發(fā)布時(shí)間：2020-12-05 07:41

　　VPN網(wǎng)絡(luò)作為互聯(lián)網(wǎng)中一種相對(duì)安全的通信網(wǎng)絡(luò),在日常通信,尤其是商業(yè)通信方面,發(fā)揮著越來越重要的作用。在符合RFC標(biāo)準(zhǔn)的IPSec VPN技術(shù)規(guī)范中,IKE主模式的身份認(rèn)證方式、加密算法部分均有不同程度的安全漏洞。為了進(jìn)一步提高IPSec VPN技術(shù)的安全性,國(guó)家密碼局提出了《IPSec VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》,此規(guī)范對(duì)符合我國(guó)國(guó)情的IPSec VPN開發(fā)具有很強(qiáng)的指導(dǎo)意義。本文基于《IPSec VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》,研究和實(shí)現(xiàn)了國(guó)密IPSec VPN中主模式、加密算法、網(wǎng)絡(luò)包過濾等安全機(jī)制的內(nèi)容,主要完成了以下工作。1.針對(duì)安全機(jī)制中存在的中間人攻擊與信息抵賴的安全漏洞,對(duì)RFC標(biāo)準(zhǔn)中的IKE主模式進(jìn)行了研究和分析。并以開源軟件OpenSwan為基礎(chǔ),設(shè)計(jì)并實(shí)現(xiàn)了主模式中采用數(shù)字證書方式進(jìn)行身份認(rèn)證的方法,提高了身份認(rèn)證過程中的安全性和權(quán)威性。2.對(duì)安全機(jī)制中RFC標(biāo)準(zhǔn)和國(guó)密標(biāo)準(zhǔn)采用的加密算法進(jìn)行了研究與比較。RFC標(biāo)準(zhǔn)采用開源算法,增加了被破解的風(fēng)險(xiǎn)。本文研究了國(guó)密算法的封閉性,基于Linux內(nèi)核的Crypto框架,以定制的硬件加密卡作為算法加解密運(yùn)算平臺(tái),設(shè)計(jì)并實(shí)現(xiàn)了在Linux系... 

【文章來源】：西安電子科技大學(xué)陜西省 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：103 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

數(shù)據(jù)傳輸階段ping結(jié)果圖

西安電子科技大學(xué)碩士學(xué)位論文內(nèi)核添加加密算法、硬件加密卡內(nèi)核模塊的編寫與運(yùn)行。(2) 測(cè)試方法完成 LEFT 和 RIGHT 兩臺(tái) IPSec VPN 網(wǎng)關(guān)的配置并連接好網(wǎng)絡(luò)，在兩臺(tái)網(wǎng)關(guān)上均執(zhí)行“service ipsec start”命令，啟動(dòng)網(wǎng)關(guān)上的 ipsec 服務(wù)。在其中的任意一臺(tái)網(wǎng)關(guān)上執(zhí)行“ipsec auto --up test”命令，與對(duì)方主機(jī)進(jìn)行 IKE協(xié)商和連接。連接完成后，執(zhí)行“ping 對(duì)方 IP”命令，對(duì)連接后的數(shù)據(jù)傳輸階段進(jìn)行檢測(cè)。

所以本測(cè)試單元只對(duì)tcpdump 工具抓到的主模式前四個(gè)數(shù)據(jù)包的格式進(jìn)行分析說明。其結(jié)果分別如圖6.6-6.9 所示。(4) 測(cè)試結(jié)果分析為了便于更加直觀地比較數(shù)據(jù)包格式中的載荷值，現(xiàn)將國(guó)密標(biāo)準(zhǔn)中的各載荷的屬性值進(jìn)行整理，如表 6.2 所示。圖6.6 消息 1 載荷格式圖將圖 6.6 所示的消息 1 數(shù)據(jù)包結(jié)構(gòu)與圖 3.11 中的載荷設(shè)計(jì)結(jié)構(gòu)相比較，實(shí)際抓到的消息 1 數(shù)據(jù)包結(jié)構(gòu)與設(shè)計(jì)的結(jié)構(gòu)完全相同。將圖 6.6 所示的數(shù)據(jù)包中各字段的屬性值與表 6.2 中對(duì)應(yīng)字段的屬性值比較，說明在協(xié)商過程中的認(rèn)證方式采用數(shù)字證書認(rèn)證，建議的 IKE 協(xié)商的加密算法套件為 SM1-SM2-SM3，在發(fā)起方和響應(yīng)方 cookie


本文編號(hào)：2899129