《ipsec在ipv6中的研究与应用 (1)》由会员分享,可在线阅读,更多相关《ipsec在ipv6中的研究与应用 (1)(82页珍藏版)》请在金锄头文库上搜索。
1、西北师范大学 硕士学位论文 IPSec在IPv6中的研究与应用 姓名:李霞 申请学位级别:硕士 专业:计算机应用技术 指导教师:党小超 2008-11 西北师范大学硕士学位论文 西北师范大学硕士学位论文 摘摘 要要 IPv6 作为下一代互联网的核心正在经历着从实验室走向商业化、产业化的 发展进程中, 它的安全即意味着未来网络的安全, 作为IPv6基本组成部分的IPSec 正担负着这一使命。本文以 IPSec 作为研究对象,目的是研究和探讨如何应用 IPSec 在网络层为 IPv6 的网络通信提供安全保障, 以满足日益增长的网络安全需 求。 本文首先陈述了 IPv6 的产生、发展状况、它与 IP
2、v4 的区别及其主要特点。 然后重点阐述了 IPSec 的体系结构及其安全机制。 接着提出了不同工作模式下的 IPSec 在 IPv6 网络中的一些常用部署方案,并详尽地论述了 IPSec 在 Linux 2.6 平台上的实现和在 IPv6 校园实验网中的应用部署,从人工配置和 IKE 守护进程 自动配置两个层面,结合预共享密钥认证和 X.509 证书认证两种方式,从实践上 验证了 IKE 协商和 IPSec 的安全机制,实现了在网络层为 IPv6 提供安全保障的 初衷。最后总结全文,对今后的工作进行了展望。 在进行课题研究的过程中,本文所做的工作主要有以下几个方面。 1、研究了 IPv6 在
3、全球的发展状况,重点陈述了 IPv6 在我国的发展历程和 我国在促进 IPv6 标准化发展方面所做的工作; 2、深入研究了 IPv6 的安全协议集 IPSec,简要介绍了安全协议的报文,详 尽论述了 AH 认证过程和相关的认证技术,如 hash 函数、消息认证码 MAC 和 数字签名技术。在密钥交换和管理方面,着重阐述了 Diffie-Hellman 密钥交换的 具体过程、ISAKMP 报文的通用载荷,图解式地说明了 IKE 交换中所传递的消 息及其格式, 对主模式和积极交换模式中所生成的密钥信息和认证信息进行了形 式化描述; 3、通过对大量 IPSec 常用部署案例的分析,本文提出了一些保障
4、数据安全 和保证协议安全的常用解决方案, 并对 IPSec 隧道的嵌套部署及其处理过程也进 行了细致地表述; 4、在 IPSec 的应用方面,国内同课题的研究中没有人工配置 IPSec 连接的 相关表述。本文研究了人工配置 IPSec 连接这一过程,并和 IKE 守护进程自动配 置进行了对比,一方面阐明建立 IPSec 连接需要从哪些方面进行配置,另一方面 陈述这两种配置方式的优点和局限性,用以说明哪些工作可以由 IKE 守护进程 自动完成,但是哪些工作仍需人工配置; 5、国内同课题的研究在 IPSec 的应用方面对预共享密钥认证方式的应用很 第 II 页 第 II 页 西北师范大学硕士学位论
5、文 西北师范大学硕士学位论文 多,但对 X.509 证书的应用几乎没有。本文则加强了对这一问题的研究力度,对 X.509 证书的产生、应用以及为公钥证书产生指纹的技术都进行了详细论述,并 对预共享密钥的随机生成也进行了说明; 6、对于 IPSec 在 IPv6 校园实验网中的应用,本文以 Linux2.6 作为平台,从 安全需求分析入手,结合网络拓扑陈述了每一应用的具体部署过程。在连接测试 中结合实验数据分析、说明了安全策略 SP 和安全关联 SA 各自的作用和特点, 对 racoon自动协商IKE SA 和IPSec SA的动态过程以及IPSec SA的活动参数进 行了注解。最后,对每一具体
6、应用进行了客观的安全性评价。 关键词:IPSec,ISAKMP,安全关联,安全策略,虚拟专用网络 第 III 页 第 III 页 西北师范大学硕士学位论文 西北师范大学硕士学位论文 ABSTRACT As the core of the next generation Internet, Internet Protocol Version 6 (IPv6) is in the developing process from laboratory to commercialism or industrialization. Its security means the future networ
7、ks security. Be a part of IPv6, Internet Protocol Security (IPSec) is responsible for network security. The paper takes IPSec as research object, its aim is to study and discuss how to apply IPSec to provide security protection for IPv6 network communication in network layer, in order to satisfy inc
8、reasing network security desiderata. Firstly, this thesis presents the IPv6 origin, its developing status, the main differences between IPv4 and IPv6, as well as its primary characteristics. Then, it mainly states the architecture of IPSec and its security mechanism. It gives some ususl IPSec soluti
9、ons in IPv6 network under the different work mode. And then, it expatiates on IPSec implementation on the Linux 2.6 platform and IPSec applications in IPv6 campus trial network. From two ways of manual configuration and IKE daemon auto configuration, combining with the pre-shared key authentication
10、and x.509 certificate authentication, it validates IKE negotiation and IPSec security mechanism in practice, realizes the target protecting IPv6 network in network layer. Finally, the paper makes a summary of the whole text, and puts forward some expectation for the future work. In the course of res
11、earch , the work of this thesis are: 1. Studies the IPv6 developing status in the world, mainly introduces its developed experience in our home and what we have done in the IPv6 standard development way. 2. Deeply researches IPSec in IPv6, briefly introduces the message format of the security protoc
12、ols, states reasonedly the course and related technique of AH authentication, such as hash function, message authentication code, digital signature. In the way of key exchange and managemant, it discusses Diffie-Hellman key exchange process and the payload of ISAKMP datagram, illustrates the transmi
13、ted message in IKE exchange and its format, gives formula descriptions to the key and authentication message generated in the main exchange mode or the aggressive exchange mode. 第 IV 页 第 IV 页 西北师范大学硕士学位论文 西北师范大学硕士学位论文 3. By analyzing a number of IPSec configuration examples, it brings forward some u
14、sual IPSec solutions protecting data security and protocol security, detailedly speaks the nesting application of IPSec tunnel and its process. 4. In the way of IPSec applications, there is not such a research about manual configuration IPSec in the civil presently. This paper studys these problems,
15、 and compares manual configuration with the IKE daemon automatic configuration. On one hand it is to introduce how to configurate IPSec. On the other hand, it is to explain the merits and demerits of two configuration modes, all these are to account for what the IKE daemon can automatically does and
16、 what need administrators to do. 5. With regard to the IPSec application research in the internal, there are much more about the applications of pre-shared key authentication, but there is hardly little as to the X.509 certificate authentication applications. So this thesis deeply studies these problems, dwells on the generation and application of X.509 certificate, how to generate a fingerprint for a public key certificat
