IPSec和SSL技术在构建VPN中的应用研究

摘要

随着计算机网络技术的飞速发展，各种网络服务已经渗透到人们生活的各个领域，一方面给人类生活带来了巨大的便利和好处，另一方面又带来了前所未有的威胁。由于一些重要数据在网络上传输，所以其保密性、完整性和认证性必须得到保证。信息安全技术是解决这一问题的有效方法。 虚拟专用网VPN作为新一代安全技术以其能够提供简单、廉价、安全和可靠的Intemet访问隧道而备受青睐。目前，虚拟专用网主要有IPsec和SSL两种技术。IPSec(IP Security)协议提供的安全服务保证数据在网络上传输过程的机密性、完整性和抗重放保护以及提供网络访问控制能力。NAT(Network AddressTranslation，网络地址翻译)主要为了解决IPv4网络地址短缺问题，同时NAT也具有屏蔽内部网络拓扑结构的作用，为缺乏全局IP地址的公司提供Internet接入服务。一般的IPSec VPN只提供设备级认证(通过预共享密钥和数字证书)，而没有提供用户级认证，这样存在极大的安全隐患。仔细研究了认证扩展体制XAuth，然后基于RADIUS结合LDAP和OTP构造了一个适用、有效的方案可以提供用户级认证，验证用户动态口令和用户权限，并在实践中实现。 IPSec和NAT存在本质上的不兼容性。对IETF提供的UDP封装方案进行研究，并对它的一个改进方案进行了研究分析，找出其不足，使IPSec和NAT协调工作。现在SSL技术构建VPN已成为一个热点。SSL VPN比IPSec VPN有部署、管理成本低，有更好的可扩展性，有更细粒度的访问控制能力，有更好的经济性等优点。但也有自身的不足，需要更进一步改进。同时，由于实现技术和功能干差万别，SSL VPN还没有一个统一的认识和标准。分析了SSL协议并用SSLDump来跟踪SSL连接的过程消息，使对SSL的连接过程有一个感性认识，分析了SSLVPN的提出背景。通过研究最简单的SSL VPN-Web反向代理运行原理，揭示SSL VPN的本质，并提出了一个端到端安全的SSLVPN方案，最后对SSL VPN和IPSec VPN进行了一个对比分析。

目录

文摘

英文文摘

原创性声明及关于学位论文使用授权的声明

第1章绪论

1.1引言

1.2选题背景

1.2.1 IPSec VPN研究背景

1.2.2 SSL VPN研究背景

1.3主要工作

1.4论文结构

第2章相关理论介绍

2.1网络安全层次结构

2.2网络安全的目标

2.3密码学基础理论

2.3.1加密

2.3.2杂凑(Hash)函数和消息认证码(MAC)

2.3.3数字签名

2.3.4公开密码基础设施(PKI)及数字证书

2.3.5安全通道的基本模型

2.4 小结

第3章虚拟专用网(VPN)

3.1 VPN的概念

3.2 VPN的类型

3.3 VPN的优点

3.4 VPN关键技术

3.5小结

第4章IPSec VPN技术

4.1 IPSec安全体系结构

4.1.1 IPSec的概念

4.1.2 IPSec体系结构

4.1.3 IPSec的运行模式

4.1.4安全关联(SA)和安全关联数据库(SAD)

4.1.5安全策略(SP)和安全策略数据库(SPD)

4.1.6选择符

4.1.7 IPSec处理

4.2认证头(AH)

4.2.1 AH头部格式

4.2.2 AH的运行模式

4.2.3 AH处理

4.3封装安全载荷(ESP)

4.3.1 ESP头部格式

4.3.2 ESP运行模式

4.4 Internet密钥交换协议(IKE)

4.4.1 ISAKMP

4.4.2 IKE

4.5 IPSec认证和授权模型扩展

4.5.1一种有效RADIUS认证方法

4.6小结

第5章IPSec和NAT的协同工作

5.1引言

5.2 NAT技术

5.3 IPSec与NAT之间兼容性问题

5.4主要的兼容性问题的解决方案

5.5 UDP封装方案

5.5.1 IKE协商的改进

5.5.2 UDP封装方案运行过程

5.5.3 NAT-Keepalive载荷

5.5.4 IETF的UDP封装方案的分析

5.5.5解决方案设计及分析

5.6小结

第6章SSL VPN技术

6.1引言

6.2 SSL协议及原理分析

6.2.1 SSL协议简介

6.2.2 SSL协议的结构

6.3 SSL VPN原理及方案

6.3.1 SSL VPN技术引入

6.3.2 Web反向代理技术

6.3.3端到端的安全(End to End Security)

6.4 SSL VPN与IPSec VPN的对比分析

6.5 小结

第7章总结

参考文献

致谢

攻读硕士学位期间发表的学术论文

在读期间参与的项目情况

获奖情况