论文部分内容阅读
接入网(Access Network)是指Internet骨干网络到用户终端之间的所有设备,其中包含运营商提供的DNS(Domain Name System,域名系统)递归解析服务器、SIP(Session Initiation Protocol,会话发起协议)服务器等重要的服务器设备。这些设备一方面作为用户访问互联网的入口,安全要求较高;另一方面,又直接暴露在接入网内的攻击者面前,受到较大的安全威胁。 有研究者提出使用IPsec(Internet Protocol Security,互联网安全协定)来保护这些服务,其具体方式为:以手动配置或自动协商的方式,在通信双方之间形成一套包括双方IP地址、会话密钥等会话参数在内的IPsec SA(SecurityAssociation,安全关联)。本文从接入网内用户主机与目标服务器之间的IPsecSA的构建方式入手,尝试通过将其与IP地址的动态分配过程相集成,以降低配置负担、并改善性能。 针对用户主机与目标服务器之间缺乏初始信任关系的所导致的手动配置负担,本文引入了地址分配服务器作为“网络参数协调者”,代理双方进行SA参数协商,然后将协商的结果直接分发双方,从而免除了手动配置共享密钥/证书的管理负担。对于其中涉及到的信任关系,本文也作了详细论证。针对接入网内各种不同的应用场景,本文根据加密点所处的位置,将其分为“家庭模式”和“公共模式”两大类。这两类模式所需要协商的IPsec SA参数不同,所以分别设计了其交互流程和报文结构。针对会话密钥到期、路由器中NAT-T表项到期、IP地址变更等原因所致的IPsec SA失效事件,本文在研究了手动配置IPsec SA参数的基础上,总结出一部分核心参数,将其缓存起来以便快速重建SA,实现容错机制。针对同一台用户主机同时与多个目标服务器建立IPsec SA、以及多个用户主机与相同的目标服务器建立IPsec SA的需求,本文设计了一套多线程并发协商框架以避免冗余的消息,提高协商效率和整体的响应速度。 最后基于本文的研究在开源的DHCP、PPPoE/IPCP软件上实现了原型系统,并进行了与传统的IKEv2的对比实验。实验结果表明,在协商时延、CPU负载、报文尺寸等方面,本文提出的方案都具有更好的表现,且随着并发度的提高呈现更加明显的优势。