧道 |
| 5.3 性能测试 |
| 5.4 本章小结 |
| 第6章 总结与展望 |
| 6.1 本文工作总结 |
| 6.2 本文未来展望 |
| 参考文献 |
| 致谢 |
| 附录 1 攻读硕士学位期间发表的论文 |
| 附录 2 主要英文缩写语对照表 |
(6)VPN架构下基于IPSec协议的NAT-T研究与改进(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状综述及不足 |
| 1.2.1 国外研究现状综述 |
| 1.2.2 国内研究现状综述 |
| 1.2.3 当期研究的不足 |
| 1.3 论文研究工作及组织形式 |
| 1.3.1 论文研究工作 |
| 1.3.2 论文组织形式 |
| 第二章 相关研究及技术介绍 |
| 2.1 VPN 简介 |
| 2.1.1 VPN 的概念 |
| 2.1.2 VPN 的分类 |
| 2.1.3 VPN 的安全技术 |
| 2.2 IPSec 协议 |
| 2.2.1 IPSec 体系结构 |
| 2.2.2 IPSec 协议工作流程 |
| 2.2.3 安全关联(SA) |
| 2.2.4 认证头协议(AH) |
| 2.2.5 封装载荷协议(ESP) |
| 2.2.6 IKE |
| 2.3 NAT 技术实现 |
| 2.3.1 NAT 技术的定义 |
| 2.3.2 NAT 技术的分类 |
| 2.3.3 NAT 技术的应用策略 |
| 第三章 NAT 与 IPSec/IKE 主要的不兼容性及已有的解决方法 |
| 3.1 NAT 与 IPSec/IKE 主要的不兼容性 |
| 3.1.1 AH 摘要算法与 NAT 技术不兼容 |
| 3.1.2 ESP 的校验和与 NAT 技术不兼容 |
| 3.1.3 IKE 标识符与 NAT 技术不兼容 |
| 3.1.4 IKE 固定端口与 NAPT 技术不兼容 |
| 3.2 已有的解决方法 |
| 3.2.1 在 IPSec 之前先使用 NAT 实现 NAT-T |
| 3.2.2 RSIP 实现 NAT-T |
| 3.2.3 UDP 封装实现 NAT-T |
| 第四章 基于 IKE 协商第一阶段安全机制的改进 |
| 4.1 IKE 协商第一阶段 UDP 封装进一步分析 |
| 4.2 IKE 协商第一阶段 UDP 封装安全改进 |
| 第五章 基于信任的第三方的 NAT-T 穿越改进方法 |
| 5.1 NAT-T 穿越单向性问题 |
| 5.2 基于信任的第三方的 NAT-T 穿越方法改进 |
| 第六章 总结和展望 |
| 6.1 总结 |
| 6.2 展望 |
| 主要参考文献 |
| 攻读硕士学位期间出版或发表的论着、论文 |
| 致谢 |
(7)高性能IPSec客户端软件设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1. 课题背景 |
| 1.2. 国内外研究现状 |
| 1.3. 本文章节安排 |
| 第二章 IPSec协议与IKE协议概述 |
| 2.1. IPSec 协议 |
| 2.2. AH 协议 |
| 2.3. ESP 协议 |
| 2.4. 传输模式与隧道模式 |
| 2.5. 安全关联与安全策略 |
| 2.6. IKE 协议 |
| 第三章 软件设计 |
| 3.1. 软件整体架构 |
| 3.2. 用户层应用程序模块划分 |
| 3.2.1. IKE 模块 |
| 3.2.2. 网络模块 |
| 3.2.3. 界面显示模块 |
| 3.3. 内核层网络过滤驱动程序模块划分 |
| 3.3.1. 策略管理模块 |
| 3.3.2. 网络数据包获取模块 |
| 3.3.3. IPSec 高速处理模块 |
| 3.4. AES 新指令集 |
| 3.5. 应用程序与内核程序的通信 |
| 3.6. 32 位与 64 位操作系统兼容性问题 |
| 第四章 用户层应用程序详细设计与实现 |
| 4.1. 开发环境简介 |
| 4.2. IKE 协商模块 |
| 4.3. 网络模块 |
| 4.3.1. IKE 消息的收发 |
| 4.3.2. 失效对等体检测 |
| 4.3.3. VPN 更新 |
| 4.3.4. 客户端主机网络环境检测 |
| 4.4. 用户界面 |
| 第五章 内核层网络过滤驱动程序详细设计与实现 |
| 5.1. 开发环境简介 |
| 5.2. 策略管理模块 |
| 5.3. 网络过滤驱动层次的选择 |
| 5.4. NDIS IM 框架下 IPSec 驱动程序的实现 |
| 5.4.1. NDIS 框架介绍 |
| 5.4.2. 对发送数据包的 IPSec 处理 |
| 5.4.3. 对接收数据包的 IPSec 处理 |
| 5.4.4. MTU 问题的处理 |
| 5.4.5. TCP/IP Checksum Offload 问题的处理 |
| 5.5. WFP 框架下 IPSec 驱动程序的实现 |
| 5.5.1. WFP 框架介绍 |
| 5.5.2. 对发送数据包的 IPSec 处理 |
| 5.5.3. 对接收数据包的 IPSec 处理 |
| 5.5.4. MTU 问题的处理 |
| 5.5.5. TCP/IP Checksum Offload 问题的处理 |
| 第六章 软件测试与分析 |
| 6.1. 测试环境 |
| 6.2. 功能性测试 |
| 6.3. 性能测试 |
| 6.4. 操作系统版本兼容性测试 |
| 6.5. 测试结果分析 |
| 第七章 总结与展望 |
| 7.1. 本文工作总结 |
| 7.2. 未来工作展望 |
| 致谢 |
| 附录A |
| 参考文献 |
(8)安全网关基于量子加密算法VPN系统的研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 引言 |
| 1.1 课题研究背景 |
| 1.2 国内外研究动态 |
| 1.2.1 国内研究动态 |
| 1.2.2 国外研究动态 |
| 1.3 论文的主要工作 |
| 1.4 论文的组织结构 |
| 第2章 论文相关技术简介 |
| 2.1 量子密码加密原理 |
| 2.1.1 量子密码的定义 |
| 2.1.2 量子密钥分发原理 |
| 2.2 IPSEC VPN通信原理 |
| 2.2.1 IPSec VPN的定义 |
| 2.2.2 IPSec VPN典型应用场景 |
| 2.2.3 IPSec VPN封装模式 |
| 2.2.4 IPSec VPN通信流程 |
| 2.3 本章小结 |
| 第3章 安全网关系统架构设计与实现 |
| 3.1 安全网关系统架构设计 |
| 3.2 各模块功能设计与实现 |
| 3.2.1 WEBUI功能设计与实现 |
| 3.2.2 DATABASE功能设计 |
| 3.2.3 CLI主要功能设计与实现 |
| 3.2.4 NCM与KERNEL功能简介 |
| 3.3 本章小结 |
| 第4章 基于量子加密算法VPN功能的设计与实现 |
| 4.1 系统总体架构设计 |
| 4.2 各模块功能设计与实现 |
| 4.2.1 Webui界面模块(WEBUI) |
| 4.2.2 CLI命令行模块(CLI) |
| 4.2.3 证书管理模块(CERTM) |
| 4.2.4 数据库管理模块(DBM) |
| 4.2.5 IKE会话管理模块(IKEM) |
| 4.2.6 内核处理模块(KPM) |
| 4.2.7 加速卡管理模块(ECM) |
| 4.2.8 QKS会话管理模块(QKSM) |
| 4.2.9 日志管理模块 |
| 4.3 系统总体运行设计与实现 |
| 4.3.1 系统公共定义 |
| 4.3.2 主要接口函数设计 |
| 4.3.3 系统交互总体流程设计 |
| 5.3.4 源代码文件结构 |
| 4.4 本章小结 |
| 第5章 基于量子加密算法VPN系统功能验证 |
| 5.1 系统功能验证环境搭建 |
| 5.1.1 测试目的 |
| 5.1.2 测试网络环境拓扑 |
| 5.1.3 测试准备 |
| 5.2 功能验证 |
| 5.2.1. 未开启QKS功能 |
| 5.2.2 一端开启QKS功能 |
| 5.2.3 两端均开启QKS功能 |
| 5.2.4 系统配置管理 |
| 5.2.5 系统日志管理 |
| 5.3 实际效果示例 |
| 5.3.1 添加安全规则 |
| 5.3.2 添加VPN端点 |
| 5.3.3 添加VPN隧道 |
| 5.3.4 添加VPN设备(QKS) |
| 5.3.5 安全规则引用VPN隧道 |
| 5.3.6 VPN功能启用 |
| 5.3.7 VPN端点启用 |
| 5.3.8 VPN隧道启用 |
| 5.3.9 VPN状态监测 |
| 5.3.10 系统日志 |
| 5.4 本章小结 |
| 第6章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 在学期间发表的学术论文情况 |
| 作者简介 |
(9)基于NAT-PT的IPv4/IPv6转换机制研究和实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 目录 |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.2.1 国内研究现状 |
| 1.2.2 国外研究现状 |
| 1.3 NAT-PT技术研究现状 |
| 1.4 研究内容及论文结构 |
| 1.5 本章总结 |
| 第2章 IPv4向IPv6的过渡技术 |
| 2.1 隧道技术 |
| 2.2 双协议栈技术 |
| 2.3 协议翻译技术 |
| 2.3.1 NAT-PT技术 |
| 2.3.2 地址转换NAT模块 |
| 2.3.3 协议转换PT模块 |
| 2.3.4 应用层ALG模块 |
| 2.4 过渡技术分析与对比 |
| 2.4.1 几种转换技术的对比 |
| 2.4.2 如何选择合适的过渡机制 |
| 2.5 本章总结 |
| 第3章 基于Netfilter框架NAT-PT模型的设计 |
| 3.1 Netfilter框架工作原理 |
| 3.2 Netfiker框架中NAT-PT模块的设计 |
| 3.3 Netfilter内核模块化过程 |
| 3.3.1 钩子函数的编写设计和注册 |
| 3.3.2 实例 |
| 3.4 地址映射表查找算法的改进 |
| 3.4.1 传统的地址映射表查找算法及其缺陷 |
| 3.4.2 基于哈希表和多位树的地址映射表查找算法设计 |
| 3.4.3 算法性能分析 |
| 3.5 本章总结 |
| 第4章 IPSec和NAT-PT协同工作机制的设计 |
| 4.1 IPSec |
| 4.1.1 IP层的安全IPSec |
| 4.1.2 IPSec框架 |
| 4.2 IPSec不能穿越NAT-PT的原因 |
| 4.3 已有IPSec穿越NAT的解决方案 |
| 4.4 IPSec穿越NAT-PT的解决方案NAT-PT-UDP |
| 4.4.1 NAT-PT-UDP方案的原理 |
| 4.4.2 NAT-PT对IKE协议的进一步改进 |
| 4.4.3 修改密钥交换以穿越NAT-PT |
| 4.4.4 NAT-PT-UDP方案对IP数据包的处理 |
| 4.5 NAT-PT-UDP方案的分析 |
| 4.5.1 NAT-PT-UDP方案评价 |
| 4.5.2 NAT-PT-UDP方案可能产生的安全性问题 |
| 4.6 本章总结 |
| 第5章 兼容IPSec的NAT-PT转换网关的实现 |
| 5.1 概述 |
| 5.2 地址转换NAT模块 |
| 5.2.1 地址池的关键数据结构和处理函数 |
| 5.2.2 地址映射表的关键数据结构和处理函数 |
| 5.3 协议翻译PT模块 |
| 5.4 应用网关ALG模块 |
| 5.5 兼容IPSec的NAT-PT-UDP模块 |
| 5.5.1 修改能穿越NAT-PT的IPSec的IKE |
| 5.5.2 IP包处理过程 |
| 5.6 本章总结 |
| 第6章 NAT-PT翻译网关实验验证 |
| 6.1 NAT-PT实验环境 |
| 6.1.1 路由设置 |
| 6.1.2 NAT-PT翻译网关设置 |
| 6.1.3 DNS设置 |
| 6.2 实验测试 |
| 6.2.1 ICMP测试和访问DNS测试 |
| 6.2.2 NAT-PT转换网关的性能对比测试 |
| 6.3 本章总结 |
| 第7章 总结与展望 |
| 7.1 总结 |
| 7.2 进一步的工作方向 |
| 致谢 |
| 参考文献 |
| 附录 |
| 详细摘要 |
(10)IPSec与NAT工作冲突模型分析(论文提纲范文)
| 0绪论 |
| 1 NAT的基本原理和类型 |
| 2 IPSec的原理 |
| 2.1 IPSec运行模式 |
| 2.1.1 传输模式 |
| 2.1.2 隧道模式 |
| 2.2 IPSec功能 |
| 3 IPSec与NAT协同工作的冲突 |
| 3.1 NAT对AH的破坏 |
| 3.2 NAT对ESP的破坏 |
| 3.3 NAT对IKE的影响 |
| 4 IPSec与NAT协同工作的解决方法 |
| 4.1 UDP封装法是将报 |
| 4.2 TCP封装 |
| 5 结论 |
四、基于隧道IKE探测方案的研究与实现(论文参考文献)
- [1]高性能IPSec VPN工程设计与仿真[J]. 李超凡,刘伟,吴响,马凯. 实验技术与管理, 2021(02)
- [2]基于轻量级虚拟机监控器的安全计算环境[D]. 赵明. 电子科技大学, 2020(07)
- [3]基于IKE的IPSec技术在软件定义切片网络中的安全应用[D]. 杨文祺. 华中科技大学, 2019(03)
- [4]车地多链路无线通信系统安全保障技术研究[J]. 艾龙. 信息通信, 2019(03)
- [5]基于分布式路由器的IPSec研究与实现[D]. 余璐. 武汉邮电科学研究院, 2015(06)
- [6]VPN架构下基于IPSec协议的NAT-T研究与改进[D]. 刘杰. 淮北师范大学, 2014(09)
- [7]高性能IPSec客户端软件设计与实现[D]. 蒋嘉琦. 西安电子科技大学, 2014(11)
- [8]安全网关基于量子加密算法VPN系统的研究与实现[D]. 惠晨犇. 华北电力大学, 2013(S2)
- [9]基于NAT-PT的IPv4/IPv6转换机制研究和实现[D]. 王慧娟. 杭州电子科技大学, 2012(06)
- [10]IPSec与NAT工作冲突模型分析[J]. 汪晓璐. 科技信息, 2011(25)