基于CGA保護(hù)的IPv6 VPN的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷增加，IPv4協(xié)議本身暴露出越來越多的不足，如IPv4地址的稀缺，服務(wù)質(zhì)量的不足，以及日益突出的安全問題等，使得IPv4協(xié)議已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展。由IETF提出了IPv6協(xié)議標(biāo)準(zhǔn)，旨在重點(diǎn)解決IP地址稀缺的問題。經(jīng)過多年的發(fā)展，IPv6技術(shù)趨向成熟，使IPv6協(xié)議成為具有極大商業(yè)前景的技術(shù)。但是安全問題是其中一個(gè)至關(guān)重要的環(huán)節(jié)，如果解決不了安全問題將會(huì)極大地阻礙IPv6的商業(yè)應(yīng)用。
　　

2、 虛擬專用網(wǎng)（VPN,Virtual Private Network）是針對網(wǎng)絡(luò)安全通信服務(wù)的一項(xiàng)重要熱門應(yīng)用。VPN技術(shù)的安全性體現(xiàn)在通信數(shù)據(jù)保密、數(shù)據(jù)完整性校驗(yàn)和身份認(rèn)證。VPN已經(jīng)在各行各業(yè)得到廣泛應(yīng)用，但是隨著VPN的發(fā)展，人們不僅僅滿足于其現(xiàn)有的功能。而是對它的安全性以及QoS提出了更高的要求，于是探索新的策略方法和算法等來提高性能，期望在新一代的互聯(lián)網(wǎng)絡(luò)中的應(yīng)用能夠更加完善。常用的VPN種類有IPSEC VPN、SSIL V

3、PN、L2TP VPN等。
　　 首先，本文對現(xiàn)有的IPV6 VPN技術(shù)進(jìn)行分析，以IPSEC VPN為例，詳細(xì)研究了IPSEC VPN體系結(jié)構(gòu)，包括其中的SA、SP、AH、ESP、IKE技術(shù)，并在此基礎(chǔ)上論述了IPSec的工作模式和通信流程，并詳細(xì)介紹了通過ipsec-tools工具建立IPv6下IPSEC VPN的過程。由于IPv4將在長時(shí)間與IPv6協(xié)議共存，所以介紹了6to4隧道技術(shù)，能夠幫助解決IPv6網(wǎng)絡(luò)和IPv4網(wǎng)

4、絡(luò)的互通技術(shù)。
　　 接著重點(diǎn)研究了CGA（Cryptographically Generated.Addresses，密碼生成地址）協(xié)議，新系統(tǒng)中通過添加CGA擴(kuò)展頭的方式保護(hù)IPv6 VPN的建立，其中通過RSA簽名驗(yàn)證機(jī)制完成身份認(rèn)證，利用CGA驗(yàn)證完成源地址驗(yàn)證來消除由源地址偽造帶來的網(wǎng)絡(luò)安全威脅和攻擊行為，而DH參數(shù)部分交換完成建立SA所需要的密鑰的協(xié)商。論文具體介紹了CGA協(xié)議的各個(gè)部分，如CGA格式和參數(shù)，CGA的

5、生成和驗(yàn)證以及CGA的簽名，并設(shè)計(jì)了CGA擴(kuò)展頭，詳細(xì)介紹了擴(kuò)展頭中添加的參數(shù)，包括SA參數(shù)、DH生成添加SA所需的密鑰參數(shù)、CGA參數(shù)，并給出了它們的數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn)。另外通過IKEV1與新系統(tǒng)流程的對比，分析了新系統(tǒng)簡化的流程在安全性上的特點(diǎn)，如增加了抗重放攻擊、源地址驗(yàn)證。
　　 最后，本文介紹了基于CGA保護(hù)的IPv6 VPN的系統(tǒng)模型，實(shí)現(xiàn)的幾種關(guān)鍵技術(shù)，分析了系統(tǒng)的應(yīng)用場景，詳細(xì)介紹了系統(tǒng)的功能模塊和系統(tǒng)模塊的工作流程，