基于IPv6的IPSec端到端自动配置方案研究

摘要

终端主机之间的安全服务可以在网络中的任一层实现，如在传输层、应用层使用SSL/TLS，在网络层使用IPSec。在这些安全措施中，IPSec最适合为终端主机之间的双向通信提供安全服务。IPSec实际上是一个端到端模式，而不是基于客户机——服务器模式设计的，因此所有的IP应用都可以使用IPSec来保护通信。另外，下一代网络层协议IPv6强制使用IPSec来提供安全服务，故IPSec应用将主要在IPv6网络中展开。 IKE作为IPSec的密钥交换协议，IPSec/IKE的很多参数都需要在建立安全信道的两端事先协商好，要求主机两端配置建立安全信道时所需的参数，因此，IPSec安全信道建立过程比较复杂。目前，大多数主机之间的端到端IPSec信道仍需通信双方手动配置共享密钥和安全策略文件，这大大限制了主机之间端到端访问在实际中的应用。 虽然已有研究方案提出了主机之间建立端到端IPSec安全信道的IPSec/IKE策略自动配置方法，然而这些解决方案都不完善，没能很好的解决IPSec/IKE策略自动协商配置方法的灵活性和效率问题，给系统引入了一些不必要的管理开销，所以需要对原有解决方案进行改进。新的方案既要能够实现IPSec策略的自动配置，同时还可以适应节点不同的分布特性，减少因管理网络节点带来的开销。 本文在对现有方案分析研究的基础上，提出了一种改进的、状态管理开销更小、适用于移动IPv6网络的端到端IPSec策略自动配置方案。新方案沿用了原有方案的IPSec策略自动配置思想，基于组播对成员进行状态管理，采用按需驱动的思想改进了在线成员列表的获取方式，解决了已有方案消息报文数量大的问题。最后，通过仿真与原有方案对比分析表明，新方案的状态管理开销更小，建立安全策略用时更少，在减少状态消息报文数量方面具有明显的优势。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章 绪论

1.1课题的背景及意义

1.2本文的研究内容

1.3结构安排

第2章IPSec协议研究

2.1 IPSec概述

2.1.1 IPSec安全体系结构

2.1.2安全关联

2.1.3完整性校验值的计算

2.1.4安全数据库

2.1.5 IPSec处理过程

2.2认证报头AH

2.3安全封装载荷ESP

2.4密钥交换协议IKE

2.4.1协议的组成

2.4.2 IKE协商

2.4.3 IKE协议的新发展

2.5小结

第3章基于IPv6的IPSec端到端自动配置方案

3.1基于亲密伙伴的IPSec安全通信方案

3.1.1组的建立

3.1.2加入组

3.1.3在线成员发现过程

3.1.4策略的获取与自动配置

3.1.5定期状态通告与策略的自动配置

3.1.6离开组

3.2基于移动IPv6网络的扩展方案

3.2.1管理节点的选取

3.2.2成员节点的认证与状态管理

3.2.3成员的IPSec策略自动配置

3.3对各方案的总结

3.3.1基于亲密伙伴的IPSec安全通信方案

3.3.2基于移动IPv6网络的扩展方案

第4章移动IPv6网络下的改进方案

4.1需要解决的问题

4.2新方案的设计思想

4.3基于组播技术的状态管理

4.3.1组播组的构建与管理

4.3.2状态管理节点的选取

4.3.3基于组播的消息通告方式

4.4新方案流程

4.4.1全网组播组和初始管理组的创建与加入

4.4.2子节点对管理节点的选择

4.4.3新节点的加入

4.4.4管理节点向认证服务器反馈状态消息

4.4.5管理节点的备份与更新

4.4.6成员节点获取安全组成员列表

4.4.7成员节点间的IPSec端到端自动协商配置

4.4.8节点移动后的策略协商

4.4.9节点移动后的状态管理

4.5小结

第5章基于NS-2的网络仿真与分析

5.1 NS2仿真环境

5.1.1仿真平台的选择

5.1.2 NS-2的主要仿真构件

5.1.3 NS-2仿真的层次

5.1.4 NS2移动IPv6环境

5.2改进方案在NS-2下的实现

5.2.1整体方案设计

5.2.2仿真平台的搭建

5.2.3关键类的实现

5.2.4实验参数设置

5.3实验与结果分析

5.3.1节点的随机运动与状态管理

5.3.2安全策略的自动协商配置

5.4小结

第6章总结与展望

参考文献

致谢

附录A攻读学位期间所发表的学术论文目录