国密IPSec VPN安全机制研究与实现
发布时间:2020-12-05 07:41
VPN网络作为互联网中一种相对安全的通信网络,在日常通信,尤其是商业通信方面,发挥着越来越重要的作用。在符合RFC标准的IPSec VPN技术规范中,IKE主模式的身份认证方式、加密算法部分均有不同程度的安全漏洞。为了进一步提高IPSec VPN技术的安全性,国家密码局提出了《IPSec VPN网关产品规范》,此规范对符合我国国情的IPSec VPN开发具有很强的指导意义。本文基于《IPSec VPN网关产品规范》,研究和实现了国密IPSec VPN中主模式、加密算法、网络包过滤等安全机制的内容,主要完成了以下工作。1.针对安全机制中存在的中间人攻击与信息抵赖的安全漏洞,对RFC标准中的IKE主模式进行了研究和分析。并以开源软件OpenSwan为基础,设计并实现了主模式中采用数字证书方式进行身份认证的方法,提高了身份认证过程中的安全性和权威性。2.对安全机制中RFC标准和国密标准采用的加密算法进行了研究与比较。RFC标准采用开源算法,增加了被破解的风险。本文研究了国密算法的封闭性,基于Linux内核的Crypto框架,以定制的硬件加密卡作为算法加解密运算平台,设计并实现了在Linux系...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:103 页
【学位级别】:硕士
【部分图文】:
数据传输阶段ping结果图
西安电子科技大学硕士学位论文内核添加加密算法、硬件加密卡内核模块的编写与运行。(2) 测试方法完成 LEFT 和 RIGHT 两台 IPSec VPN 网关的配置并连接好网络,在两台网关上均执行“service ipsec start”命令,启动网关上的 ipsec 服务。在其中的任意一台网关上执行“ipsec auto --up test”命令,与对方主机进行 IKE协商和连接。连接完成后,执行“ping 对方 IP”命令,对连接后的数据传输阶段进行检测。
所以本测试单元只对tcpdump 工具抓到的主模式前四个数据包的格式进行分析说明。其结果分别如图6.6-6.9 所示。(4) 测试结果分析为了便于更加直观地比较数据包格式中的载荷值,现将国密标准中的各载荷的属性值进行整理,如表 6.2 所示。图6.6 消息 1 载荷格式图将图 6.6 所示的消息 1 数据包结构与图 3.11 中的载荷设计结构相比较,实际抓到的消息 1 数据包结构与设计的结构完全相同。将图 6.6 所示的数据包中各字段的属性值与表 6.2 中对应字段的属性值比较,说明在协商过程中的认证方式采用数字证书认证,建议的 IKE 协商的加密算法套件为 SM1-SM2-SM3,在发起方和响应方 cookie
本文编号:2899129
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:103 页
【学位级别】:硕士
【部分图文】:
数据传输阶段ping结果图
西安电子科技大学硕士学位论文内核添加加密算法、硬件加密卡内核模块的编写与运行。(2) 测试方法完成 LEFT 和 RIGHT 两台 IPSec VPN 网关的配置并连接好网络,在两台网关上均执行“service ipsec start”命令,启动网关上的 ipsec 服务。在其中的任意一台网关上执行“ipsec auto --up test”命令,与对方主机进行 IKE协商和连接。连接完成后,执行“ping 对方 IP”命令,对连接后的数据传输阶段进行检测。
所以本测试单元只对tcpdump 工具抓到的主模式前四个数据包的格式进行分析说明。其结果分别如图6.6-6.9 所示。(4) 测试结果分析为了便于更加直观地比较数据包格式中的载荷值,现将国密标准中的各载荷的属性值进行整理,如表 6.2 所示。图6.6 消息 1 载荷格式图将图 6.6 所示的消息 1 数据包结构与图 3.11 中的载荷设计结构相比较,实际抓到的消息 1 数据包结构与设计的结构完全相同。将图 6.6 所示的数据包中各字段的属性值与表 6.2 中对应字段的属性值比较,说明在协商过程中的认证方式采用数字证书认证,建议的 IKE 协商的加密算法套件为 SM1-SM2-SM3,在发起方和响应方 cookie
本文编号:2899129
本文链接:https://www.wllwen.com/kejilunwen/wltx/2899129.html
