返回
linux下基于ipsec的网络安全研究与实现

linux下基于ipsec的网络安全研究与实现

ID:35125533

大小:2.29 MB

页数:78页

时间:2019-03-19

linux下基于ipsec的网络安全研究与实现_第1页
linux下基于ipsec的网络安全研究与实现_第2页
linux下基于ipsec的网络安全研究与实现_第3页
linux下基于ipsec的网络安全研究与实现_第4页
linux下基于ipsec的网络安全研究与实现_第5页
资源描述:

《linux下基于ipsec的网络安全研究与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、西南交通大学硕士学位论文Linux下基于IPSec的网络安全研究与实现姓名:邓攀申请学位级别:硕士专业:计算机应用技术指导教师:李成忠20060301西南交通大学硕士研究生学位论文第1页摘要随着Internet的迅速发展和网络技术的不断提高,网络已成为现代社会信息交流的重要途径。Internet提供的开放性网络环境也带来许多安全隐患,网络安全问题已经越来越受到人们的关注。传统的网络安全措施还存在许多缺陷,不能完全解决网络安全问题。IPsec的出现弥补了传统安全技术的不足,提供了更加完善的网络安全保护。IPsec在IP层上对数据包进行高强度的安全处理,提供了IP包数据源认证、

2、数据完整性、数据机密性以及抗重播等安全服务。各种上层协议也可以直接或间接地使用在IP层提供的安全服务,因而不必分别设计和实现各自的安全机制,提高了执行效率,也降低了产生安全漏洞的可能性。IPSec协议标准作为一种很好的网络安全架构,非常值得我们学习和借鉴。我们希望通过研究IPsec协议本身和IPsec产品技术发展,最终设计出我们自主知识产权的网络安全协议和网络安全产品。本文对IPsec架构以及IPsec协议体系的各个组件进行了简单介绍,随后针对IPsec协议的特点,分析了IPsec构建VPN的优点与难点,并提出了在网关间部署IPSecVPN的方法。选择Linux作为IPSe

3、c实现平台,对2.4版本以上内核的netfilter网络框架进行了分析研究,提出了利用netfilter中的H00K点插入IPsec处理模块的方式。这种实现方式可以将IPsec处理模块无缝地加入到IP层中,不对内核进行修改,只进行功能上的扩充。并详细阐述了IPSec在IP层处理中的流程,对IPsec主要功能模块的实现方法进行了设计说明。最后在Linux网关上构建了一个IPSecVPN模型,并对IPSec进行了安全性能测试。通过对所截获数据包的分析,表明数据包在传输过程中已被ESP加密,无法看到数据包中有用的内容,验证了其安全功能。关键词:网络安全;IPSec:VPN;ESP

4、西南交通大学硕士研究生学位论文第1页第1章绪论1.1研究背景随着信息化进程的深入和Internet的迅速发展,人们的工作、学习和生活方式正在发生巨大变化。Internet提供的互联性和开放性网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,紧随信息化发展而来的信息安全问题日渐凸出。信息安全是国家政治、军事、经济以及社会生活正常运行的基础,也是一个国家综合实力的重要体现。网络安全是信息安全的一个分支,主要面对的是计算机网络中的系统访问权限安全、系统工作状态安全和信息可获性安全等

5、问题。如果不很好地解决网络安全问题,必将阻碍信息化发展的进程。在互联网进入我国后,网络安全问题虽然逐渐受到关注,但实际上我国目前的网络安全现状却是令人担忧的。包括政府、银行、证券及ISP/ICP等在内的许多企业单位的安全意识普遍薄弱,从而为网络犯罪提供了温床。我国网络安全方面存在的一些问题,比较突出的反映在网络安全产品使用比较单一,入侵检测系统、身份认证技术、加密技术等的普及程度还很低。目前,计算机系统面临的最重要的网络安全风险包括两方面:第一种网络风险是信息在网络传输时被窥探或非法修改。由于目前网络上传输的信息大部分为明文信息,很多服务器的操作系统登录密码仍缺省采用明文密

6、码方式,有些政府部门、企业随意用Internet传递未经加密的敏感文件或电子邮件。而Internet存在大量可以免费下载的黑客软件。借助这些傻瓜式的黑客软件,即使是普通的初学者也可以很容易获得这些敏感信息。另外,有些未经授权的第三方不仅截获了在网络传输的数据流,而且还篡改了其中的数据。这种现象在电子商务交易中最为常见,特别是如果网上转账、网上交易的金额被第三方修改,将造成交易方的巨大损失。第二种网络风险是来自Internet对内部网的非法访问和攻击。在理论上,只要存在物理连接,就有被非法访问和攻击的可能存在。重播攻击是最简单实用的网络攻击方式,它不断发送序列号相同的数据包占

7、用有限的系统资源,直到系统崩溃。更新的攻击破坏的方法也还在不断地出现。为了防止非法访问和攻击,除了加强网络安全防护外,还需要保留相关的证据,也就是取得非法访问者的真实地址IP。然而,一个IP数据包是否来自其真正的源地址,IP协议本身并不提供任何保障,IP地址是可以被伪造的。这样一西南交通大学硕士研究生学位论文第2页来,基于IP地址标识的数据包事实上是不可信的,这就使得一些基于IP地址实现的访问控制技术失效,同时也使得对网络攻击者的追查与取证变得更为困难。从技术上解决网络安全问题取决于以下两个方面:一是网络硬件设备,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。