【摘要】：互聯(lián)網(wǎng)已經(jīng)成為國(guó)家經(jīng)濟(jì)和商業(yè)發(fā)展的重要組成部分，并不斷滲透到國(guó)民生活的方方面面，這已是不爭(zhēng)的事實(shí)。使用公共網(wǎng)絡(luò)進(jìn)行通信的互聯(lián)網(wǎng)，剛開(kāi)始設(shè)計(jì)時(shí)并沒(méi)有考慮到網(wǎng)絡(luò)安全問(wèn)題，在無(wú)數(shù)的網(wǎng)絡(luò)安全事件之后，人們逐漸認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。在認(rèn)識(shí)到鋪設(shè)專(zhuān)用物理網(wǎng)絡(luò)昂貴的建設(shè)和維護(hù)代價(jià)之后，人們提出了基于密碼學(xué)使用公共網(wǎng)絡(luò)建立的虛擬私有網(wǎng)絡(luò)（VPN），我國(guó)國(guó)家密碼管理局參考RFC標(biāo)準(zhǔn)也制定了相應(yīng)的IPSecVPN技術(shù)規(guī)范。本文根據(jù)最新IPSecVPN技術(shù)規(guī)范2010版，實(shí)現(xiàn)了國(guó)密標(biāo)準(zhǔn)的IPSecVPN服務(wù)器。 本文的主要工作在兩個(gè)方面：應(yīng)用層和內(nèi)核層。應(yīng)用層IKE管理部分基于開(kāi)源項(xiàng)目OpenSwan，在算法添加、IKE流程、消息格式、檢測(cè)標(biāo)準(zhǔn)等四個(gè)方面進(jìn)行修改。根據(jù)國(guó)密標(biāo)準(zhǔn)采用SM1作為對(duì)稱(chēng)分組加密算法，隨機(jī)數(shù)采用物理噪聲產(chǎn)生機(jī)制，，對(duì)RFC標(biāo)準(zhǔn)中相異于國(guó)密標(biāo)準(zhǔn)的IKE流程，特別是密鑰交換過(guò)程沒(méi)有采用DH算法等進(jìn)行修改，同時(shí)完成用戶(hù)層和內(nèi)核層通訊中載荷的格式封裝和內(nèi)容指定等。內(nèi)核層在Linux內(nèi)核IPSec實(shí)現(xiàn)NETKEY的基礎(chǔ)上，使用了三款硬件加密卡提供的加解密功能，在內(nèi)核加解密框架中實(shí)現(xiàn)普通加解密算法和同步塊加解密算法，在內(nèi)核IPSec協(xié)議中添加國(guó)密標(biāo)準(zhǔn)中規(guī)定的新算法和標(biāo)識(shí)符。同時(shí)對(duì)內(nèi)核IPSec協(xié)議相異于國(guó)密標(biāo)準(zhǔn)部分進(jìn)行修改。 本文在選定通用服務(wù)器架構(gòu)的基礎(chǔ)上，使用硬件加密卡提供的算法功能實(shí)現(xiàn)國(guó)密標(biāo)準(zhǔn)的IPSecVPN服務(wù)器，在經(jīng)過(guò)多種加密卡和多種加解密算法機(jī)制的測(cè)試后，能夠使服務(wù)器的吞吐率達(dá)到加密卡極限速率的一半以上。
[Abstract]:It is an indisputable fact that the Internet has become an important part of the economic and commercial development of our country and permeated every aspect of national life. The Internet, which uses public network to communicate, was not designed to take network security into account at first. After numerous network security events, people gradually realized the importance of network security. After recognizing the high cost of building and maintaining a private network based on cryptography, a virtual private network (VPN),) based on cryptography is proposed. Referring to the RFC standard, the National Cryptography Administration of our country has also formulated the corresponding IPSecVPN technical specification. In this paper, according to the latest IPSecVPN technical specification 2010 edition, the implementation of the national secret standard IPSecVPN server. The main work of this paper is in two aspects: application layer and kernel layer. The application layer IKE management part is based on the open source project OpenSwan, in four aspects: algorithm addition, IKE process, message format, detection standard, etc. According to the national secret standard, SM1 is used as the symmetric block encryption algorithm, and the random number uses physical noise generation mechanism. The IKE process in the RFC standard is different from the national secret standard, especially the key exchange process is not modified by the DH algorithm, etc. Simultaneously completes the user layer and the kernel layer communication load format encapsulation and the content assignment and so on. On the basis of the implementation of NETKEY in Linux kernel IPSec, the kernel layer uses the encryption and decryption function provided by three hardware encryption cards, and implements the common encryption and decryption algorithm and synchronous block encryption and decryption algorithm in the kernel encryption and decryption framework. Add new algorithms and identifiers specified in the country secret standard to the kernel IPSec protocol. At the same time, the kernel IPSec protocol is different from the national secret standard part. On the basis of selecting the universal server architecture, this paper uses the arithmetic function provided by the hardware encryption card to realize the IPSecVPN server of national secret standard. After the testing of various encryption cards and various encryption and decryption algorithms, Can make the server throughput to the encryption card limit rate of more than half.
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類(lèi)號(hào)】：TP393.05

【共引文獻(xiàn)】

相關(guān)期刊論文 前3條

1 項(xiàng)順伯;;SSL VPN網(wǎng)關(guān)的設(shè)計(jì)及其安全性分析[J];茂名學(xué)院學(xué)報(bào);2010年04期

2 袁永軍;;基于無(wú)線(xiàn)雙網(wǎng)關(guān)的移動(dòng)應(yīng)急電力遠(yuǎn)動(dòng)系統(tǒng)設(shè)計(jì)[J];浙江電力;2010年08期

3 馮澤波;吳曉平;任偉;;關(guān)于ElGamal加密和簽名方案的啟發(fā)式分析[J];信息網(wǎng)絡(luò)安全;2014年05期

相關(guān)會(huì)議論文 前1條

1 蔡弘亮;李棟;呂志民;;IPSec-VPN網(wǎng)關(guān)中應(yīng)用PKI的研究和實(shí)現(xiàn)方案[A];2007中國(guó)科協(xié)年會(huì)——通信與信息發(fā)展高層論壇論文集[C];2007年

相關(guān)碩士學(xué)位論文 前10條

1 王澤澤;基于IPSec的IKE協(xié)議研究與實(shí)現(xiàn)[D];太原理工大學(xué);2011年

2 皮明震;VPN配置管理功能的設(shè)計(jì)與實(shí)現(xiàn)[D];北京交通大學(xué);2011年

3 姜照林;基于IPSec協(xié)議的VPN穿越NAT的研究與實(shí)現(xiàn)[D];浙江工業(yè)大學(xué);2011年

4 徐晉平;基于IPSec協(xié)議的Linux安全傳輸研究與實(shí)現(xiàn)[D];武漢科技大學(xué);2004年

5 李修金;基于TMS320C6202的VPN加密卡的研究和實(shí)現(xiàn)[D];武漢大學(xué);2004年

6 何文娟;電子政務(wù)理論及其關(guān)鍵技術(shù)研究[D];西安理工大學(xué);2004年

7 郭亮;便攜式維修終端PMA安全體系研究與實(shí)現(xiàn)[D];國(guó)防科學(xué)技術(shù)大學(xué);2004年

8 黃志明;基于SIP的IP電話(huà)安全性研究與實(shí)現(xiàn)[D];華中科技大學(xué);2005年

9 曾濤;Windows下基于IPSec的VPN軟件開(kāi)發(fā)的研究[D];電子科技大學(xué);2006年

10 戴彬;基于IPSec的VPN技術(shù)穿越NAT的研究與設(shè)計(jì)[D];西南大學(xué);2006年

本文編號(hào)：2422085