本文主要研究IPsec协议簇中的IKE协议部分,提出将ECC、PKI、RBAC访问控制技术同IKE协议结合起来,设计一个增强的基于PKI身份认证和访问控制的IKE协议。设计并实现了这个IPsec VPN安全网关原型系统,论文的具体研究和实现工作包括如下几个方面: ◇对现有IKE相关技术进行研究,分析其优缺点,找出自己研究的切入点。 ◇对PKI技术和ECC技术进行研究。阐述了使用ECC和PKI技术的优势: 使用ECC技术具有更好的效率和安全性;采用基于PKI的身份认证技术提高了IKE身份认证的安全性和系统的部署可扩展性;采用基于属性证书的RBAC访问控制技术,可以实施更细粒度的访问控制技术。支持DER和PEM格式的数字证书。 ◇对DPD协议进行研究,设计并实现了对DPD的支持,有效解决了通信对方不在线的发现机制并重新协商,提高系统健壮性和效率。 ◇对原型系统进行安全性分析,针对MD5、SHA1报文摘要算法的破解,分析了对课题系统可能带来的潜在安全威胁,并提出了应对措施。 ◇对原型系统进行测试和分析。测试结果表明,原型系统可以和Linux v2.6内核IPsec模块正常工作,并对测试结果进行分析,原型系统达到了最初的设计目标。 本论文研究内容来源于江苏省自然科学基金项目:基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究(项目编号:BK2004039)。