基于IPSec协议的Linux安全传输研究与实现-控制理论与控制工程专业论文.docxVIP

武汉科技大学硕士学位论文 武汉科技大学硕士学位论文 第1页 摘 要 随着Intemet的飞速增长，越来越多的企业和组织加入到Intemet中来，人们在对Internet 的依赖性增长的同时，对网络安全的需求也越来越强烈。但是以TCP／IP协议簇为基础的 Intemet网络，在其设计时，只考虑到了网络的连接性、开放性和兼容性，而没有考虑网 络的安全性，导致IP数据包在传输过程中完全可能被伪造或篡改，信息的完整性、机密 性、真实性得不到保证。IP安全协议IPSec(IP Security)的制定，则从根本上为毫无安全 性可言的“P网络”提供了安全保障。 IPSec协议是IETF安全工作组制定的一套可以用于IPv4和IPv6上的，具有互操作性 的，基于密码学的安全协议。它提供的安全服务包括访问控制、无连接的完整性、数据源 头的认证、防重放功能、数据保密和一定的数据流保密。IPSec通过使用两种通信安全协 议来提供上述安全服务：认证头AH和封装安全载荷ESP，以及像Intemet密钥交换IKE 协议这样的密钥管理过程和协议来提供安全服务。IPSec是专门为IP提供安全保障的，它 通过对IP数据包进行加密和认证，确保了IP数据包的机密性、完整性、真实性，从而保 证整个IP网络传输的安全性。 本文通过分析TCP／IP协议簇中目前常见的网络攻击和针对这些网络攻击采用的防御 技术和措施，提出从根本解决网络安全问题的技术——IPSec协议技术；认真研究了IPSec 协议体系结构：IPSec的传输模式、通道模式以及跟IPSec具体实现密切相关的安全关联 SA和密钥交换协议IKE等IPSec组成单元。在此基础上，讨论了建立在IP(IntemetProtoc01) 层上的基于IPSec的网络安全访问技术，包括端到端(peer to peer)的网络安全访问、网 关到网关(gateway to gateway)的网络安全访问(也就是虚拟专用网VPN)和主机到网关 (口eer to gateway)的网络安全访问三种安全访问模式。 在以上研究基础上，提出了基于P层的IPSec实现的结构模型和解决方法，并在开放 源码操作系统FreeBSD的内核中成功实现。通过数据监听、FTP网络服务等网络技术的测 试，证明所实现的IPSec模型，可在IP层中提供数据传输的机密性、完整性和真实性；解 决了IP数据报在网络中传输时的身份伪造、篡改、窃听等网络攻击问题，使网络传输安全 性得到很大的提高，在实际应用当中有广泛的实用前景。 关键词：网络安全，IPSec，安全通道，认证，加密，监听 第1I页 第1I页 武汉科技大学硕士学位论文 Abstract Along wim the rapid development of the Intemet．more and more corporations enter the Intemet．Thc dependent of people for the Intemet becomes better．At the sanle time，the requirement of Intemet-security becomes stronger more and more．But the Internet protocol based on TCP／IP is only considered connection，opening and compatibility without security at the design phase．So the IP datagram is probably forged or juggled in transmission，the integrity, confidentiality and authenticity of the information are not assuring．The establishment of IPSec (IP Security)protocol offers security indemnificatory for unsecured IP network． IP Security Protocol(IPSee)is the standard security IP protocols defined by the Intemet Engineering Task Force(IETF)，and it provides cryptographically-based security and interoperation at network l