| 【中文题名】 | IPv6环境下IKEv2的形式化分析及应用研究 |
| 【英文题名】 | |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2007-8-29 |
| 【中关键词】 | IPv6,IPSEC,IKEv2,Coloured,Petri,Nets(CPN) |
| 【英关键词】 | IPv6,IPSEC,IKEv2,Coloured Petri Nets(CPN), |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>> |
| 【论文摘要】 |
IPSec(IP Security)为IPv4和IPv6提供可互操作的、高性能的、基于密码学的通信安全。Internet密钥交换协议(IKE Internet Key Exchange)是IPSec协议族的重要组成部分,其主要功能是实现IPSec安全参数的协商与管理,现在己经发展到IKEv2。IKEv2协议涉及的内容较为繁杂。当前,国际上有关IKEv2协议的实现仍处于起步阶段,还没有成熟的IKEv2产品进入市场,也没有公开的IKEv2协议实现报告可供参考。
首先,文章介绍了CNGI贵州师范大学IPv6驻地网络实验环境搭建,以及基于IPv6网络应用服务的建设作了简要介绍。在对IPSec体系结构进行分析、IKEv2的安全性及利用CPN tools分析的基础上,在IPv6网络环境下,介绍了对在linux平台上基于IPSEC-Tools工具实现IPSec各项功能的实验环境。
论文在第三章分析IPSec体系结构,介绍了IPSec安全协议AH和ESP协议及密钥管理ISAKMP和IKE协议,给出了IPSec中的安全联盟和安全策略;在第四章分析了现有的IKEv1协议,总结其存在的一些主要不足和缺陷。... |
| 【论文题纲】 |
|
摘要 |
6-7 |
|
Abstract |
7-8 |
|
第一章 前言 |
8-11 |
|
1.1 课题背景 |
8-9 |
|
1.2 选题依据 |
9 |
|
1.3 研究意义 |
9-11 |
|
第二章 CNGI贵州师范大学IPv6驻地网 |
11-30 |
|
2.1 CNGI—CERNET2简介: |
11-13 |
|
2.2 几种IPv6过渡机制 |
13-15 |
|
2.2.1 双栈技术 |
14 |
|
2.2.2 隧道技术 |
14-15 |
|
2.2.3 站内自动隧道寻址协议(ISATAP) |
15 |
|
2.3 IPv6路由协议 |
15-16 |
|
2.3.1 要考虑的因素 |
16 |
|
2.4 IPv6客户端系统 |
16-18 |
|
2.4.1 Windows系统 |
16-17 |
|
2.4.2 Linux系统 |
17-18 |
|
2.5 组网设计 |
18-21 |
|
2.5.1 建设原则 |
18-21 |
|
2.6 需求分析 |
21-22 |
|
2.7 总体设计 |
22-25 |
|
2.7.1 原有IPv4网络分析 |
22-23 |
|
2.7.2 待解决的问题 |
23 |
|
2.7.3 具体部署 |
23-24 |
|
2.7.4 技术路线 |
24-25 |
|
2.8 应用服务及IPv6实验 |
25-29 |
|
2.8.1 应用服务 |
25-29 |
|
2.8.2 IPv6实验 |
29 |
|
2.9 结论 |
29-30 |
|
第三章 IPSec协议族的研究 |
30-35 |
|
3.1 IPSec体系结构概述 |
30-32 |
|
3.1.1 IPSec体系结构 |
30 |
|
3.1.2 IPSec安全服务 |
30-32 |
|
3.2 安全联盟 |
32-33 |
|
3.3 安全策略 |
33 |
|
3.4 Internet密钥交换协议(IKE) |
33-35 |
|
第四章 IKEv2协议分析 |
35-55 |
|
4.1 IKEv1存在的缺陷 |
35-36 |
|
4.2 IKEv2协议规范 |
36-39 |
|
4.2.1 IKEv2载荷 |
36-38 |
|
4.2.2 交互类型 |
38-39 |
|
4.3 网络通信 |
39-41 |
|
4.3.1 重传时钟 |
39-40 |
|
4.3.2 消息ID的序列号 |
40 |
|
4.3.3 重复请求的窗口大小 |
40-41 |
|
4.3.4 状态同步与连接超时 |
41 |
|
4.3.5 地址和端口的灵活性 |
41 |
|
4.4 密钥的衍生 |
41-47 |
|
4.4.1 密码学概述 |
41-44 |
|
4.4.2 密码算法的协商 |
44-45 |
|
4.4.3 密钥材料的生成 |
45-46 |
|
4.4.4 安全关联重协商 |
46-47 |
|
4.5 IKEv2功能扩展 |
47-50 |
|
4.5.1 扩展身份认证EAP |
47-48 |
|
4.5.2 远程地址获取(Remote Address Acquisition) |
48-49 |
|
4.5.3 对NAT穿越的支持 |
49-50 |
|
4.6 IKEv2的可靠性和安全性分析 |
50-53 |
|
4.6.1 通信可靠性 |
50 |
|
4.6.2 抵御中间人攻击 |
50-51 |
|
4.6.3 抵御DoS攻击 |
51-52 |
|
4.6.4 强身份认证 |
52-53 |
|
4.6.5 完美向前保护PFS |
53 |
|
4.7 IKEv2相对于IKEv1的修改总结 |
53-55 |
|
4.7.1 简洁性 |
53 |
|
4.7.2 灵活性 |
53-54 |
|
4.7.3 可靠性 |
54 |
|
4.7.4 安全性 |
54 |
|
4.7.5 功能完善性 |
54-55 |
|
第五章 着色Petri网理论与CPN tools |
55-64 |
|
5.1 着色Petri网基本理论 |
55-60 |
|
5.1.1 Petri网的基本概念 |
55-56 |
|
5.1.2 着色Petri网的基本定义 |
56-60 |
|
5.2 CPN tools |
60-64 |
|
5.2.1 语义检查 |
60-61 |
|
5.2.2 仿真模拟 |
61 |
|
5.2.3 状态空间分析工具 |
61-64 |
|
第六章 IKEv2形式化描述及分析 |
64-75 |
|
6.1 构建模型前的假设或约定 |
64-65 |
|
6.2 IKEv2的CPN模型描述 |
65-68 |
|
6.2.1 CPN模型的ML描述 |
65-66 |
|
6.2.2 IKEv2的CPN模型 |
66-68 |
|
6.3 IKEv2的通信模型性质验证和分析 |
68-72 |
|
6.3.1 动态属性状态空间分析 |
68-72 |
|
6.4 密钥协议存在的问题 |
72-75 |
|
6.4.1 密钥生成方案存在的问题 |
72-73 |
|
6.4.2 针对协议发起的攻击 |
73-75 |
|
结论与讨论 |
75-77 |
|
致谢 |
77-78 |
|
参考文献 |
78-80 |
|
附录 |
80-81 |
|
| 【DOI】 | LunWen.ID:2.2008.375966 |
