系統識別號 | U0002-1806200714030900 |
---|---|
DOI | 10.6846/TKU.2007.00521 |
論文名稱(中文) | IPsec效能分析及IPsec VPN架構設計之研究 |
論文名稱(英文) | IPsec Performance and IPsec VPN Architecture study |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊管理學系碩士班 |
系所名稱(英文) | Department of Information Management |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 95 |
學期 | 2 |
出版年 | 96 |
研究生(中文) | 呂佐鴻 |
研究生(英文) | Tso-Hung Lu |
學號 | 693521121 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2007-06-09 |
論文頁數 | 50頁 |
口試委員 |
指導教授
-
李鴻璋
委員 - 魏士杰 委員 - 金力鵬 委員 - 廖岳祥 |
關鍵字(中) |
IPsec IPv6 認證標頭 加密安全承載資料 虛擬私有網路 |
關鍵字(英) |
IPsec AH ESP VPN IPv6 |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
目前較熱門的虛擬私有網路技術有IPsec和SSL虛擬私有網路,雖然IPsec在IPv4網路環境與NAT有建置上的複雜度,但在未來的五年,隨著IPv4的位址用盡和IPsec已成為IPv6協定標準的一部分,使得IPsec在IPv6網路環境上的建置更顯的重要和簡單,所以本論文探討IPsec虛擬私有網路在不同網路環境下的策略研究,以顯示出在IPv6網路環境下的不同網路架構建置IPsec都簡單而且大同小異,不需繁雜的設定步驟。本研究實驗IPsec在IPv6網路環境上使用不同整數運算能力主機時TCP和UDP傳輸資料的輸出量(throughput),以探討使用不同整數運算能力主機對於IPsec套用認證標頭和加密安全承載資料時效能的差異性。 本論文實驗結果顯示出,在TCP協定上使用IPsec的輸出量為未使用IPsec時的77.04%(較高運算能力主機)和75.46%(較低運算能力主機),而ARIGA只有未使用IPsec時的四分之ㄧ。同樣的,在UDP協定上,未使用IPsec的輸出量分別為80.31%和75.36%,ARIGA為未使用IPsec的九分之ㄧ。本文效能實驗結果希望能夠泯除在IPv6上使用IPsec導致效能嚴重下降的疑慮。 |
英文摘要 |
IPsec VPN and SSL VPN are getting popular nowadays. It is complex when IPsec is established with NAT in the IPv4 network. Future five years, when the IPv4 address is used finished and IPsec have now become a part of IPv6 standard, the establishment which IPsec is in the IPv6 network will be more important and easier. This research is about the policy setting which IPsec VPN is in the different network architecture. There are similar settings even if the network architecture is different. This research also do some experiment to gain the throughput of TCP/UDP data transmission by using different ability host and IPsec is implemented in the IPv6 network. We also research the different of throughput which different host uses the authentication header (AH) and encapsulating security payload (ESP). With both the AH and the ESP by using TCP, the throughput degrades to about 77.04% (higher ability host) and 75.46% (lower ability host), but ARIGA’s result shows that the throughput degrades to 1/4. When it is by using UDP, the throughput degrades to about 80.31% and 75.36%, but ARIGA’s result shows that the throughput degrades to 1/9. We hope this research can reduce the misgivings which the throughput dropped seriously when IPsec is used in the IPv6 network. |
第三語言摘要 | |
論文目次 |
目錄 I 圖目錄 III 表目錄 V 1.導論 1 2.文獻探討 2 2.1 IPSEC 2 2.1.1 IPsec on IPv6 2 2.1.2 IPsec的運作方式 3 2.1.3 IPsec的封包結構 3 2.1.4 IPsec的運作模式 4 2.1.5 IPsec的協定 4 2.1.6 安全關聯(Security Association) 5 2.1.7 AH協定 9 2.1.8 ESP協定 11 2.1.9 ISAKMP(Internet Security Associate Key Manage Protocol) 14 2.1.10 金鑰交換協定(Internet Key Exchange) 16 2.2 SSL (SECURE SOCKET LAYER) 17 2.2.1 SSL紀錄協定(SSL Record Protocol) 17 2.2.2 握手協定(Handshake Protocol) 17 2.3 虛擬私有網路(VIRTUAL PRIVATE NETWORK, VPN) 18 2.3.1 用戶端對用戶端虛擬私有網路 19 2.3.2 用戶端對站台虛擬私有網路 19 2.3.3 站台對站台虛擬私有網路 19 2.3.4 VPN技術 20 2.4 IPSEC VPN與SSL VPN的差異性 22 3. IPSEC 策略設計探討 23 3.1 內部網路(INTRANET) 23 3.1.1 內部網路INTRANET(一) 23 3.1.2 內部網路INTRANET(二) 25 3.1.3 中心點到分支點架構 26 3.2 商業網路(EXTRANET) 26 3.2.1. 單一站台的商業網路(Single Site Hosts Extranet) 27 3.2.2. 站台間的商業網路(Each Site Hosts Extranet) 28 4. IPSEC效能分析 31 4.1. 實驗目的 31 4.2. 實驗環境 31 4.3. 實驗結果 32 4.4. 效能比較 33 4.4.1. TCP Stream 33 4.4.2. UDP Stream 35 4.4.3. Host #1 V.S Host #2 36 4.4.4. 本論文V.S ARIGA 38 5. 結論 40 參考文獻 41 附錄A 軟體環境 43 A-1 TCP_CLIENT程式 43 A-2 TCP_SERVER程式 45 A-3 UDP_CLIENT程式 46 A-4 UDP_SERVER程式 49 圖目錄 圖2-1:IPV6 封包傳送架構 2 圖2-2:IPV6 標頭的架構 3 圖2-3:IPV6 AH和ESP延伸標頭封包 3 圖2-4:IPSEC表頭的位置 3 圖2-5:IPSEC 傳輸模式 4 圖2-6:IPSEC 通道模式 4 圖2-7:IPSEC實作結構 5 圖2-8:IPSEC 安全關聯和安全策略資料庫關係圖 (通道模式) 8 圖2-9:AH 標頭格式 9 圖2-10:SHA-1為例之認證資料 10 圖2-11:AH 於TRANSPORT MODE的IPV4封包示意圖 10 圖2-12:AH於傳輸模式的IPV6封包示意圖 11 圖2-13:AH於通道模式的IPV4/IPV6封包示意圖 11 圖2-14:ESP封包格式 12 圖2-15:ESP 於傳輸模式的IPV4封包示意圖 13 圖2-16:ESP 於傳輸模式的IPV6封包示意圖 13 圖2-17:ESP 於通道模式的IPV4/IPV6封包示意圖 14 圖2-18:ISAKMP標頭格式 14 圖2-19:SSL協定架構 17 圖2-20:握手協定流程 18 圖2-21:用戶端對用戶端虛擬私有網路 19 圖2-22:用戶端對站台虛擬私有網路 19 圖2-23:站台對站台虛擬私有網路 20 圖2-24: 點對點通道通訊協定封包架構 20 圖2-25:第二層通道通訊協定封包架構 21 圖3-1:內部網路網路架構圖 23 圖3-2:單一站台商業網路架構圖 27 圖3-3:EACH SITE EXTRANET網路架構圖 28 圖4-1:本論文實驗架構 32 圖4-2:TCP STREAM OF HOST #1 33 圖4-3:TCP STREAM OF HOST #2 34 圖4-4:UDP STREAM OF HOST #1 35 圖4-5:UDP STREAM OF HOST #2 35 圖4-6:IPV6 TCP STREAM 36 圖4-7:IPV6 UDP STREAM 36 圖4-8:ARIGA實驗架構 38 圖4-9:IPV6 TCP STREAM (SEIJI ARIGA) 38 圖4-10:IPV6 UDP STREAM (SEIJI ARIGA) 39 表目錄 表2-1:IPSEC與SSL 虛擬私有網路的差異性 22 表3-1:OFFICE A與OFFICE B、C之間通訊保護的策略 23 表3-2:OFFICE A與MAIN OFFICE之間通訊保護的策略 24 表3-3:MAIN OFFICE與OFFICE A、B、C之間通訊保護的策略 24 表3-4:四間辦公室與行動工作者之間通訊保護的策略 24 表3-5:行動工作者與四間辦公室之間通訊保護的策略 25 表3-6:OFFICE A與MAIN OFFICE之間通訊保護的策略 25 表3-7:行動工作者與四間辦公室之間通訊保護的策略 26 表3-8:商業網路與其他公司之間的策略 27 表3-9:各公司與EXTRANET之間的策略 28 表3-10:A公司商業網路與各公司商業網路之間的策略 29 表3-11:B公司商業網路與各公司商業網路之間的策略 29 表3-12:CA-BASED 策略 29 表4-1:IPV6 TCP STREAM (HOST#1) 32 表4-2:IPV6 TCP STREAM (HOST#2) 32 表4-3:IPV6 UDP STREAM (HOST#1) 33 表4-4:IPV6 UDP STREAM (HOST#2) 33 表4-5:各演算法與NO IPSEC效能比(TCP STREAM) 34 表4-6:各演算法與NO IPSEC效能比(UDP STREAM) 35 表4-7:HOST #2/HOST #1 (TCP STREAM) 37 表4-8:HOST #2/HOST #1 (UDP STREAM) 37 |
參考文獻 |
[1] A. Valencia, K. Hamzeh, A. Rubens, T. Kolar, M. Littlewood, W. M. Townsley, J. Taarud, G. S. Pall, B. Palter and W. Verthein,”Layer Two Tunneling Protocol (L2TP)”, RFC 2661, 1999. [2] B.Carpenter and K.Moore, ” Connection of IPv6 Domains via IPv4 Clouds”, RFC3056, 2001 [3] D.Harkins. and D.Carrel ,”The Internet Key Exchange(IKE)”, RFC2409, 1998 [4] Internet Engineering Task Force: http://www.ietf.org/ [5] D.Harkins and N.Doraswamy , “IPsec: The new security standard for the Internet, intranets, and virtual private networks”, Second Edition, Prentice Hall PTR, 2002 [6] K. Egevang and P. Francis,“The IP Network Address Translator (NAT) ”,RFC 1631, 1994 [7] K.Nakahara,” Building VPN using IPv6”, http://www.ipv6style.jp/building/20030506/, 2003 [8] K.Hamzeh, G.S. Pall, W.Verthein, J.Taarud and W. Andrew Little,“Point-to-Point Tunneling Protocol (PPTP)”,RFC 2637, 1999. [9] D.Maughan, M.Schertler, M.Schneider and J.Turner, “Internet Security Association and Key Management Protocol(ISAKMP)”,RFC2408, 1998 [10] W.Stallings , “Network Security Essentials : Applications and Standards”, Second Edition, Prentice Hall, 2002 [11] H.Orman, “The Oakley Key Determination Protocol”, RFC 2412, 1998 [12] P.Feguson and G.Huston, ”What is VPN?”, http://www.employees.org/~ferguson/vpn.pdf , 1998 [13] R.Hinden and S,Deering, “IP Version 6 Addressing Architecture”, RFC 2373 , 1998 [14] S.Deering and R.Hinden, “Internet Protocol, Version 6 Specifications”, RFC 2460 , 1998 [15] S.Kent and R.Atkinson, “IP Authentication Header”, RFC 2402, 1998 [16] S.Kent and R.Atkinson, “IP Encapsulating Security Payload (ESP)” , RFC 2406 , 1998 [17] S.Kent and R.Atkinson, “Security Architecture for the Internet Protocol”, RFC 2401, 1998 [18] Seiji ARIGA, Masaki MINAMI, Hiroshi ESAKI and Jun MURAI, ”Performance Evaluation of Data Transmission Using IPsec over IPv6 Network”, INET, Japan, 2000 [19] P.Srisuresh and K.Egevang ,”Traditional IP Network Address Translator(Traditional NAT)”, RFC 3022, 2001 [20] 林宸堂,”IPsec VPN 的難題:Firewall 與 NAT 的配置”,網路通訊雜誌,十月號,2001 [21] 張瑞雄等人,IPv6新世代網際網路協定暨整合技術,旗標出版股份有限公司,2004 [22] 葉輝煌,”動態IP網路中實行IPsec VPN”, 國立台灣科技大學資訊工程研究所碩士論文,2005 [23] 萩野純一郎著、賴紅燕譯, IPv6網路程式設計,博碩文化股份有限公司,2004 [24] 賴溪松、韓亮、張真誠,近代密碼學及其應用,旗標出版股份有限公司,2004 [25] 謝佳男、朱勇正、陳懷恩 ,IPv6解析,美商歐萊禮,2003. |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信