基于PKI与GRE的IPSec VPN系统的设计与实现

摘要

为了保障数据能在公共网络上安全可靠的传输,本文详细介绍IPSec(Internet ProtocolSecurity)安全架构,它的基本思想就是在公共网络上通过身份认证、访问控制、数据加密、数据完整性保护等措施来构建自己的虚拟专用网络。
　　 本文首先阐述了VPN(Virtual Private Network)的定义、优势及分类,通过IPSec与VPN相关联,以保护VPN中传输的数据安全性。本文重点对IPSec体系架构,功能组件、工作方式进行分析研究,并对IPSec中的算法进行了简单的介绍。
　　 在了解了IPSec中涉及的算法的基础上,通过对ECC(Elliptic Curve Cryptosystems)算法的研究,对其加密解密过程的分析,从现有的IKE协议出发,对身份认证的密钥协商算法Diffie-Hellman采用ECC改进。当身份认证采用数字证书时,数字证书运用ECC算法对其进行改进,ECC生成数字签名与验证数字签名过程。比较ECC与其他公钥加密算法的优势。
　　 本文简要介绍了PKI(Public—Key Infrastructure)的组成及认证方式,运用PKI改进IPSec网络方案,在IKE(Internet Key Exchange)中引入PKI对证书实施管理,证书则进行身份的验证,阐述PKI对IPSec VPN的改进方案及优势所在。
　　 IPSec隧道不支持多播或广播包的加密,本文利用GRE(Generic Routing Encapsulation)加以改进IPSec,用于承载组播与路由协议,应对不断增长的网络规模。
　　 使用dynamips搭建仿真实验台,SecureCRT作为配置工具,完成系统环境部署、系统安装,实现GRE over IPSec配置实现,更好的理解GRE over IPSec在实际中的运用,并对其连通性与状态进行测试分析。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景

1.2 国内外VPN发展与研究

1.2.1 VPN发展综述

1.2.2 国内外VPN产品

1.2.3 IPSec VPN相关课题研究现状

1.3 本文研究目的及意义

1.4 论文的组织结构

1.5 本章小结

第二章 IPSec VPN概述

2.1 VPN定义及优势

2.2 VPN的分类

2.3 VPN的基本功能特征

2.4 IPSec体系结构

2.5 AH认证头协议

2.5.1 AH协议头格式

2.5.2 AH模式

2.6 ESP

2.6.1 ESP协议包格式

2.6.2 ESP模式

2.7 IKE

2.7.1 IKE的认证方式

2.7.2 ISAKMP

2.7.3 IKE消息格式

2.7.4 IKE的交换模式

2.8 安全关联

2.8.1 SA的定义

2.8.2 SA数据库

2.9 IPSec工作原理

2.10 本章小结

第三章 IPSec VPN加密技术

3.1 对称加密算法

3.2 非对称算法

3.3 RSA密码系统

3.4 Diffie-Hellman密钥交换

3.5 数字签名

3.6 杂凑函数

3.7 本章小结

第四章 IPSec VPN加密算法改进

4.1 ECC算法概述

4.1.1 椭圆曲线相关概念

4.1.2 椭圆曲线定义定理

4.1.3 椭圆曲线密码加解密流程结

4.1.4 椭圆曲线密码加解密算法

4.2 IPSec VPN算法改进实现

4.2.1 ECC应用于Diffie-Hellman密钥交换

4.2.2 ECC应用于数字签名

4.3 安全性对比

4.4 本章小结

第五章 基于PKI的IPSec VPN

5.1 PKI简介

5.2 PKI认证技术

5.2.1 证书管理

5.2.2 数字证书

5.2.3 数字签名

5.3 VPN在IPSec的运用

5.3.1 传统的IPSec VPN实施

5.4 基于PKI的IPSec VPN

5.4.1 问题的提出

5.4.2 IPSec VPN身份认证过程

5.5 IPSec在Windows下的配置

5.5.1 预定义策略

5.5.2 查看本地IPSec策略

5.5.3 授权内部证书颁发策略

5.6 本章小结

第六章 GRE over IPSec系统

6.1 IPSec VPN与动态路由协议

6.2 GRE概述

6.2.1 GRE数据包结构

6.2.2 GRE配置

6.2.3 IPSec上的GRE隧道

6.3 GRE over IPSec配置实例

6.4 本章小结

第七章 总结与展望

7.1 本文总结

7.2 展望

参考文献

致谢

附录一 缩写词表

附录二 本文对应图表

作者简介