| 【中文题名】 | IPSec系统中IKEv2的实现技术 |
| 【英文题名】 | |
| 【学科专业】 | 密码学 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2006-2-20 |
| 【中关键词】 | IPSec,IKEv2,PF_KEY,SA,Diffie-Hellman,策略 |
| 【英关键词】 | IPSec,IKEv2,PF_KEY,SA,Diffie-Hellman,policy,security gateway, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | IPSec(IP Security)为IPv4和IPv6提供可互操作的、高性能的、基于密码学的通信安全。Internet密钥交换协议(IKE,Internet Key Exchange)是IPSec协议族的重要组成部分,其主要功能是实现IPSec安全参数的协商与管理,现在已经发展到版本2(IKEv2)。IKEv2协议涉及的内容较为繁杂。当前,国际上有关IKEv2协议的实现仍处于起步阶段,还没有成熟的IKEv2产品进入市场,也没有公开的IKEv2协议实现报告可供参考。这些都给本文对于研究与实现IKEv2协议的工作带来了一定的困难。
论文首先对IKEv2协议的协商过程、网络通信和密钥衍生等关键内容进行了深入的研究,并对协议的安全性进行了分析。在此基础上,按照协议的“最小化实现”规范,提出了总体设计方案,该方案采用了模块化的实现思想,其关键功能模块有:系统管理模块、初始交换模块、CHILD_SA交换模块、载荷处理模块、配置接口模块、内核消息处理模块、密码算法接口模块、超时处理模块和网络消息处理模块。
设计并实现了IKEv2系统管理模块,其负责组织、调度各个模块之间的复杂关系,以便系统能够... |
| 【论文题纲】 |
|
摘要 |
4-5 |
|
Abstract |
5-6 |
|
第一章 引言 |
6-9 |
|
1.1 课题背景 |
6-7 |
|
1.2 课题难点 |
7 |
|
1.3 论文成果 |
7-8 |
|
1.4 论文结构 |
8-9 |
|
第二章 IPSec系统 |
9-19 |
|
2.1 IPSec简介 |
9-17 |
|
2.1.1 安全关联和安全数据库 |
10-12 |
|
2.1.2 认证头协议(AH) |
12-14 |
|
2.1.3 封装安全载荷协议(ESP) |
14-16 |
|
2.1.4 Internet密钥交换协议(IKE) |
16-17 |
|
2.2 目前IPSec技术发展情况 |
17-18 |
|
2.2.1 IKE技术 |
17 |
|
2.2.2 安全策略技术 |
17-18 |
|
2.3 本章小结 |
18-19 |
|
第三章 IKEv2的研究与分析 |
19-32 |
|
3.1 概述 |
19 |
|
3.2 协商过程 |
19-22 |
|
3.2.1 初始交换 |
20-21 |
|
3.2.2 CREATE_CHILD_SA交换 |
21-22 |
|
3.2.3 信息交换 |
22 |
|
3.3 网络通信 |
22-24 |
|
3.3.1 重传时钟 |
22-23 |
|
3.3.2 消息ID的序列号 |
23 |
|
3.3.3 重复请求的窗口大小 |
23 |
|
3.3.4 状态同步和连接超时 |
23-24 |
|
3.3.5 地址和端口的灵活性 |
24 |
|
3.4 密钥的衍生 |
24-27 |
|
3.4.1 密码算法的协商 |
24-25 |
|
3.4.2 密钥材料的生成 |
25-26 |
|
3.4.3 安全关联重协商 |
26-27 |
|
3.5 改进工作 |
27-29 |
|
3.5.1 IKEv1面临的主要问题 |
27 |
|
3.5.2 IKEv2的主要改进工作 |
27-29 |
|
3.6 协议的安全性 |
29-31 |
|
3.6.1 抵御中间人攻击 |
29-30 |
|
3.6.2 抵御拒绝服务攻击 |
30-31 |
|
3.6.3 完美向前保密 |
31 |
|
3.7 本章小结 |
31-32 |
|
第四章 IKEv2的实现 |
32-56 |
|
4.1 任务概述 |
32-33 |
|
4.1.1 任务目标 |
32 |
|
4.1.2 最小化实现 |
32-33 |
|
4.1.3 运行环境 |
33 |
|
4.2 总体设计 |
33-34 |
|
4.3 系统管理模块的实现 |
34-46 |
|
4.3.1 启动子模块 |
35-36 |
|
4.3.2 通信子模块 |
36-38 |
|
4.3.3 重发子模块 |
38-39 |
|
4.3.4 状态库子模块 |
39-41 |
|
4.3.5 协商子模块 |
41-45 |
|
4.3.6 错误输出机制子模块 |
45-46 |
|
4.4 内核消息处理模块的实现 |
46-50 |
|
4.4.1 PF_KEY第二版协议 |
46-50 |
|
4.4.2 PF_KEY协议的实现 |
50 |
|
4.5 密码算法接口模块的实现 |
50-53 |
|
4.5.1 分组密码算法接口 |
51 |
|
4.5.2 Diffie-Hellman算法接口 |
51-52 |
|
4.5.3 HMAC算法的接口 |
52-53 |
|
4.6 超时处理模块的实现 |
53-54 |
|
4.7 网络消息处理模块的实现 |
54-55 |
|
4.8 本章小结 |
55-56 |
|
第五章 系统测试 |
56-60 |
|
5.1 测试环境 |
56 |
|
5.2 实验测试 |
56-59 |
|
5.3 本章小结 |
59-60 |
|
第六章 结束语 |
60-62 |
|
6.1 工作总结 |
60 |
|
6.2 工作展望 |
60-62 |
|
参考文献 |
62-64 |
|
致谢 |
64 |
|
| 【DOI】 | LunWen.ID:2.2008.372086 |
