基于PKI身份認證和訪問控制的IKE協(xié)議研究和實現(xiàn).pdf

1、本文主要研究IPsec協(xié)議簇中的IKE協(xié)議部分，提出將ECC、PKI、RBAC訪問控制技術同IKE協(xié)議結合起來，設計一個增強的基于PKI身份認證和訪問控制的IKE協(xié)議。設計并實現(xiàn)了這個IPsecVPN安全網(wǎng)關原型系統(tǒng)，論文的具體研究和實現(xiàn)工作包括如下幾個方面：對現(xiàn)有IKE相關技術進行研究，分析其優(yōu)缺點，找出自己研究的切入點。對PKI技術和ECC技術進行研究。闡述了使用ECC和PKI技術的優(yōu)勢：使用ECC技術具有更好的效率和安全性；采用基

2、于PKI的身份認證技術提高了IKE身份認證的安全性和系統(tǒng)的部署可擴展性；采用基于屬性證書的RBAC訪問控制技術，可以實施更細粒度的訪問控制技術。支持DER和PEM格式的數(shù)字證書。對DPD協(xié)議進行研究，設計并實現(xiàn)了對DPD的支持，有效解決了通信對方不在線的發(fā)現(xiàn)機制并重新協(xié)商，提高系統(tǒng)健壯性和效率。對原型系統(tǒng)進行安全性分析，針對MD5、SHA1報文摘要算法的破解，分析了對課題系統(tǒng)可能帶來的潛在安全威脅，并提出了應對措施。對原型系統(tǒng)進行測試和