一、IPSec VPN关键技术研究与应用分析(论文文献综述)
周益旻,刘方正,王勇[1](2021)在《基于混合方法的IPSec VPN加密流量识别》文中认为文中提出了一种混合方法,将指纹识别与机器学习方法相结合,实现了IPSec VPN加密流量的识别。该方法首先基于负载特征从网络流量中筛选出IPSec VPN流量;接着,基于时间相关的流特征,利用随机森林算法建立了IPSec VPN流量分类模型,通过参数优化以及特征选择,整体流量识别的准确率达到了93%。实验结果验证了通过流特征提取的机器学习方法识别IPSec VPN流量的可行性;同时表明了该方法能够有效均衡识别精度与识别速度,达到了高效识别IPSec VPN加密流量的效果。
周益旻,刘方正,杜镇宇,张凯[2](2021)在《IPSec VPN安全性漏洞分析及验证》文中提出网络边界是提供访问服务的主要通道,而IPSec VPN作为网络边界防护中的关键技术,对于保障网络整体安全至关重要。分析IPSec VPN中IKE协议激进模式和OSPF路由选择协议的安全性漏洞,研究三种常规OSPF路由欺骗方式在IPSec VPN中间人攻击中的性能表现,构建IPSec VPN流量劫持模型及攻击数据包,设计IPSec VPN流量劫持算法与KEYMAT密钥获取算法。通过搭建仿真环境并选取双LSA注入路由欺骗攻击方式,实现跨网段IPSec VPN中间人攻击并验证了IPSec VPN协议的脆弱性,该结论对于网络边界设备防护、骨干网络流量保护具有重要作用。
李坤阳[3](2020)在《船舶电站自动化及远程监控系统的设计与实现》文中提出随着新技术的出现与应用,船舶电站自动化技术也在不断进步。目前航运产业正处在产业升级的关键点,智能船舶作为二十一世纪各航海强国争相研究的领域,已经进入发展的快车道。未来的船舶电站自动化系统要满足智能船舶概念的要求,需要实现船船、船岸间的数据互通,达到异地同时监控船舶电力系统运行的目标。通过PLC控制器与配套监控硬件设备,船舶电站自动化及远程监控系统在船舶电站处和远程监控站点处收集、整合、处理各项数据,最终实现船船、船岸间的共通协作运行的要求。采用模块化的设计思想将系统分成两部分设计,船舶电站自动化作为船舶电力系统正常运行的必要部分,控制着全船的发电、配电、用电设备,为全船提高质量、经济、可靠的电力。远程VPN控制系统负责搭建稳定安全的数据传输通道,实时掌握控制船舶各项参数,保证船/岸之间的可靠连接。系统选择西门子S7-1200PLC实现船舶电站自动化系统主要功能,选择华硕RT-AC86U路由器通过虚拟专用网络(Virtual Private Network,VPN)技术搭建专用VPN网络保障船舶电力系统远程传输数据的安全可靠,整个系统主要具备以下功能:(1)能够顺利完成不同工况下船舶电站自动化各项功能,如船舶发电机组自动启动、自动准同步并车、自动调频调载、轻载解列与自动停机等功能。(2)搭建稳定可靠的VPN虚拟专用网络,使系统拥有稳定可靠的远程数据传输网络,同时采用IPSec协议保障数据传输的安全性。(3)设计专用的监控系统,实时监控船舶电站整体运行状态与各参数,同时可以通过VPN网络对船舶电站自动化功能进行实时控制。.本课题研究的船舶电站自动化及远程监控系统基于船舶自动化物理仿真电站平台搭建,通过上机试验证明了系统可以正确稳定的工作,完成了预期设计功能。
赵明[4](2020)在《基于轻量级虚拟机监控器的安全计算环境》文中指出本文基于BitVisor轻量级虚拟机监控器框架和Intel硬件虚拟化技术实现了SLVMM(Secure Lightweight Virtual Machine Monitor,安全的轻量级虚拟机监控器)。然后以此S-LVMM构建操作系统的安全计算环境,对个人计算机进行保护。针对BitVisor存在的不足进行了适当的修改和扩展,主要工作内容如下:(1)由于BitVisor将密钥存储在内存中,因此密钥很容易受到冷启动攻击。本文使用了一种抗冷启动攻击的密钥管理方法。首先使用SHA-256算法根据密码生成256bit的密钥。该密钥的前128bit作为数据密钥,后128bit作为调柄密钥。然后将该密钥存储在CPU的四个调试寄存器中。最后使用Intel硬件虚拟化技术使得密钥只能由S-LVMM访问。(2)BitVisor对存储设备的加密方法是通过调用OpenSSL库中的AES加密函数实现的,在加密的过程中也使用了内存,因此也很容易受到冷启动攻击。本文使用了一种抗冷启动攻击的数据加密方法。使用AES-NI指令集实现AES算法并替换了BitVisor的加密方式。选择可调工作模式XTS作为AES算法的工作模式。AESNI通过提供aesenc、aesenclast、aesdec和aesdeclast等指令来实现AES的硬件加速,这些指令只在处理器上执行,不涉及内存,因此可以避免冷启动攻击。(3)由于BitVisor没有提供内存加密的功能,本文借助HyperCrypt提供的针对BitVisor的内存加密补丁来实现内存加密。在EPT(Extended Page Table,扩展页表)中只保留解密页面,加密页面不会插入到EPT中。在任何时候,只有一小部分工作的内存页面是解密页面,而绝大多数页面是加密页面。使用一个滑动窗口保持对这些解密页面的引用,并使用第二次机会算法减少滑动窗口中多余的解密页面。(4)对半穿透驱动程序拦截到的I/O数据进行处理。如果此I/O对应的逻辑块地址在预先配置的加密范围内,就进一步判断此I/O是读操作I/O还是写操作I/O。如果为写操作I/O,就将影子缓冲区中的数据加密后再复制到存储设备。如果为读操作I/O,就将影子缓冲区中的数据解密后再复制到客户缓冲区中。(5)重用了BitVisor的VPN客户端模块,分析了VPN客户端模块的实现原理,配置了VPN模块所用到的参数,使用strongSwan作为VPN服务端,并对strongSwan的相关配置进行了参数配置。最后对S-LVMM和strongSwan服务器之间的VPN连接进行了测试。
赵鹏[5](2020)在《基于PFRING的国密SSL VPN网关的设计与实现》文中研究指明SSL(Secure Sockets Layer安全套接字协议))是一种在网络安全领域广泛使用的具有国际标准的安全通信协议,它为应用数据安全传输提供保障。目前在国内广泛使用的SSL VPN产品大部分基于国际标准的SSL协议。此类产品中使用的密码算法是国际标准,不符合我国对密码产品安全可控的要求。为此,国家密码管理局自主研发了国家商用密码算法,即SM系列算法。并发布了《GMT 0024-2014 SSL VPN技术规范》用于指导国密SSL VPN产品的研发。SSL VPN虽然在移动办公、电子政务/商务等领域应用非常广泛。但作为一种新兴的VPN技术,还处在不断实践和升级的阶段。尤其我国在SSL VPN技术方面的研究起步较晚,大部分沿用国外的标准和技术,不可避免的存在缺陷和不足。因此,对国密SSL VPN技术的研究具有重要的现实意义。本文在深入分析了 SSL VPN系统的关键组件、工作机制、和实现原理之后针对系统存在的并发性能、和吞吐率问题提出两个解决方案:一是设计基于异步IO的高性能网络处理框架以提升SSL VPN的并发性能。二是将基于Linux内核的高性能网络数据包捕获技术PFRING应用在SSL VPN上,提升SSL VPN对网络数据包的处理能力,进而提升整个SSLVPN系统的吞吐率。最后设计并实现基于PFRING的国密SSL VPN网关,并与Open VPN对比测试。测试结果表明,本文实现的国密SSL VPN网关的并发连接数可达到831个左右。数据吞吐量提升达到2~3倍。文件下载速率提升至原来的1~2倍。
刘霞[6](2019)在《VPN接入技术在市级行政服务中心数据通讯中的应用研究》文中进行了进一步梳理伴随着网络的不断发展,现有的互连网络---基于固定物理位置的租用私有线路的连接方式难以适应现代网络发展的需求。对于现有的网络自身建设提出了较高的需求,主要体现在网络的扩展性、实用性、灵活性、安全性等方面。在这种需求的背景下,虚拟专用网络,企业级网络通过接入互联网,建立私有的网络隧道与企业内部进行加密的数据通讯、远程访问的方式得到了越来越多的认可,既可以减少网络的运行与维护成本,更可以进行企业级网络的业务拓展。当处理多条VPN线路高速连接时,额外的VPN连接开销会影响路由的处理性能。由于带宽的限制,途径的路由器的对称数字用户线路、超高速数字用户线路或私有线路时,网络带宽能够上升到60至70MBps甚至更高,路由器处理数据的性能也会随之受到影响而降低网络使用的舒适性。设计的目的就是建立市级行政服务中心虚拟专用网络,同时解决市级公共事业行政服务中心现有的市级电子监察系统运行过程中,由于网络设备负载过大,引起VPN接入性能较低的问题。本论文的研究过程针对某市行政服务中心实际网络需求展开研究与测试,为了实现设计与应用相关内容的保密要求,文中设计内容将隐去实际城市信息,使用某市代替。通过与某市公共事业行政服务中心,某市纪委软环境办公室等网络位置建立VPN链路,对现在运行网络进行抓包分析,对现用网络进行效率分析,结合现有设备、服务器环境的实际情况,经过多方调查研究,提出对IPSEC VPN的加密强度进行减小,通过NAT地址映射转移L2TP VPN接入位置等方法降低出口路由器负载,提高VPN通信效率,证明该论文研究的现实价值意义。
徐衍鹏[7](2019)在《轻量级IPSec安全网关设计与实现》文中进行了进一步梳理随着互联网技术的不断普及,越来越多的人习惯了在网络上传输各种文件、图片、视频等。但是网络中存在诸多隐患,容易被别有用心的黑客利用并造成严重的安全问题。国际互联网工程任务组(IETF)针对网络安全问题提出了一套全新的安全体系结构——IPSec。IPSec协议经过这几年的不断完善和更改,逐渐应用于各个领域,IPSec安全网关就是一个典型的应用实例。尤其伴随物联网工程的不断普及,不同设备之间的通信互联更频繁,对低成本的轻量级IPSec安全网关需求大大增加。但是这种轻量级网关技术,急需对冲突检测及链路优化两个问题进行处理,满足轻量级IPSec安全网关的实现需要。首先,针对IPSec安全网关复杂多样的策略规则容易出现大量冲突,导致流量处理不符合预期的问题,本文提出一种IPSec安全网关的策略冲突动态检测技术,达到对IPSec安全网关的策略列表进行动态冲突分析,并完成冲突解决的预期。通过研究IPSec策略冲突的类型,设计基于IPCDR改进的策略冲突动态检测算法,实现对IPSec特有的保护类型策略的冲突分析的效果。最后通过设计多种策略检测算法和新改进的算法在不同规则个数时算法的处理速率的对比实验,验证新算法的时间性能和更适合处理的策略列表类型。其次,本文针对IPSec安全网关采用多路径技术后触发的网关缓冲不足问题,提出了面向缓冲空间限制的多路径传输拥塞管理机制。通过研究IPSec安全网关在Incast(缓冲区不足)场景下的性能,设计了在多路径传输技术的联合拥塞算法中增加随机退避功能的方案,实现提高IPSec安全网关在Incast场景下的吞吐量的效果。并通过设计该机制的拥塞算法和MPTCP自带的拥塞算法在不同子流数目下吞吐量的对比实验,验证了该机制可以有效缓解网关Incast问题。最后,基于上述关键技术,本文设计并实现了一个轻量级IPSec安全网关系统,并详细阐述了系统的网络拓扑和总体框架,以及具体解密和加密的工作机制,给出了混合组网模式和包过滤模式下的应用效果。
王冠群[8](2018)在《IPSec中间人攻击检测方法与防御策略的研究与应用》文中研究表明IPSec(Internet Protocol Security)作为一种安全协议,相对于其他虚拟专用网(Virtual Private Network,VPN)协议,有其独特的安全机制。同时,IPSec对新兴技术具有较强的灵活性和适应性,这使得IPSec的应用领域和场景不断增多,IPSec通信的安全性也越来越受到人们的关注。本文在真实的IPv4网络环境中,对Windows 7、Windows 10、Android以及iOS这4种操作系统上的5种默认配置模式的IPSec VPN实现了中间人攻击,设计并实现了针对这种攻击的检测防御原型系统。首先,本文分析了IPSec的脆弱性以及中间人攻击的可行性。对IPSec协议建立连接过程中的交互机理进行研究,详细分析了ISAKMP协议框架以及OAKLEY、SKEME两种密钥交换协议的实现原理。在对IKE协商交互过程和封装安全负载协议的通信原理进行阐述后,进一步从攻击和检测防御两个方面进行了分析。其次,本文提出了一种新的IPSec中间人攻击方法。针对IPSec协议建立连接的过程及关键技术,本文首先结合IKE协商的数据包特征,对协商过程的流量进行预处理,再根据不同数据包的特定结构和功能,分别提出作为中间人与客户端和服务器交换密钥材料、协商安全策略、并最终建立IPSec连接的过程和算法。再次,本文提出了一种新的检测方法和防御策略,以应对这种IPSec中间人攻击。在研究过程中,我们对中间人攻击的流量特征进行分析和归纳,提出了基于时间间隔特征的攻击判定方法和基于特定报文频率的攻击类型识别方法。根据不同的检测结果,本文结合IPSec的实现原理和不同的防御目的,提出了简单可行的防御策略,以供IPSec服务提供商和用户参考。最后,本文设计并实现了一个验证平台,该平台包括两个系统,分别是IPSec中间人攻击系统和检测防御原型系统。截止目前,据我们了解,尚未有人公开发表过这方面的工作,因此本文的研究工作具有一定的开创性。该验证平台的实现,在真实网络环境中证明了IPSec应用的通信内容安全面临挑战,对今后的IPSec相关研究提供重要参考,同时也为网络安全防护相关技术提供了一定的借鉴。
张越[9](2018)在《国密IPSec VPN安全机制研究与实现》文中研究说明VPN网络作为互联网中一种相对安全的通信网络,在日常通信,尤其是商业通信方面,发挥着越来越重要的作用。在符合RFC标准的IPSec VPN技术规范中,IKE主模式的身份认证方式、加密算法部分均有不同程度的安全漏洞。为了进一步提高IPSec VPN技术的安全性,国家密码局提出了《IPSec VPN网关产品规范》,此规范对符合我国国情的IPSec VPN开发具有很强的指导意义。本文基于《IPSec VPN网关产品规范》,研究和实现了国密IPSec VPN中主模式、加密算法、网络包过滤等安全机制的内容,主要完成了以下工作。1.针对安全机制中存在的中间人攻击与信息抵赖的安全漏洞,对RFC标准中的IKE主模式进行了研究和分析。并以开源软件OpenSwan为基础,设计并实现了主模式中采用数字证书方式进行身份认证的方法,提高了身份认证过程中的安全性和权威性。2.对安全机制中RFC标准和国密标准采用的加密算法进行了研究与比较。RFC标准采用开源算法,增加了被破解的风险。本文研究了国密算法的封闭性,基于Linux内核的Crypto框架,以定制的硬件加密卡作为算法加解密运算平台,设计并实现了在Linux系统下利用国密算法进行加解密运算的模块,释放了CPU计算资源,提高了加解密效率和系统中网络消息的安全性。3.在深入研究Linux内核的Xfrm和Netfilter框架的基础上,通过编写Xfrm交互模块与Netfilter内核模块,设计了根据网络包三元组<IP(或子网、地址范围)、端口、协议>进行网络包IPSec加密、明文传输、丢弃的过滤策略,可对不同网络数据包提供差异化服务,提高了IPSec VPN处理网络数据包的灵活性,实现了安全机制中包过滤的功能。基于上述研究,实现了符合国密IPSec VPN安全机制的服务器原型系统,并从功能和性能两个方面进行了测试。测试表明,所开发的IPSec VPN服务器系统在各方面均符合《IPSec VPN网关产品规范》。项目已通过国家某部委下属的南京某研究院验收,达到落地应用的要求。
邹新一[10](2018)在《面向云服务的高性能安全接入网关的研究与实现》文中指出在云服务的安全接入中通过虚拟专用网络(Virtual Private Network,VPN)来提供不同地区云服务节点间数据的安全通信,传统VPN作为工作在云上的接入网关时其性能问题亟待解决,为了提高安全接入网关的性能,本文对VPN的路由转发及并行化技术进行研究以更好的适用于云服务中的安全接入网关。首先,为解决传统VPN无法充分利用通用多核服务器的问题,本文探讨了了数据面开发套件(Data Plane Development Kit,DPDK)的报文转发技术和网卡多队列技术应用于软件VPN网关中的方法,提出一种报文级并行的多线程VPN网关框架,利用多核资源实现在用户态并行报文处理。为了提高报文转发能力,本文研究了VPN分段式路由算法,优化了DIR-24-8-BASIC分段式路由表结构,通过改进二级路由表的管理方式,减少了内存占用率,给出基于软件实现的DIR-24-8-BASIC路由更新机制,并结合VPN路由查找的特点得到分段式VPN路由算法,测试结果表明在一定场景下优于传统基于Patricia树的VPN路由算法。为了避免并行化时线程核间数据交换,充分利用多核计算资源进一步提高报文处理能力,本文研究了VPN网关并行化中多线程间数据同步的机制,结合VPN会话管理和路由查找,提出了一种VPN线程间数据同步算法,用于会话信息和路由规则在线程间共享,实现在两个互联的客户端之间进行高效路由转发。实验结果表明,可有效避免核间数据交换,随着线程并行数的提高可线性提升吞吐量。最后,本文设计并实现了面向云服务的报文级并行VPN网关,并和现有的软件VPN网关对比测试及分析,测试结果表明,该VPN网关各项性能均优于现有网关,能够满足云服务中安全接入网关的需求。
二、IPSec VPN关键技术研究与应用分析(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、IPSec VPN关键技术研究与应用分析(论文提纲范文)
(1)基于混合方法的IPSec VPN加密流量识别(论文提纲范文)
1 引言 |
2 相关工作 |
3 IPSec VPN流量识别的混合模型 |
3.1 IPSec VPN有效负载特征 |
3.2 IPSec VPN的时间相关流特征 |
3.3 IPSec VPN流量识别的混合模型 |
4 基于混合模型的IPSec VPN流量识别关键算法 |
4.1 基于负载特征的IPSec VPN协议流量识别算法 |
4.2 基于流特征的IPSec VPN应用流量识别算法 |
5 实验结果与分析 |
5.1 数据采集与预处理 |
5.1.1 数据采集 |
5.1.2 类别不平衡处理 |
5.1.3 标准化 |
5.2 评价标准与实验结果 |
5.2.1 协议流量识别结果 |
5.2.2 参数优化结果 |
5.2.3 应用流量识别结果 |
5.2.4 时间开销结果 |
结束语 |
(3)船舶电站自动化及远程监控系统的设计与实现(论文提纲范文)
摘要 |
Abstract |
1 绪论 |
1.1 课题的背景 |
1.2 船舶电站自动化及远程监控系统的功能 |
1.3 国内外研究现状 |
1.3.1 国外船舶电站自动化及远程监控系统现状 |
1.3.2 国内船舶电站自动化及远程监控系统现状 |
1.4 本课题主要研究内容及工作 |
2 船舶电站自动化及远程监控系统的组成及工作原理 |
2.1 船舶电站自动化主要功能和工作原理 |
2.2 船舶同步发电机的准同步并车 |
2.2.1 船舶同步发电机的准同步并车意义 |
2.2.2 理想并车条件与准同步并车 |
2.3 自动调频调载的功能与原理 |
2.3.1 自动调频调载的主要功能 |
2.3.2 并联运行机组间有功功率分配与转移 |
2.3.3 调速器的工作原理及调速特性 |
2.3.4 PID控制器简介 |
2.4 VPN技术发展与需求研究 |
2.4.1 VPN技术的组成与功能 |
2.4.2 VPN组网的优势 |
2.4.3 IPSec技术 |
2.4.4 MPLS技术 |
2.4.5 SSL技术 |
2.4.6 船舶电站远程监控系统VPN需求分析 |
2.5 本章小结 |
3 船舶电站自动化系统的设计 |
3.1 船舶电站自动化系统的构成 |
3.1.1 船舶电站自动化系统的硬件基础 |
3.1.2 船舶电站自动化系统的软件基础 |
3.1.3 核心控制器软件程序设计 |
3.2 发电机组自动启动功能设计 |
3.3 自动准同步并车功能设计 |
3.3.1 自动准同步并车功能硬件设计 |
3.3.2 恒定超前时间检测程序设计 |
3.3.3 自动准同步并车功能程序设计 |
3.4 自动调频调载功能设计 |
3.4.1 自动调频调载功能硬件设计 |
3.4.2 虚有差调节法 |
3.4.3 自动调频调载功能程序设计 |
3.5 轻载解列与自动停机功能设计 |
3.6 本章小结 |
4 船舶电站远程监控系统的设计 |
4.1 系统通信网络的搭建方式分析 |
4.1.1 接入网络通信特点分析 |
4.1.2 VPN接入方式分析 |
4.1.3 监控系统结构介绍 |
4.2 VPN服务器安装及配置 |
4.2.1 VPN服务器软硬件基础 |
4.2.2 VPN服务器配置参数 |
4.3 船舶电站监控系统设计 |
4.3.1 监控系统的主要功能 |
4.3.2 监控系统通信与数据读写 |
4.3.3 监控系统功能界面设计 |
4.4 本章小结 |
5 船舶电站自动化及远程监控系统的实验与调试 |
5.1 实验平台简介 |
5.2 船舶电站自动化功能实验 |
5.2.1 自动准同步并车功能实验 |
5.2.2 自动调频调载功能实验 |
5.3 VPN系统连接测试 |
5.4 系统功能整体实验与调试 |
5.4.1 系统功能整体实验 |
5.4.2 实验过程中的故障与调试 |
5.5 本章小节 |
结论 |
参考文献 |
附录A 配置站点路由器程序 |
致谢 |
作者简历及攻读硕士学位期间的科研成果 |
(4)基于轻量级虚拟机监控器的安全计算环境(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.3 本文研究内容 |
1.4 本文组织结构 |
1.5 关键名词解释 |
第二章 相关理论与技术基础 |
2.1 Intel硬件虚拟化技术 |
2.1.1 CPU虚拟化 |
2.1.2 内存虚拟化 |
2.2 IPSec VPN相关理论与技术 |
2.2.1 IPSec协议 |
2.2.2 IPSec隧道建立原理 |
2.2.3 IKEv1 密钥交换和协商 |
2.3 AES原理 |
2.4 XTS-AES数据加密原理 |
2.5 TRESOR |
2.6 本章小结 |
第三章 系统总体设计 |
3.1 系统需求分析 |
3.2 系统总体结构设计 |
3.2.1 BitVisor架构 |
3.2.2 半穿透驱动程序 |
3.2.3 S-LVMM总体结构 |
3.3 系统运行流程 |
3.3.1 系统启动流程 |
3.3.2 内存加密模块工作流程 |
3.3.3 存储设备加密流程 |
3.3.4 VPN模块与strongSwan服务器交互流程 |
3.4 本章小结 |
第四章 系统详细设计与实现 |
4.1 密钥管理模块 |
4.1.1 密钥生成 |
4.1.2 密钥存储 |
4.2 AES实现模块 |
4.3 内存加密模块 |
4.3.1 页面管理 |
4.3.2 设备内存 |
4.3.3 DMA缓冲区 |
4.3.4 函数调用流程分析 |
4.4 存储设备加密模块 |
4.4.1 存储设备信息的配置 |
4.4.2 处理影子缓冲区数据 |
4.4.3 USB存储设备加解密实现 |
4.4.4 硬盘加解密实现 |
4.4.5 函数调用流程分析 |
4.5 VPN模块分析 |
4.5.1 S-LVMM的总体网络架构 |
4.5.2 IKEv1 密钥交换和协商实现 |
4.5.3 数据包的发送流程和SA的管理 |
4.6 本章小结 |
第五章 系统测试与分析 |
5.1 测试概述 |
5.2 strongSwan的编译安装和配置 |
5.3 S-LVMM的功能测试 |
5.3.1 S-LVMM的安装 |
5.3.2 S-LVMM的启动 |
5.3.3 存储设备加密模块功能测试 |
5.3.4 VPN模块功能测试 |
5.3.5 内存加密模块功能测试 |
5.4 S-LVMM的性能测试 |
5.5 本章小结 |
第六章 总结与展望 |
6.1 工作总结 |
6.2 未来展望 |
致谢 |
参考文献 |
攻读硕士期间取得的研究成果 |
(5)基于PFRING的国密SSL VPN网关的设计与实现(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 研究背景及意义 |
1.2 国内外研究现状 |
1.2.1 数据缓存技术与数据压缩技术 |
1.2.2 硬件加密设备在SSL VPN中的应用研究 |
1.2.3 SSL VPN隧道技术的研究 |
1.2.4 SSL VPN硬件技术研究 |
1.3 本论文研究内容及组织结构 |
1.4 本章小结 |
第2章 基于PF_RING的国密SSL VPN关键技术 |
2.1 国密SSLVPN协议研究 |
2.1.1 记录层协议 |
2.1.2 握手层协议 |
2.1.3 主密钥与工作密钥的计算 |
2.2 SSL VPN工作模式 |
2.2.1 Web代理模式 |
2.2.2 端口映射模式 |
2.2.3 IP连接模式 |
2.2.4 SSL VPN与IPsec VPN 比较 |
2.3 隧道技术 |
2.3.1 虚拟隧道技术 |
2.4 报文捕获技术 |
2.4.1 虚拟网卡技术 |
2.4.2 TCP/IP网络协议体系结构 |
2.4.3 PF_RING技术 |
2.5 高并发技术 |
2.5.1 线程池技术 |
2.5.2 网络I/O模型 |
2.5.3 Libevent网络框架 |
2.6 本章小结 |
第3章 基于PF_RING的国密SSL VPN设计 |
3.1 整体结构设计 |
3.2 功能模块设计 |
3.2.1 数据安全传输模块 |
3.2.2 PF_RING模块 |
3.2.3 网络地址转换模块 |
3.3 系统接口设计 |
3.3.1 Protobuf协议 |
3.3.2 通信消息定义 |
3.4 本章小结 |
第4章 基于PF_RING的国密SSL VPN实现 |
4.1 身份认证模块 |
4.1.1 国密数字证书 |
4.1.2 模块实现流程 |
4.2 访问控制模块 |
4.2.1 关键数据结构 |
4.2.2 模块实现流程 |
4.3 数据安全传输模块 |
4.3.1 国密算法支持 |
4.3.2 模块实现流程 |
4.4 PF_RING模块 |
4.4.1 模块实现流程 |
4.5 网络地址转换模块 |
4.5.1 模块实现流程 |
4.6 本章小结 |
第5章 系统测试 |
5.1 测试环境搭建 |
5.2 功能测试 |
5.2.1 身份认证功能 |
5.2.2 网络设置功能 |
5.2.3 安全报文传输功能 |
5.2.4 访问控制功能 |
5.3 性能测试 |
5.3.1 最大并发连接数 |
5.3.2 吞吐率性能 |
5.3.3 文件下载速率 |
5.4 本章小结 |
第6章 结论与展望 |
6.1 结论 |
6.2 展望 |
参考文献 |
攻读硕士学位期间发表的论文及其它成果 |
致谢 |
(6)VPN接入技术在市级行政服务中心数据通讯中的应用研究(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 论文背景及研究的目的和意义 |
1.2 VPN接入技术国内外研究现状 |
1.3 VPN接入技术的发展趋势 |
1.4 研究的内容和方法 |
第2章 VPN的类型及功能分析 |
2.1 VPN技术介绍 |
2.1.1 点到点隧道协议 |
2.1.2 第二层隧道协议 |
2.1.3 网络安全协议 |
2.1.4 通用路由封装协议 |
2.2 二三层主要隧道协议的比较 |
第3章 数据中心网络架构分析与设计 |
3.1 现有拓扑结构功能分析 |
3.1.1 外部网络 |
3.1.2 内部网络 |
3.2 拓扑结构的改进思路 |
3.3 设计新拓扑结构 |
3.3.1 某市电子监察系统需求分析 |
3.3.2 系统设计原则 |
3.3.3 新拓扑结构及解决的问题 |
第4章 搭建实验环境 |
4.1 模拟环境搭建及工具 |
4.1.1 路由与交换模拟:GNS3 |
4.1.2 模拟PC及服务器:Vmware Workstation |
4.1.3 服务器操作系统:Windows Server2008 |
4.1.4 网络封包分析软件:Wireshark |
4.1.5 模拟搭建实验环境前期准备 |
4.2 路由与交换的配置 |
4.2.1 IPsec配置 |
4.2.2 L2TP配置 |
4.2.3 L2TP地址映射 |
4.3 测试环境连通性 |
第5章 性能对比分析 |
5.1 虚拟专用网络性能研究 |
5.1.1 L2TP、IPsec(3DES)、GRE、NAT功能分析 |
5.1.2 L2TP、IPsec(DES)、GRE、NAT性能研究 |
5.1.3 L2TP(独立服务器)、IPsec(DES)、GRE、NAT性能研究 |
5.1.4 市级行政服务中心流量监控 |
5.2 客户端延时对比分析 |
第6章 总结 |
致谢 |
参考文献 |
作者简介 |
攻读硕士学位期间研究成果 |
(7)轻量级IPSec安全网关设计与实现(论文提纲范文)
摘要 |
abstract |
第1章 绪论 |
1.1 课题背景及意义 |
1.2 国内外研究现状 |
1.2.1 国外研究概况 |
1.2.2 国内研究概况 |
1.3 论文研究内容和组织结构 |
第2章 相关理论知识概述和关键技术 |
2.1 引言 |
2.2 IPSEC安全体系结构 |
2.2.1 IPSec两种安全协议 |
2.2.2 安全关联及密钥管理协议 |
2.2.3 IPSec封装模式 |
2.2.4 IPSec流量处理方式 |
2.3 IPSEC策略冲突检测技术 |
2.3.1 常用防火墙及IPSec策略冲突检测技术 |
2.3.2 前沿IPSec策略检测算法优缺点分析 |
2.4 IPSEC安全网关链路优化技术 |
2.4.1 IPSec安全网关链路优化技术概述 |
2.4.2 多路径传输技术 |
2.5 本章小结 |
第3章 IPSEC安全网关的策略冲突动态检测技术 |
3.1 引言 |
3.2 IPSEC策略冲突分类 |
3.3 基于IPCDR扩展的IPSEC策略冲突动态检测算法 |
3.3.1 IPSec策略的规则化描述 |
3.3.2 IPSec策略冲突动态检测 |
3.4 实验结果与分析 |
3.4.1 实验环境 |
3.4.2 实验方案 |
3.4.3 实验结果分析 |
3.5 本章小结 |
第4章 基于多路径传输的IPSEC链路优化技术 |
4.1 引言 |
4.2 面向缓冲空间限制的多路径传输拥塞管理机制 |
4.2.1 IPSec网关多路径传输机制 |
4.2.2 IPSec网关多路径传输的Incast缓解 |
4.3 实验结果与分析 |
4.3.1 实验方案 |
4.3.2 实验结果分析 |
4.4 本章小结 |
第5章 轻量级IPSEC安全网关设计与实现 |
5.1 方案设计 |
5.2 系统实现 |
5.2.1 解密处理流程 |
5.2.2 加密处理流程 |
5.3 系统典型应用 |
5.4 本章小结 |
结论 |
参考文献 |
致谢 |
(8)IPSec中间人攻击检测方法与防御策略的研究与应用(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 课题来源与背景 |
1.2 研究目的和意义 |
1.3 国内外研究现状 |
1.3.1 IPSec协议研究现状 |
1.3.2 中间人攻击与防御研究现状 |
1.3.3 异常流量检测方法研究现状 |
1.3.4 国内外研究现状简析 |
1.4 本文研究内容及组织结构 |
1.4.1 论文研究内容 |
1.4.2 论文组织结构 |
第2章 IPSec协议交互机理研究 |
2.1 密钥交换协议研究 |
2.1.1 ISAKMP协议框架研究 |
2.1.2 OAKLEY协商模式研究 |
2.1.3 SKEME密钥交换研究 |
2.1.4 IKE协商过程分析 |
2.2 封装安全负载协议研究 |
2.2.1 ESP报文格式研究 |
2.2.2 ESP数据通信研究 |
2.3 IPSec安全原理研究 |
2.3.1 IPSec中间人攻击原理分析 |
2.3.2 IPSec攻击检测防御原理分析 |
2.4 本章小结 |
第3章 IPSec中间人攻击方法研究 |
3.1 IPSec流量预处理方法 |
3.1.1 IKE流量预处理方法研究 |
3.1.2 预处理算法设计 |
3.2 IPSec报文欺骗方法 |
3.2.1 基于中间人机制的密钥计算方法 |
3.2.2 IKE协商报文欺骗算法 |
3.3 IKE协商身份欺骗方法 |
3.3.1 IKE第一阶段身份欺骗方法 |
3.3.2 IKE第二阶段身份欺骗方法 |
3.4 测试结果与分析 |
3.5 本章小结 |
第4章 攻击检测方法与防御策略研究 |
4.1 IPSec中间人攻击检测原理 |
4.2 基于特定报文频率的攻击类型识别方法 |
4.2.1 正常流量报文频率特征分析 |
4.2.2 攻击类型识别方法研究 |
4.3 基于时间间隔特征的攻击判定方法 |
4.3.1 攻击流量时间间隔特征分析 |
4.3.2 攻击判定方法研究 |
4.4 基于检测结果的防御策略研究 |
4.5 测试结果与分析 |
4.6 本章小结 |
第5章 验证平台的设计与实现 |
5.1 验证平台整体设计 |
5.2 相关技术介绍 |
5.2.1 DPDK快速转发技术 |
5.2.2 Open SSL库介绍 |
5.2.3 WinPcap库介绍 |
5.3 中间人攻击系统设计与实现 |
5.3.1 功能分析与模块设计 |
5.3.2 IKE模块设计 |
5.3.3 ESP模块设计 |
5.3.4 系统测试与分析 |
5.4 检测与防御原型系统设计与实现 |
5.4.1 系统设计 |
5.4.2 系统实现 |
5.4.3 系统测试与分析 |
5.5 验证平台测试与分析 |
5.5.1 测试方案 |
5.5.2 测试结果与分析 |
5.6 本章小结 |
结论 |
参考文献 |
攻读硕士学位期间发表的论文及其他成果 |
致谢 |
(9)国密IPSec VPN安全机制研究与实现(论文提纲范文)
摘要 |
ABSTRACT |
缩略语对照表 |
第一章 绪论 |
1.1 选题背景和意义 |
1.2 国内外研究现状 |
1.3 论文组织结构 |
第二章 IPSec VPN相关技术介绍 |
2.1 IPSec相关协议 |
2.1.1 IPSec协议 |
2.1.2 IKE协议 |
2.1.3 AH协议 |
2.1.4 ESP协议 |
2.2 IPSec工作模式 |
2.2.2 隧道模式 |
2.2.3 传输模式 |
2.2.4 两种模式区别 |
2.3 本章小结 |
第三章 IPSec VPN安全机制中主模式分析与研究 |
3.1 RFC标准主模式 |
3.1.1 两种模式区别 |
3.1.2 RFC标准下IKE主模式 |
3.2 主模式安全分析 |
3.2.1 DH交换与中间人攻击 |
3.2.2 中间人攻击与信息抵赖 |
3.2.3 国密标准下身份认证 |
3.3 国密标准安全机制中的主模式设计 |
3.3.1 OpenSwan整体架构设计 |
3.3.2 IKE主模式基础载荷设计 |
3.3.3 IKE主模式消息载荷设计 |
3.4 本章小结 |
第四章 IPSec VPN安全机制中加密算法分析与研究 |
4.1 对称加密算法 |
4.1.1 AES与SM1、SM4 |
4.1.2 算法比较与安全性分析 |
4.2 非对称加密算法 |
4.2.1 RSA与SM2 |
4.2.2 算法比较与安全性分析 |
4.3 哈希算法 |
4.3.1 SHA-1 与SM3算法 |
4.3.2 算法比较及安全性分析 |
4.4 Linux内核Crypto框架研究 |
4.4.1 加密算法模板 |
4.4.2 加密算法注册 |
4.4.3 Crypto框架主要调用关系 |
4.5 本章小结 |
第五章 国密IPSec VPN服务器设计与实现 |
5.1 安全机制整体研究与设计 |
5.1.1 安全机制研究 |
5.1.2 安全机制设计 |
5.2 国密IKE主模式实现 |
5.2.1 Usbkey介质编程开发 |
5.2.2 OpenSwan下主模式开发 |
5.3 内核添加加密算法实现 |
5.3.1 算法标识添加 |
5.3.2 算法注册内核模块 |
5.4 Xfrm框架研究与实现 |
5.4.1 Xfrm框架研究 |
5.4.2 Xfrm框架交互模块实现 |
5.5 Netfilter框架研究与实现 |
5.5.1 Netfilter框架钩子点 |
5.5.2 Netfilter框架原型 |
5.5.3 Netfilter框架内核模块实现 |
5.6 本章小结 |
第六章 国密IPSec VPN服务器测试与分析 |
6.1 软硬件开发环境 |
6.2 软件安装和配置 |
6.3 软件功能测试 |
6.3.2 服务器网关连接测试 |
6.3.3 数据包格式安全性分析 |
6.3.4 网络包过滤测试分析 |
6.4 软件性能测试 |
6.4.1 TCP单向传输速率测试 |
6.4.2 TCP双向传输速率测试 |
6.4.3 UDP单向传输速率测试 |
6.4.4 UDP双向传输速率测试 |
6.4.5 内存泄漏测试 |
6.4.6 稳定性测试 |
6.5 本章小结 |
第七章 总结与展望 |
7.1 总结 |
7.2 展望 |
参考文献 |
致谢 |
作者简介 |
(10)面向云服务的高性能安全接入网关的研究与实现(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 研究背景和意义 |
1.2 国内外研究现状 |
1.2.1 VPN网关并行化技术的研究现状 |
1.2.2 报文处理加速的研究现状 |
1.2.3 云服务下VPN网关的研究现状 |
1.3 本文研究内容及组织结构 |
第2章 基于DPDK的并行VPN网关框架的研究 |
2.1 VPN网关概述 |
2.1.1 基本原理 |
2.1.2 传统VPN简介 |
2.1.3 性能评价指标 |
2.1.4 性能评价方法 |
2.2 报文级并行VPN网关框架 |
2.2.1 DPDK加速技术 |
2.2.2 网卡多队列技术 |
2.2.3 流分类技术 |
2.2.4 报文转发模型 |
2.2.5 报文级并行框架设计 |
2.3 本章小结 |
第3章 VPN网关分段式路由算法的研究 |
3.1 DIR-24-8-BASIC分段式路由查找算法研究 |
3.1.1 路由查找原理 |
3.1.2 DIR-24-8-BASIC分段式路由查找算法 |
3.1.3 DIR-24-8-BASIC路由表结构改进 |
3.1.4 DIR-24-8-BASIC路由表结构对比分析 |
3.1.5 DIR-24-8-BASIC路由更新机制研究 |
3.2 基于DIR-24-8-BASIC的 VPN路由算法研究 |
3.2.1 VPN路由算法原理 |
3.2.2 VPN路由查找算法 |
3.2.3 VPN路由更新算法 |
3.3 实验测试与分析 |
3.3.1 实验方法 |
3.3.2 实验过程 |
3.3.3 结果分析 |
3.4 本章小结 |
第4章 VPN网关多线程数据同步算法的研究 |
4.1 VPN多线程数据同步机制研究 |
4.1.1 VPN会话管理技术 |
4.1.2 VPN多线程数据同步原理 |
4.1.3 VPN多线程数据同步机制 |
4.2 VPN多线程数据同步算法设计 |
4.2.1 会话同步结构设计 |
4.2.2 路由同步结构设计 |
4.2.3 数据同步算法设计 |
4.3 实验测试与分析 |
4.3.1 多线程吞吐量测试 |
4.3.2 线程核间数据交换测试 |
4.4 本章小结 |
第5章 原型系统的设计与测试分析 |
5.1 DPVG应用场景 |
5.2 DPVG系统设计与实现 |
5.2.1 DPVG整体结构设计 |
5.2.2 多线程并行框架设计与实现 |
5.3 测试环境和方法 |
5.3.1 测试环境 |
5.3.2 测试对象 |
5.3.3 测试方法 |
5.3.4 环境测试 |
5.4 测试结果和分析 |
5.4.1 吞吐量测试 |
5.4.2 时延及抖动测试 |
5.4.3 并发性能测试 |
5.4.4 批处理性能测试 |
5.4.5 系统开销测试 |
5.4.6 整体测试结果讨论和分析 |
5.5 本章小结 |
结论 |
参考文献 |
致谢 |
四、IPSec VPN关键技术研究与应用分析(论文参考文献)
- [1]基于混合方法的IPSec VPN加密流量识别[J]. 周益旻,刘方正,王勇. 计算机科学, 2021(04)
- [2]IPSec VPN安全性漏洞分析及验证[J]. 周益旻,刘方正,杜镇宇,张凯. 计算机工程, 2021(06)
- [3]船舶电站自动化及远程监控系统的设计与实现[D]. 李坤阳. 大连海事大学, 2020(01)
- [4]基于轻量级虚拟机监控器的安全计算环境[D]. 赵明. 电子科技大学, 2020(07)
- [5]基于PFRING的国密SSL VPN网关的设计与实现[D]. 赵鹏. 华北电力大学(北京), 2020(06)
- [6]VPN接入技术在市级行政服务中心数据通讯中的应用研究[D]. 刘霞. 长春工业大学, 2019(02)
- [7]轻量级IPSec安全网关设计与实现[D]. 徐衍鹏. 哈尔滨工程大学, 2019(03)
- [8]IPSec中间人攻击检测方法与防御策略的研究与应用[D]. 王冠群. 哈尔滨工业大学, 2018(02)
- [9]国密IPSec VPN安全机制研究与实现[D]. 张越. 西安电子科技大学, 2018(02)
- [10]面向云服务的高性能安全接入网关的研究与实现[D]. 邹新一. 哈尔滨工业大学, 2018(02)