基于国密标准的IPSec VPN服务器设计与实现

发布时间：2019-02-14 09:35

【摘要】：互联网已经成为国家经济和商业发展的重要组成部分，并不断渗透到国民生活的方方面面，这已是不争的事实。使用公共网络进行通信的互联网，刚开始设计时并没有考虑到网络安全问题，在无数的网络安全事件之后，人们逐渐认识到网络安全的重要性。在认识到铺设专用物理网络昂贵的建设和维护代价之后，人们提出了基于密码学使用公共网络建立的虚拟私有网络（VPN），我国国家密码管理局参考RFC标准也制定了相应的IPSecVPN技术规范。本文根据最新IPSecVPN技术规范2010版，实现了国密标准的IPSecVPN服务器。 本文的主要工作在两个方面：应用层和内核层。应用层IKE管理部分基于开源项目OpenSwan，在算法添加、IKE流程、消息格式、检测标准等四个方面进行修改。根据国密标准采用SM1作为对称分组加密算法，随机数采用物理噪声产生机制，，对RFC标准中相异于国密标准的IKE流程，特别是密钥交换过程没有采用DH算法等进行修改，同时完成用户层和内核层通讯中载荷的格式封装和内容指定等。内核层在Linux内核IPSec实现NETKEY的基础上，使用了三款硬件加密卡提供的加解密功能，在内核加解密框架中实现普通加解密算法和同步块加解密算法，在内核IPSec协议中添加国密标准中规定的新算法和标识符。同时对内核IPSec协议相异于国密标准部分进行修改。 本文在选定通用服务器架构的基础上，使用硬件加密卡提供的算法功能实现国密标准的IPSecVPN服务器，在经过多种加密卡和多种加解密算法机制的测试后，能够使服务器的吞吐率达到加密卡极限速率的一半以上。
[Abstract]:It is an indisputable fact that the Internet has become an important part of the economic and commercial development of our country and permeated every aspect of national life. The Internet, which uses public network to communicate, was not designed to take network security into account at first. After numerous network security events, people gradually realized the importance of network security. After recognizing the high cost of building and maintaining a private network based on cryptography, a virtual private network (VPN),) based on cryptography is proposed. Referring to the RFC standard, the National Cryptography Administration of our country has also formulated the corresponding IPSecVPN technical specification. In this paper, according to the latest IPSecVPN technical specification 2010 edition, the implementation of the national secret standard IPSecVPN server. The main work of this paper is in two aspects: application layer and kernel layer. The application layer IKE management part is based on the open source project OpenSwan, in four aspects: algorithm addition, IKE process, message format, detection standard, etc. According to the national secret standard, SM1 is used as the symmetric block encryption algorithm, and the random number uses physical noise generation mechanism. The IKE process in the RFC standard is different from the national secret standard, especially the key exchange process is not modified by the DH algorithm, etc. Simultaneously completes the user layer and the kernel layer communication load format encapsulation and the content assignment and so on. On the basis of the implementation of NETKEY in Linux kernel IPSec, the kernel layer uses the encryption and decryption function provided by three hardware encryption cards, and implements the common encryption and decryption algorithm and synchronous block encryption and decryption algorithm in the kernel encryption and decryption framework. Add new algorithms and identifiers specified in the country secret standard to the kernel IPSec protocol. At the same time, the kernel IPSec protocol is different from the national secret standard part. On the basis of selecting the universal server architecture, this paper uses the arithmetic function provided by the hardware encryption card to realize the IPSecVPN server of national secret standard. After the testing of various encryption cards and various encryption and decryption algorithms, Can make the server throughput to the encryption card limit rate of more than half.
【学位授予单位】：西安电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.05

【共引文献】

相关期刊论文 前3条

1 项顺伯;;SSL VPN网关的设计及其安全性分析[J];茂名学院学报;2010年04期

2 袁永军;;基于无线双网关的移动应急电力远动系统设计[J];浙江电力;2010年08期

3 冯泽波;吴晓平;任伟;;关于ElGamal加密和签名方案的启发式分析[J];信息网络安全;2014年05期

相关会议论文 前1条

1 蔡弘亮;李栋;吕志民;;IPSec-VPN网关中应用PKI的研究和实现方案[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年

相关硕士学位论文 前10条

1 王泽泽;基于IPSec的IKE协议研究与实现[D];太原理工大学;2011年

2 皮明震;VPN配置管理功能的设计与实现[D];北京交通大学;2011年

3 姜照林;基于IPSec协议的VPN穿越NAT的研究与实现[D];浙江工业大学;2011年

4 徐晋平;基于IPSec协议的Linux安全传输研究与实现[D];武汉科技大学;2004年

5 李修金;基于TMS320C6202的VPN加密卡的研究和实现[D];武汉大学;2004年

6 何文娟;电子政务理论及其关键技术研究[D];西安理工大学;2004年

7 郭亮;便携式维修终端PMA安全体系研究与实现[D];国防科学技术大学;2004年

8 黄志明;基于SIP的IP电话安全性研究与实现[D];华中科技大学;2005年

9 曾涛;Windows下基于IPSec的VPN软件开发的研究[D];电子科技大学;2006年

10 戴彬;基于IPSec的VPN技术穿越NAT的研究与设计[D];西南大学;2006年

本文编号：2422085