李康康[1](2017)在《基于strongSwan的国密IPSec VPN安全方案设计与实现》文中研究说明随着互联网技术的快速发展,越来越多的人享受到了资源共享的便利,这极大地方便了人们的工作和学习,提高了工作效率和生活水平。然而,在开放的互联网大环境下,信息的传输易受到各种攻击和威胁,数据的安全性难以得到保证。传统的专用网络可以保证数据传输的安全性和可靠性,但其实现和维护成本过高,所以虚拟专用网(VPN)技术应运而生。最常用的VPN技术是IPSec VPN技术。现如今主流的IPSec VPN技术和设备使用的是国际组织制定的加密技术,其中的算法都是国际标准的算法,一般都在网络上公开,这样就会存在安全性不足的问题。所以本文基于开源IPSec项目strongSwan,依据国家密码管理局最新修订的国密算法标准,《IPSec VPN技术规范》,结合USB加密卡,在嵌入式Linux下设计了国密IPSec VPN的安全方案。论文主要的工作如下:1、研究了IPSec相关协议,在分析比较了开源IPSec项目strongSwan和Openswan的优缺点之后,决定采用strong Swan来设计方案。2、分析了strongSwan中的源码结构。在不改变strongSwan IKE和ESP协议整体流程基础上,替换了IKE和ESP协议所用的国际算法为相应的国密算法。因为软件加密安全性较差,所以使用USB加密卡来实现国密算法。3、精简了USB加密卡所用的Mass Storage驱动,突出了嵌入式简单高效的特点。USB加密卡与上位机之间的数据通讯使用的是Bulk-only协议,上位机发送特定命令字给加密卡,就可以实现和加密卡之间的通讯。因为直接开发Linux内核会比较困难,所以使用开源libusb库实现无驱开发,自主研发了一套加密卡和上位机之间的通讯程序,完成了对不同国密算法的实现。4、strongSwan工作过程中,需要验证通信双方身份。strongSwan默认使用RSA或者ECDSA X.509证书来验证身份,本文在替换完strongSwan中的公钥算法为国密SM2算法后,就可以使用国密SM2证书来验证双方证书了。同时,在Linux系统下设计实现了一个简易的CA中心,用来生成和管理证书。5、将修改好的strongSwan程序在Linux系统下交叉编译后,移植到嵌入式开发板中,搭建IPSec VPN环境进行测试。经分析,方案的安全性很高,方案实现的VPN性能良好,运行稳定。
巫祺炜[2](2016)在《高级持续性威胁(APT)隐蔽信道的检测研究》文中认为近年来,随着极光、震网等典型的APT攻击案例映入我们的视线,APT攻击由于其危害的严重性受到了极大的关注。本文首先介绍高级持续性威胁(APT)的特征以及典型的攻击案例。并分析近年来发生的典型攻击案例,试图找出威胁性较强的攻击过程,从而以其为目标进行检测。研究发现APT过程中威胁性最强的两个因素:C&C通道以及隐私数据传输通道。本文提出一种新型的基于VPN隐蔽信道实现,并阐述其危害的严重性与检测的意义。由于VPN一直以来被认为是较为安全的远程访问技术,所以缺少相应的检测技术。本文首先针对PPTP、IPSec以及OpenVPN协议进行研究分析,提出检测算法。检测模型没有使用传统的特征检测方式,而加入了多特征、多阶段的检测,大大提高了检测的准确性,降低了误报率。检测系统在Linux环境下利用Libpcap库函数实现,将检测分为控制、数据两部分,实现多阶段的检测。在实现后,分别对检测系统的正确率与准确率进行检测,验证检测系统的正确性与准确性。文章重点分析不同协议VPN中控制信道与数据信道两种不同阶段的显着特征,并尽量选取两个以上的检测特征作为检测向量。在APT环境下的信息安全研究中,VPN隐蔽信道检测系统具有显着的意义。
何兴杰[3](2015)在《基于国密标准的IPSec VPN服务器的内核系统设计与实现》文中提出互联网技术发展日新月异,它给人们生活带来方便的同时,伴随而来的安全问题也不容忽视。基于密码学技术在公共网络建立的虚拟私有网络(VPN)已经成为目前保障网络安全的重要手段之一,而IPSec协议作为Internet工程任务组(IETF)提出的一项Internet协议安全工程,主要负责网络层协议的安全,因其具有部署方便和强大的安全性,逐渐成为组建高性能VPN的首选方案。因此,IPSec VPN技术得到迅速推广,与其相关的产品已经在网络安全方面发挥着重要的作用。但是,由于IPSec协议密码算法的公开性、主要技术实现掌握在国外组织机构等问题,导致基于国际标准的IPSec VPN技术不适用于我国国情。本文的目的就是设计和实现一款基于国家密码管理局标准的IPSec VPN服务器的内核系统,主要是基于国家密码管理局制定的《IPSec VPN技术规范》的相关标准。在深入研究IPSec内核的实现架构基础上,对IPSec的内核层进行改造和优化,最终实现一个稳定的、部署方便的、符合国家密码管理局标准的IPSec VPN服务器内核架构系统。本文的主要研究工作有:1.拓展IPSec协议的密码算法,向内核加密框架注册符合国家密码管理局标准的对称加密算法SM4和哈希算法SM3,以异步块的调用方式供IPSec VPN服务器使用,可为通信实体间提供保密性和完整性的保障。2.优化IPSec内核调用外部密码算法的方式,分别设计了基于请求队列和生产者-消费者模式的调用框架,并经过实际测试,数据平均传输速率在TCP单向的情况下可达到400Mbps,与普通调用方式比较,效率提升30%。3.修改IPSec协商数据包格式,使IPSec数据包能穿越NAT网络,最终使系统能在NAT网络上部署应用。4.对IPSec内核的IPv6网络模块进行优化和裁剪,使本系统支持IPv6网络。综上所述,本文实现了《IPSec VPN技术规范》相关的性能需求,并在原有内核调用加密卡框架的基础上增加一个新框架,使系统性能有较大的提升。
李焦贤[4](2014)在《IPSec VPN加速技术的研究与实现》文中认为随着网络技术的飞速发展,网络传输速度不断提高,系统对关键网络设备的处理速度要求不断提高。IPSec VPN作为数据转发的安全平台,很容易成为网络系统的瓶颈。传统的IPSec VPN存在加解密模块性能低,没有充分利用多核系统优势等问题。本文主要对IPSec VPN的加速技术进行了深入细致的研究。针对目前广泛应用的IPSec VPN技术性能低的弱点,通过分析IPSec VPN加解密模块以及多核下网络协议并行,提出了两种IPSec VPN加速技术:多加密卡异步并行加密技术和多核系统下IPSec协议并行。基于提出的多加密卡异步并行加速技术,本文实现了一种用于IPSec VPN系统的多加密卡异步并行加密模型。该模型利用加密卡代替CPU做计算密集的加解密运算,以此来释放CPU,从而提高IPSec VPN系统的加解密的性能。在实现的多加密卡异步并行加密模型中,本文利用Linux提供的工作队列机制,改进了传统IPSec VPN系统的同步加密方式,使得加密卡以异步的方式并行工作。同时,在该模型中设计并实现了用于多加密卡加密任务调度的最小等待时间算法,使得数据包加解密处理所等待的时间最小化。多加密卡异步并行加密技术通过改进IPSec VPN系统的加解密模块的方式,提高了IPSec VPN系统的整体性能。基于多核IPSec协议并行技术,本文设计并实现了一种多核IPSec协议的并行模型。该模型利用了多队列网卡,CPU亲和性以及Linux软中断等机制,实现了基于数据包多核并行处理的IPSec VPN系统。针对Linux内核为每个数据包都分配与回收skbuffer结构,造成的内存管理模块效率不高的问题,本文提出的多核IPSec协议的并行模型中设计并实现了一种数据包队列重用算法,并详细介绍了在多核处理器环境下该重用队列算法的实现方法。本文对所提出的两种加速技术进行了实现和测试。测试结果表明,两种加速技术对IPSec VPN系统有显着的加速效果。最后,根据实验结果对两种加速技术进行了深入的分析。
薛瑞锋[5](2014)在《Linux下基于IPSec over Http协议的VPN设计与研究》文中研究说明随着Internet的迅速发展,网络应用越来越多样性、广泛性。人们认识到网络安全的重要性。通过VPN技术可以解决网络通信安全问题,其中IPSec VPN以稳定、安全着称,IPSec通过使用加密和认证技术确保网络通信的安全,但IPSec在应用中存在与防火墙以及NAT设备的兼容性问题,即IPSec报文不能通过端口限制严格的防火墙以及NAT设备。针对这一问题提出了IPSec over Http协议。本文概要地介绍了VPN的主要功能、常见的分类、VPN中用到的关键技术以及实施VPN的优势;而后对IPSec系统进行详细的概述,包括其体系结构、工作原理、工作流程以及IPSec系统中的SA、SP、AH、ESP等组件。然后在Linux系统下设计并实现了IPSec系统。最后针对IPSec报文无法穿越严格的防火墙访问规则以及无法穿越NAT设备,同时借鉴了穿越防护墙的隐蔽通信常用方法(HTTP隧道技术),利用HTTP报文来承载IPSec报文来实现防火墙及NAT的穿越,将这种方式称为IPSec over Http通信,其封装后的报文称为IPSec over Http协议。并给出了IPSec over Http系统的整体结构以及关键模块的实现方法,并搭建了测试环境,对协议进行测试验证,最后指出了系统存在的问题。
罗伟潮[6](2013)在《基于IPSec-VPN的数字证书认证技术的研究与实现》文中指出IPSec-VPN是目前VPN技术最广泛的实施方式,Femto安全网关使用IPSec-VPN作为实施数据安全的手段,为Femto基站与核心网数据通信提供安全服务。但IPSec本身的身份认证功能较弱,不足以处理Femto系统大量基站的认证接入工作。公钥基础设施PKI(Public Key Infrastructure)是一个标准化、通用的安全平台,可以弥补IPSec身份认证功能的不足,数字证书则可以解决Femto系统各网元相互间的信任问题。EAP-TLS协议提供了一种基于数字证书的双向认证方式,安全性和性能开销能较好地平衡。本文的研究课题是根据IPSec-VPN的原理,以及Femto安全网关的架构和技术特点,设计一种应用于安全网关的数字证书认证方案。该方案引入PKI作为实施身份认证的体系,遵循PKIX标准的工作流程及X.509v3的数字证书格式,采用EAP-TLS协议作为实施证书认证的流程处理,并在Femto基站与安全网关间使用IKEv2协议封装认证消息,安全网关与AAA间使用Radius协议封装认证消息来进行认证流程的消息交互,由安全网关和AAA对Femto基站的认证消息共同处理。同时,该方案根据开源软件strongswan的架构及特性,实现了证书认证的流程,以及方案相关参数的动态配置。本文首先介绍了VPN技术和IPSec协议的概念和关键技术,分析IPSec-VPN的实施方式;然后指出IPSec身份认证功能的不足,引入数字证书认证的概念,分析了PKI和证书认证的基本概念和主要标准、数字证书X.509的格式标准以及EAP-TLS协议的原理和交互流程;接着深入分析了安全网关的硬件架构和软件架构,阐述了安全网关数字证书认证方案的设计,方案使用EAP-TLS协议作认证接入的消息交互实现,通过TLS握手来生成加密使用的主密钥,并以基站到安全网关再到AAA作为方案的总体架构,同时研究了方案的具体实现,以及通过外部配置管理系统读写strongswan配置文件的方式对方案相关参数动态配置的实现;最后通过对数字证书认证功能模块的测试及分析,验证了该方案的正确性及实际应用价值。
胡国强[7](2013)在《Linux下基于IPv6的混合VPN组网方式的设计与实现》文中进行了进一步梳理IPv6技术体系经过多年的高速发展,在许多领域有着广阔的应用前景,IPv6已经成为未来主流的IP技术。同时,IPv6协议的广泛应用也给互联网带来了新的安全隐患。VPN技术采用加密和认证的方法保障用户的个人数据在公共网络中安全的传输。目前应用最为广泛的VPN技术包括IPSec VPN和SSL VPN,在实际应用中这两种技术各有长短,单一的技术无法满足用户多样性的需求亦没有办法为用户提供全方位的保护。本文对IPv6网络的发展及其应用中的安全问题进行了分析,针对IPv6网络存在的安全问题采用IPSec VPN和SSLVPN相结合的技术进行解决,在测试环境中基于Linux混合VPN组网方式实现了混合VPN系统。本文主要工作如下:(1)对IPSec VPN和SSL VPN的技术进行了分析,并对这两种VPN技术进行了结合,在IPv6网络中设计了一种新的混合VPN组网方式。(2)通过在Linux操作系统中搭建多种环境对这种混合VPN组网方式进行了实现。(3)在(Windows XP、Windows7、Windows8)系统中对混合VPN系统的IPSec VPN和SSL VPN的综合性能进行了测试和分析,实验表明混合VPN能解决IPv6网络存在的部分安全问题。测试表明,这种混合系统在IPv6网络中完全能实现IPSec VPN和SSLVPN的全部功能,并且能满足用户的多种需求,还能全方位为用户数据提供保护,同时在一定程度上能有效防御多种网络攻击,因此这种混合VPN系统在未来的IPv6网络组建中有一定的参考价值。
李石磊[8](2013)在《基于IPsec协议的VPN代理网关系统的研究与实现》文中研究说明Internet的迅猛发展始于20世纪90年代,随着NSFnet的建设和开发,网络节点数和用户数迅速增加。Internet也迅速向全球发展,世界上许多国家纷纷接入到Internet上,使网络上的通信量急剧增长。Internet上有丰富的信息资源,有些信息具有私密性,却遭到泄露和窃取,有些恶意信息,却又无法进行过滤。基于IPsec协议的VPN系统为通信的两端建立了一条使用加密流量的通道,这对恶意流量和涉密内容流量的检测提出了新的课题。本文对解决这一课题进行了研究,并提出了一种基于IPsec协议的代理网关系统的解决方案,并设计了一套轻量级系统,实现了对IPsec流量的监控和透明传输。本文首先介绍了VPN的分类及IPsec VPN的特征和发展历程,并对Linux系统下的IPsec VPN的实现工具进行了介绍;然后详细分析了IPsec协议族的相关协议和组成部分,其中包括Internet密钥交换协议(IKE),认证头(AH协议),封装安全载荷(ESP协议),安全关联,安全策略;接着设计了基于IPsec协议的代理网关系统的总体框架,为系统划分功能模块,分析各模块需完成的功能和设计方案。然后,通过分析和测试影响系统性能的指标,提出了两种新的技术方案,一种为并行协议栈技术在系统中的应用,另外设计了一种新的用户空间加/解密API,并通过与基于Netlink接口的用户空间加/解密API进行对比,展示了该API接口的设计灵活性和可定制性,通过与用户空间实现加/解密算法逻辑的方式进行对比,展示了该API接口的高效性。然后,重点阐述了基于IPsec协议的代理网关系统在Linux平台下的设计和具体实现,并在实现过程中详细描述了模块中关键技术的实现方法。最后,在Linux平台下进行了仿真实验和测试,并对测试结果和性能指标进行了分析。本文以实际项目需求为背景,研究和实现了一种轻量级的基于IPsec协议的VPN代理网关系统,对于企业级系统的应用具有实际意义。另外,本文在具体应用中提出的用户空间加/解密API接口,可以方便的应用于Linux平台下其他网络安全产品的开发,从而可以方便的使用内核空间中成熟的Crypto API架构,可以提高开发效率,并能够为具体的功能需求进行功能定制。
陈明[9](2013)在《改进的IPSec VPN系统的设计与实现》文中研究说明随着信息化时代的快速发展,Internet的应用也日益广泛。Internet提供了极其丰富的网络服务,越来越多的信息通过Internet进行共享和传输,如何保证信息的安全性就越发显得重要。Internet是一个以TCP/IP协议为基础的开放式的分组交换网,而IP协议本身并不提供安全性服务,在Internet上的数据几乎都是采用明文方式进行传输,致使这些数据很容易被第三方截取或篡改等,信息的安全性得不到保障。在众多的网络安全解决方案中,IPSec协议由于其安全可靠、互操作性及实施灵活等优点而被广泛应用,特别是在VPN(虚拟专网)技术中,IPSec更是几乎成为一种标准。但是IPSec又是一个比较复杂的协议,并且还不十分完善。因此,有必要对IPSec协议和基于它的VPN系统继续进行研究和探讨。本文主要完成以下三个方面的内容:1.对VPN的工作原理、关键技术、相关协议标准及网络安全等主要问题做比较详细的研究和分析,着重对VPN的三种协议(SOCKS v5、IPSec、PPTP/L2TP)在安全性方面进行分析和比较。2.对IPSec协议的体系结构、运行模式及IPSec中AH、ESP、IKE等组成模块做系统的研究和分析。同时对IPSec协议各组成模块如何相互协作并为IP提供安全保护的工作机制做进一步的讨论。3.在综合分析了实际应用、网络层关系、运行效率等因素,为了应对IPSec的复杂性,本文以现有的体系为基础,创建了一个完善的改进方案,在此基础上认真分析和研究了如何实现改方案,最终成功的使其在现有体系上得到实现。最后测试了系统的各项功能,另外还进一步研究和评价了测试结果。本文的根本目的是保障网络通信的安全性和在开放的Internet中实现异地的局域网之间的虚拟连接,为数据传输提供完整性、认证性和保密性,并且尽可能提高其传输效率,应用于各种访问控制中。本文的工作为在实际应用环境中利用IPSec实现VPN提供了一种方法,同时为如何通过IPSec来更有效的确保VPN通信的安全性提供了一个新思路。
邱文真[10](2012)在《集群式IPsec VPN代理系统的研究与实现》文中提出随着Internet的应用和网络技术的发展,网络环境也随之复杂化,对网络流量的恶意破坏、窃听、篡改成为威胁互联网安全发展的主要因素,保护信息安全成为目前日益关注的核心问题,同时网络访问量的指数级的增长,导致主干网络链路上流量负载压力变大,可能出现网络堵塞的现象,阻碍了用户访问互联网信息。为了防止黑客的攻击,保护访问信息的私密性、完整性,制造便捷、安全的网络环境,有必要提供集群式IPsecVPN代理服务,而研究集群式IPsec VPN代理的关键技术,对整个集群系统性能提升是至关重要的。本文在研究集群式IPsec VPN代理的相关关键技术的基础上,结合IPsec协议族独有的特征,针对提升集群式IPsec VPN代理的整体性能,设计了并行化IPsec VPN代理,提出一种针对IPsec VPN代理集群的负载均衡方法与基于网络层的高效代理转发技术。本文的主要工作如下:首先,本文针对并行化IPsec VPN代理部署方式,提出了一种基于节点多属性决策和任务回迁的IPsec流量负载均衡方法,克服了传统的IPsec VPN网关的性能瓶颈的缺陷,将不确定多属性决策模型与任务回迁的思想相结合,通过离差最大化的思想进行负载状态的评价属性权重自适应调整,得到负载状态综合评价值来进行决策,动态选择最适合处理当前负载任务的IPsec VPN代理服务器,同时以任务回迁提供对负载决策的一种补偿机制,还通过对比实验验证了所提出的方法的有效性。其次,提出一种基于网络层的高效代理转发技术,使得网络流量无需通过运输层或应用层代理转发,并且无缝的兼容Linux IPsec协议栈,避免了流量从内核态到用户态的数据切换、频繁的系统调用以及运输层复杂的机制,从而节省了资源消耗,减少了访问代理转发的延时,提升代理转发效率。通过实验,分析所提出的技术的高效性。最后,提供一种集群式IPsec VPN代理系统,结合所提出的负载均衡方法与代理转发技术,提高了集群系统的整体性能。通过本文的研究能够在一定程度上解决网络的不安全性、不稳定性问题,对下一代互联网的IPsec协议的普及实施奠定了基础,有利于促进互联网积极的发展。
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
| 摘要 |
| ABSTRACT |
| 符号对照表 |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 选题背景 |
| 1.2 研究现状 |
| 1.2.1 IPSec VPN研究现状 |
| 1.2.2 国密VPN研究现状 |
| 1.3 研究内容和目的 |
| 1.4 论文结构 |
| 第二章 安全方案基础研究 |
| 2.1 IPSec协议研究 |
| 2.1.1 IPSec体系结构 |
| 2.1.2 AH数据包封装协议 |
| 2.1.3 ESP数据包封装协议 |
| 2.1.4 安全联盟和安全联盟数据库 |
| 2.1.5 IKE协议 |
| 2.2 IPSec相关密码学基础 |
| 2.2.1 对称加密算法 |
| 2.2.2 非对称加密算法 |
| 2.2.3 杂凑算法 |
| 2.2.4 Diffie-Hellman算法 |
| 2.2.5 PKI和数字证书 |
| 2.3 strongSwan简介 |
| 2.3.1 strongSwan和Openswan比较 |
| 2.3.2 strongSwan整体结构 |
| 2.3.3 strongSwan工作机制 |
| 2.4 USB通讯简介 |
| 2.4.1 USB协议简介 |
| 2.4.2 Bulk-only协议 |
| 2.5 本章小结 |
| 第三章 国密IPSec VPN安全方案设计 |
| 3.1 IPSec VPN总体架构 |
| 3.2 IPSec VPN硬件设计 |
| 3.2.1 硬件平台选择 |
| 3.2.2 硬件加密卡的选择 |
| 3.3 IPSec VPN软件设计 |
| 3.3.1 软件框架概述 |
| 3.3.2 USB加密卡驱动设计 |
| 3.3.3 USB加密卡通讯方案设计 |
| 3.3.4 strongSwan修改机制 |
| 3.3.5 简易CA设计 |
| 3.4 本章小结 |
| 第四章 国密IPSec VPN安全方案软件实现 |
| 4.1 软件实现概述 |
| 4.2 USB加密卡驱动精简 |
| 4.3 USB加密卡通讯实现 |
| 4.4 strongSwan修改 |
| 4.4.1 SM4算法的替换 |
| 4.4.2 SM3算法的替换 |
| 4.4.3 SM2算法的替换 |
| 4.5 IPSec VPN的CA实现 |
| 4.6 IPSec VPN的嵌入式移植 |
| 4.6.1 IPSec相关Linux内核配置 |
| 4.6.2 编译移植openssl库 |
| 4.6.3 编译移植gmp库 |
| 4.6.4 编译移植SQLite库 |
| 4.6.5 编译移植USB通讯库 |
| 4.6.6 编译安装strongSwan |
| 4.7 本章小结 |
| 第五章 国密IPSec VPN安全方案测试与分析 |
| 5.1 测试环境 |
| 5.1.1 软件环境 |
| 5.1.2 硬件测试环境 |
| 5.1.3 strongSwan关键文件配置 |
| 5.2 IPSec VPN功能测试 |
| 5.2.1 strongSwan IKE过程测试 |
| 5.2.2 strongSwan ESP过程测试 |
| 5.3 IPSec VPN安全方案分析 |
| 5.3.1 方案安全性分析 |
| 5.3.2 VPN性能分析与比较 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 主要工作总结 |
| 6.2 问题与展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 研究内容 |
| 1.4 论文结构 |
| 第二章 高级持续性威胁(APT)与隐蔽信道 |
| 2.1 APT的定义 |
| 2.2 APT的特性 |
| 2.2.1 针对性 |
| 2.2.2 持续性 |
| 2.2.3 隐蔽性 |
| 2.2.4 阶段性 |
| 2.3 APT攻击案例与阶段分析 |
| 2.3.1 APT攻击案例 |
| 2.3.2 APT阶段分析 |
| 2.4 隐蔽信道 |
| 2.4.1 隐蔽信道的由来 |
| 2.4.2 隐蔽信道于APT攻击中的作用 |
| 2.5 VPN技术 |
| 2.5.1 VPN概述 |
| 2.5.2 VPN隧道与分类 |
| 2.6 VPN隐蔽隧道 |
| 2.6.1 恶意VPN隐蔽信道 |
| 2.6.2 检测VPN隐蔽信道的意义 |
| 2.7 小结 |
| 第三章 VPN检测模型概述 |
| 3.1 检测模型的原则与通用流程图 |
| 3.1.1 检测模型的原则 |
| 3.1.2 检测模型通用流程图 |
| 3.2 PPTP VPN检测 |
| 3.2.1 PPTP概念 |
| 3.2.2 PPTP控制连接 |
| 3.2.3 PPTP控制连接检测算法 |
| 3.2.4 PPTP控制连接检测流程 |
| 3.2.5 PPTP数据信道 |
| 3.2.6 PPTP数据信道检测算法 |
| 3.2.7 PPTP数据信道检测流程 |
| 3.3 IPSEC VPN检测 |
| 3.3.1 IPSec概念 |
| 3.3.2 IPSec安全协商 |
| 3.3.3 IPSec安全协商检测算法 |
| 3.3.4 IPSec安全协商检测流程 |
| 3.3.5 IPSec数据信道 |
| 3.3.6 IPSec数据信道检测算法 |
| 3.3.7 IPSec数据信道检测流程 |
| 3.4 OPENVPN检测 |
| 3.4.1 OpenVPN概念 |
| 3.4.2 OpenVPN控制信道 |
| 3.4.3 OpenVPN控制信道检测算法 |
| 3.4.4 OpenVPN控制信道检测流程 |
| 3.4.5 OpenVPN数据信道 |
| 3.4.6 OpenVPN数据信道检测算法 |
| 3.4.7 OpenVPN数据信道检测流程 |
| 3.5 小结 |
| 第四章 检测模型的实现 |
| 4.1 开发环境 |
| 4.1.1 软件环境 |
| 4.1.2 虚拟机环境 |
| 4.1.3 网络数据包捕获开发包Libpcap |
| 4.2 数据包捕获 |
| 4.2.1 打开捕获设备 |
| 4.2.2 循环捕获数据包与释放资源 |
| 4.3 PPTP控制连接检测 |
| 4.3.1 PPTP控制连接数据结构 |
| 4.3.2 PPTP控制连接头部位置获取 |
| 4.3.3 PPTP控制连接检测条件 |
| 4.3.4 PPTP控制连接输出函数 |
| 4.4 PPTP数据信道 |
| 4.4.1 PPTP数据信道数据结构 |
| 4.4.2 PPTP数据信道头部位置获取 |
| 4.4.3 PPTP数据信道检测条件 |
| 4.4.4 PPTP数据信道输出函数 |
| 4.5 IPSEC安全协商 |
| 4.5.1 ISAKMP数据结构 |
| 4.5.2 ISAKMP头部位置获取 |
| 4.5.3 ISAKMP检测条件 |
| 4.5.4 ISAKMP输出函数 |
| 4.6 IPSEC数据信道 |
| 4.6.1 ESP数据结构 |
| 4.6.2 ESP检测条件 |
| 4.7 OPENVPN控制信道 |
| 4.7.1 TCP OpenVPN控制信道数据结构 |
| 4.7.2 UDP OpenVPN控制信道数据结构 |
| 4.7.3 OpenVPN头部位置获取 |
| 4.7.4 TCP OpenVPN控制信道检测条件 |
| 4.7.5 UDP OpenVPN控制信道检测条件 |
| 4.7.6 OpenVPN输出函数 |
| 4.8 OPENVPN数据信道 |
| 4.8.1 TCP OpenVPN数据信道检测条件 |
| 4.8.2 UDP OpenVPN数据信道检测条件 |
| 4.9 小结 |
| 第五章 检测系统正确性测试 |
| 5.1 模拟环境拓扑 |
| 5.2 PPTP VPN |
| 5.2.1 模拟环境配置 |
| 5.2.2 PPTP控制连接测试 |
| 5.2.3 PPTP数据信道测试 |
| 5.3 IPSEC VPN |
| 5.3.1 模拟环境配置 |
| 5.3.2 IPSec安全协商测试 |
| 5.3.3 IPSec数据信道测试 |
| 5.4 OPENVPN |
| 5.4.1 模拟环境配置 |
| 5.4.2 TCP OpenVPN控制信道测试 |
| 5.4.3 UDP OpenVPN控制信道测试 |
| 5.4.4 TCP OpenVPN数据信道测试 |
| 5.4.5 UDP OpenVPN数据信道测试 |
| 5.5 小结 |
| 第六章 检测系统准确性测试 |
| 6.1 测试说明 |
| 6.1.1 测试数据与方法 |
| 6.1.2 测试采用的指标 |
| 6.2 测试结果 |
| 6.2.1 PPTP、IPSec测试 |
| 6.2.2 OpenVPN测试 |
| 6.2.3 UDP OpenVPN数据信道测试 |
| 6.3 小结 |
| 第七章 总结及展望 |
| 7.1 本文工作贡献及创新 |
| 7.2 未来展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士期间的科研及学术论文 |
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 课题研究的目的和意义 |
| 1.2 国内外研究现状 |
| 1.3 本文的主要工作 |
| 1.4 本文组织结构 |
| 第二章 IPSec相关理论和技术 |
| 2.1 TCP/IP协议的介绍 |
| 2.1.1 TCP/IP协议栈的层次 |
| 2.1.2 数据包的传输过程 |
| 2.2 IPSec体系结构 |
| 2.2.2 AH协议结构 |
| 2.2.3 ESP协议结构 |
| 2.3 IPSec的工作模式 |
| 2.3.1 传输模式 |
| 2.3.2 隧道模式 |
| 2.4 SAD和SPD |
| 2.4.1 安全联盟SA |
| 2.4.2 安全策略SP |
| 2.5 IPSec的优缺点 |
| 2.5.1 IPSec的优点 |
| 2.5.2 IPSec的缺点 |
| 2.6 Internet密钥交换 |
| 2.7 IPSec协议中的算法 |
| 2.7.1 DES以及 3DES算法 |
| 2.7.2 AES算法 |
| 2.7.3 SM4算法 |
| 2.8 本章小结 |
| 第三章 IPSec VPN服务器内核架构设计 |
| 3.1 内核对IPSec的支持 |
| 3.2 Linux加密算法框架 |
| 3.2.1 算法模板 |
| 3.2.2 算法实例 |
| 3.2.3 Crypto_tfm |
| 3.2.4 具体算法的添加 |
| 3.3 XFRM库 |
| 3.3.1 PF_KEY协议通信接口模块、 |
| 3.3.2 Netlink协议通信接口模块 |
| 3.4 IPSec处理模块 |
| 3.4.1 IPSec输入模块 |
| 3.4.2 IPSec输出模块 |
| 3.5 本章小结 |
| 第四章 国密标准IPSec VPN服务器内核系统的实现 |
| 4.1 概述 |
| 4.2 算法的添加和注册 |
| 4.2.1 算法标识的添加 |
| 4.2.2 算法的注册 |
| 4.2.3 算法调用框架的优化 |
| 4.3 NAT网络的穿越 |
| 4.3.1 NAT技术的定义 |
| 4.3.2 IPSec与NAT的兼容性 |
| 4.3.3 NAT对ESP的影响 |
| 4.3.4 本系统的NAT穿越方案 |
| 4.4 IPv6网络的支持 |
| 4.5 本章小结 |
| 第五章 系统测试与结果分析 |
| 5.1 环境的搭建 |
| 5.2 加密和哈希算法的测试 |
| 5.3 NAT网络穿越测试 |
| 5.4 IPv6性能测试 |
| 5.5 测试结果分析 |
| 第六章 总结与展望 |
| 6.1 论文总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 背景 |
| 1.2 国内外研究现状 |
| 1.3 本文研究的主要内容 |
| 1.4 本文章节安排 |
| 第二章 IPSec VPN相关知识 |
| 2.1 IPSec VPN及其体系结构 |
| 2.2 AH协议与ESP协议 |
| 2.2.1 AH协议 |
| 2.2.2 ESP协议 |
| 2.3 IKE协议 |
| 2.4 传输模式与隧道模式 |
| 2.4.1 传输模式 |
| 2.4.2 隧道模式 |
| 2.5 相关密码学算法 |
| 2.5.1 加密算法 |
| 2.5.2 数字签名 |
| 2.5.4 密钥交换协议 |
| 2.6 小结 |
| 第三章 基于多加密卡异步并行IPSec VPN系统 |
| 3.1 引言 |
| 3.2 传统IPSec VPN的处理流程 |
| 3.3 多加密卡异步系统 |
| 3.3.1 异步加密系统 |
| 3.3.2 多加密卡并行异步系统 |
| 3.3.3 多加密卡调度算法 |
| 3.4 异步并行加密的实现 |
| 3.4.1 Linux系统的加密框架 |
| 3.4.2 加密卡使用方法 |
| 3.4.3 异步并行加解密 |
| 3.5 小结 |
| 第四章 IPSec协议并行的研究与实现 |
| 4.1 引言 |
| 4.2 网络协议并发的方法 |
| 4.3 IPSec多核并发结构 |
| 4.4 多核并发具体问题 |
| 4.4.1 网卡多队列调度策略 |
| 4.4.2 缓冲区的改进 |
| 4.4.3 多核下CPU竞争问题 |
| 4.5 IPSec协议并发流程 |
| 4.6 小结 |
| 第五章 系统性能测试与分析 |
| 5.1 实验环境 |
| 5.2 异步并行实验与分析 |
| 5.2.1 加密卡测试性能 |
| 5.2.2 实验结果 |
| 5.2.3 实验分析 |
| 5.3 协议并行实验与分析 |
| 5.3.1 多核亲和性设置 |
| 5.3.2 实验结果 |
| 5.3.3 实验分析 |
| 5.4 两种加速技术的对比 |
| 5.5 小结 |
| 第六章 总结与展望 |
| 6.1 工作总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究意义 |
| 1.3 论文的主要工作及章节安排 |
| 第二章 虚拟专用网(VPN) |
| 2.0 VPN 概述 |
| 2.1 VPN 的分类 |
| 2.2 VPN 的关键技术 |
| 2.2.1 隧道技术 |
| 2.2.2 加解密技术 |
| 2.2.3 密钥管理技术 |
| 2.2.4 访问控制技术 |
| 2.3 实施 VPN 的优势 |
| 第三章 IPSec 系统概述 |
| 3.1 IPSec 简介 |
| 3.2 IPSec 系统的工作原理 |
| 3.3 SA&SAD |
| 3.4 SP&SPD |
| 3.5 认证头(AH)协议 |
| 3.5.1 AH 报头格式 |
| 3.5.2 AH 运行模式 |
| 3.6 封装安全载荷(ESP)协议 |
| 3.6.1 ESP 报头格式 |
| 3.6.2 ESP 运行模式 |
| 第四章 Linux 下 IPSec 系统设计与实现 |
| 4.1 Linux 中 IPSec 实现方案 |
| 4.1.1 IPSec 实现方案选择 |
| 4.1.2 Netfilter 框架简介 |
| 4.1.3 在 Netfilter 框架的 HOOK 点处注册函数 |
| 4.2 Linux 下 IPSec VPN 总体框架 |
| 4.3 IPSec VPN 网关的处理流程 |
| 4.4 关键模块实现 |
| 4.4.1 SAD 模块的实现 |
| 4.4.2 SPD 模块的实现 |
| 4.4.3 AH 处理模块的实现 |
| 4.4.4 ESP 处理模块的实现 |
| 第五章 IPSec over Http 协议 |
| 5.1 IPSec over Http 系统 |
| 5.1.1 系统整体结构 |
| 5.1.2 系统处理流程 |
| 5.2 HTTPP 模块实现 |
| 5.2.1 发送进程 |
| 5.2.2 接收进程 |
| 5.3 HTTP 应用封装接口实现 |
| 5.4 协议验证和分析 |
| 5.4.1 系统测试 |
| 5.4.2 系统存在的问题 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 摘要 |
| Abstract |
| 缩写表 |
| 第一章 绪论 |
| 1.1 课题背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 论文主要内容与结构 |
| 1.4 本章小结 |
| 第二章 IPSec-VPN 技术基本原理 |
| 2.1 VPN 技术概述 |
| 2.1.1 VPN 简介 |
| 2.1.2 VPN 技术的优势 |
| 2.1.3 VPN 的关键技术 |
| 2.1.4 VPN 的几种类型 |
| 2.2 IPSec 技术概述 |
| 2.2.1 IPSec 的体系结构 |
| 2.2.2 IPSec 的工作模式 |
| 2.2.3 安全联盟 SA 和安全策略 SP |
| 2.2.4 密钥交换与管理 |
| 2.3 IPSec-VPN 的实施 |
| 2.4 本章小结 |
| 第三章 数字证书认证技术 |
| 3.1 公钥基础设施 PKI |
| 3.1.1 PKI 体系结构 |
| 3.1.2 PKIX 标准 |
| 3.2 数字证书原理 |
| 3.2.1 数字证书简介 |
| 3.2.2 公钥密码体制算法 RSA |
| 3.2.3 X.509 证书标准 |
| 3.3 数字证书认证协议 EAP-TLS |
| 3.3.1 EAP-TLS 协议认证原理 |
| 3.3.2 EAP-TLS 与几种认证协议的对比 |
| 3.4 本章小结 |
| 第四章 安全网关数字证书认证的设计与实现 |
| 4.1 安全网关架构及工作流程 |
| 4.1.1 Femto 网关总体架构 |
| 4.1.2 安全网关硬件架构 |
| 4.1.3 安全网关软件架构 |
| 4.1.4 软件工作的数据流程 |
| 4.2 安全网关数字证书认证方案的设计 |
| 4.2.1 方案总体架构 |
| 4.2.2 数字证书认证流程 |
| 4.3 数字证书认证方案的实现 |
| 4.3.1 strongswan 软件架构 |
| 4.3.2 EAP-TLS 协议认证消息实现 |
| 4.3.3 数字证书认证的配置方案 |
| 4.4 本章小结 |
| 第五章 功能测试及分析 |
| 5.1 认证接入测试 |
| 5.1.1 测试环境 |
| 5.1.2 测试过程及结果 |
| 5.2 并发接入压力测试 |
| 5.2.1 测试环境 |
| 5.2.2 测试过程及结果 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 参考文献 |
| 攻读硕士学位期间取得的研究成果 |
| 致谢 |
| 附件 |
| 摘要 |
| ABSTRACT |
| 目录 |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 主要研究内容 |
| 1.4 论文组织结构 |
| 第二章 基于 IPv6 混合 VPN 的相关理论 |
| 2.1 混合 VPN 技术体系 |
| 2.2 VPN 概述 |
| 2.2.1 VPN 的定义和功能 |
| 2.2.2 VPN 协议 |
| 2.2.3 VPN 安全性的技术实现 |
| 2.2.4 VPN 设计方案的选择标准 |
| 2.3 IPSec VPN 概述 |
| 2.3.1 IPSec 协议 |
| 2.3.2 安全关联和安全策略 |
| 2.3.3 验证头 AH 协议 |
| 2.3.4 ESP 协议 |
| 2.3.5 IKE 协议 |
| 2.4 SSL VPN 概述 |
| 2.4.1 SSL 协议结构 |
| 2.4.2 SSL 握手协议 |
| 2.4.3 SSL 记录协议和告警协议 |
| 2.4.4 SSL 协议的工作流程 |
| 2.5 IPv6 协议概述 |
| 2.5.1 IPv6 的改进 |
| 2.5.2 IPv6 地址 |
| 2.6 本章小结 |
| 第三章 IPv6 网络存在的安全问题 |
| 3.1 IPv6 网络存在的安全问题 |
| 3.1.1 IPv6 和 IPv4 共存带来的安全问题 |
| 3.1.2 IPv6 网络自身存在的安全问题 |
| 3.2 安全问题解决方法 |
| 3.3 IPSec VPN 解决方案和 SSL VPN 解决方案分析 |
| 3.3.1 IPSec VPN 解决方案和 SSL VPN 解决方案介绍 |
| 3.3.2 IPSec VPN 解决方案的优点 |
| 3.3.3 IPSec VPN 解决方案的缺点 |
| 3.3.4 SSL VPN 解决方案的优点 |
| 3.3.5 SSL VPN 解决方案的缺点 |
| 3.4 本章小结 |
| 第四章 混合 VPN 系统的设计和实现 |
| 4.1 混合 VPN 系统需求分析 |
| 4.2 混合 VPN 系统可行性分析 |
| 4.3 混合 VPN 系统设计 |
| 4.4 测试环境搭建 |
| 4.5 IPSec 模块 |
| 4.5.1 使用 OpenSWAN 实现 IPSec VPN |
| 4.5.2 基于 IPv6 的 IPSec 模型 |
| 4.5.3 IPSec 模块配置 |
| 4.5.4 IPSec 模块调试 |
| 4.6 SSL VPN 模块 |
| 4.6.1 SSL 模块配置 |
| 4.6.2 SSL VPN 模块调试 |
| 4.7 本章小结 |
| 第五章 混合 VPN 系统的综合性能测试 |
| 5.1 混合 VPN 系统的连接性能测试 |
| 5.1.1 各个测试主机的连接性测试 |
| 5.1.2 混合 VPN 系统的吞吐量测试 |
| 5.1.3 混合 VPN 系统的抖动性能和网络延迟测试 |
| 5.2 混合 VPN 系统的安全性能测试 |
| 5.2.1 计算机病毒扩散防范 |
| 5.2.2 DDos 攻击的防范 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 VPN技术背景 |
| 1.3 国内外研究现状 |
| 1.4 课题来源 |
| 1.5 本文工作和章节安排 |
| 第二章 IPsec协议体系 |
| 2.1 IPsec体系概述 |
| 2.2 IPsec体系 |
| 2.2.1 密钥交换协议(IKE) |
| 2.2.2 认证头协议(AH) |
| 2.2.3 封装载荷协议(ESP) |
| 2.2.4 安全关联(Security Association) |
| 第三章 基于IPsec协议的VPN代理网关系统总体框架设计 |
| 3.1 VPN网关的技术目标 |
| 3.2 代理网关系统总体框架 |
| 3.3 IKE模块概述 |
| 3.4 策略和SA管理模块概述 |
| 3.5 数据处理模块概述 |
| 第四章 系统性能的分析和改进 |
| 4.1 用户空间加解密API的设计和实现 |
| 4.1.1 Linux内核可加载内核模块机制 |
| 4.1.2 系统调用劫持技术 |
| 4.1.3 内核空间的Crypto API架构概述 |
| 4.1.4 内核空间模块开发方法 |
| 4.1.5 用户空间系统调用函数 |
| 4.2 并行协议栈技术 |
| 第五章 IPsec代理网关系统透明传输的实现 |
| 5.1 代理网关系统透明传输的整体设计 |
| 5.2 IKE协商模块的实现 |
| 5.2.1 IKE三方协商技术分析 |
| 5.2.2 IKE协商模块的实现分析 |
| 5.2.3 IKE协商模块的初始化实现 |
| 5.3 SA构建存储子模块的设计与实现 |
| 5.4 数据处理模块的实现 |
| 5.4.1 实现流程 |
| 5.4.2 主要数据结构介绍 |
| 5.4.3 数据处理模块的初始化 |
| 5.4.4 数据处理模块处处理流程 |
| 5.4.5 SA数据的处理 |
| 5.4.6 输入流量的处理 |
| 5.4.7 用户空间加解密API的设计 |
| 5.4.8 输出流量的处理 |
| 第六章 系统仿真实验和测试 |
| 6.1 实验仿真 |
| 6.2 性能测试和分析 |
| 6.3 用户空间加解密API的性能分析 |
| 第七章 总结和展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题的背景 |
| 1.2 国内外研究现状 |
| 1.3 课题的主要内容 |
| 1.4 论文的组织 |
| 第二章 VPN技术基础 |
| 2.1 VPN的概念与安全性 |
| 2.2 VPN的原理 |
| 2.3 VPN的类型 |
| 2.3.1 Remote Access VPN(远程访问虚拟专网) |
| 2.3.2 Intranet VPN(企业内部虚拟专网) |
| 2.3.3 Extranet VPN(外连虚拟专网) |
| 2.4 VPN的安全协议 |
| 2.4.1 SOCKS v5协议 |
| 2.4.2 IPSec协议 |
| 2.4.3 PPTP/L2TP协议 |
| 2.5 本章小节 |
| 第三章 IPSec技术体系分析 |
| 3.1 IPSec简介 |
| 3.1.1 安全联盟(Security Association,SA) |
| 3.1.2 封装模式 |
| 3.1.3 认证与加密算法 |
| 3.2 IPSec虚拟隧道接口 |
| 3.2.1 概述 |
| 3.2.2 工作原理 |
| 3.3 IPSec的体系结构 |
| 3.3.1 AH(验证头) |
| 3.3.2 ESP(封装安全载荷) |
| 3.3.3 IKE(Internet 密钥交换) |
| 3.4 IPSec的NAT穿越 |
| 3.4.1 NAT穿越(NAT Traversal) |
| 3.4.2 IPSec穿越NAT的处理 |
| 3.5 本章小结 |
| 第四章 改进的IPSec VPN系统的设计 |
| 4.1 VPN模型设计 |
| 4.1.1 在网关中实施 |
| 4.1.2 方案类型的选择 |
| 4.2 改进IPSec的思路 |
| 4.3 改进的IPSec VPN系统的总体功能设计 |
| 4.4 本章小结 |
| 第五章 改进的IPSec VPN系统的实现 |
| 5.1 基本协议模块的实现 |
| 5.1.1 输入数据处理模块的实现 |
| 5.1.2 输出数据处理模块的实现 |
| 5.2 SPD和SADB数据结构 |
| 5.2.1 SPD的数据结构的实现 |
| 5.2.2 SADB的数据结构的实现 |
| 5.3 IKE模块的实现 |
| 5.4 策略和SA管理模块的实现 |
| 5.5 本章小结 |
| 第六章 改进的IPSec VPN系统的安装与测试 |
| 6.1 改进的IPSec VPN系统的安装 |
| 6.2 改进的IPSec VPN系统测试 |
| 6.3 本章小结 |
| 总结 |
| 致谢 |
| 参考文献 |
| 在读期间已发表和录用的论文 |
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 论文研究内容 |
| 1.3 论文组织结构 |
| 第2章 相关理论知识概述与关键技术研究现状 |
| 2.1 引言 |
| 2.2 IPSEC 安全体系结构 |
| 2.2.1 认证头和封装安全载荷协议 |
| 2.2.2 IPsec 安全信道协商机制 |
| 2.2.3 IPsec 的工作模式 |
| 2.2.4 安全关联库和安全策略库 |
| 2.2.5 IPsec 流量处理机制 |
| 2.2.6 IPsec 应用及发展方向 |
| 2.3 IPSEC VPN 研究现状 |
| 2.4 负载均衡技术研究现状 |
| 2.5 代理转发技术研究现状 |
| 2.6 本章小结 |
| 第3章 IPSEC VPN 代理集群的负载均衡技术研究 |
| 3.1 引言 |
| 3.2 并行化 IPSEC VPN 代理体系结构 |
| 3.3 IPSEC VPN 代理集群的负载特征 |
| 3.4 基于节点多属性决策和任务回迁的负载均衡方法 |
| 3.4.1 离差最大化的多属性决策模型 |
| 3.4.2 负载状态评价属性的确定 |
| 3.4.3 任务决策缓存的管理机制 |
| 3.4.4 任务决策和任务回迁的融合 |
| 3.4.5 IPsec VPN 代理集群的负载均衡算法 |
| 3.5 实验过程与结果分析 |
| 3.5.1 实验设计与环境 |
| 3.5.2 实验过程 |
| 3.5.3 实验结果 |
| 3.5.4 总结分析 |
| 3.6 本章小结 |
| 第4章 IPSEC VPN 代理的高效代理转发机制研究 |
| 4.1 引言 |
| 4.2 总体技术方案 |
| 4.3 基于网络层的高效代理转发机制的关键技术 |
| 4.3.1 用户态和内核态交互 |
| 4.3.2 IPv6 地址与端口管理策略 |
| 4.3.3 高效内存管理策略 |
| 4.3.4 转换记录管理机制 |
| 4.3.5 代理转换实施机制 |
| 4.4 实验过程与结果分析 |
| 4.4.1 实验设计与环境 |
| 4.4.2 实验过程 |
| 4.4.3 实验结果 |
| 4.4.4 总结分析 |
| 4.5 本章小结 |
| 第5章 集群式 IPSEC VPN 代理系统的设计与实现 |
| 5.1 总体框架 |
| 5.2 实现描述 |
| 5.2.1 IPsec 流量负载均衡器 |
| 5.2.2 IPsec VPN 代理服务器 |
| 5.3 典型应用场景及安全性分析 |
| 5.4 本章小结 |
| 结论 |
| 参考文献 |
| 攻读硕士学位期间发表的论文和取得的科研成果 |
| 致谢 |
