IKE协议在Linux系统上实现的技术分析以及在2.6内核上实现

论文摘要

随着Internet 不断地壮大发展,它的安全问题也日益突出。IPSec 协议族是解决公用网上IP 数据传输安全性的一个有效手段。IKE(Internet Key Exchange)协议是IPSec(IP Security)协议族中最重要的协议之一,它为使用IPSec 进行安全通信的两个网络节点(主机或者路由器)之间提供身份认证、协商安全关联和生成共享密钥等机制,并对安全关联数据库进行填充。就目前而言,在Linux 上IKE 协议的实现并非为一个可独立运行的软件,而是做为其他IPSec 套件(如FreeS/WAN)的一部分来实现的。这种实现方式将IPSec 对报文的处理和IKE 协议的实现混合在一起,既增加了IKE 协议实现的复杂性,又破坏了IKE 协议的独立性,也不利于IKE 协议自身一些功能的扩展。而在2003 年底发布的Linux 2.6 内核已经实现了IPSec 处理和数据加解密处理,这样要求IKE 协议的实现必须同IPSec 实现分离。并且2.6 内核支持PF_KEY 套接字。这样,IKE 协议的实现可以在用户空间实现,利用PF_KEY 套接字与内核进行通信,为IPSec 提供自动协商的SA。针对这种情况,我们有必要重新设计实现IKE 协议。我们在实现IKE 协议的时候,着重考虑了Linux2.6 内核的特点和IPSec 协议的需求,以求设计出合理的IKE 结构模型,从而降低实现复杂度,提高可理解性和增强可扩展性。论文首先深入地分析了IKE 协议,包括IKE 协议的组成、IKE 协议消息的格式以及IKE 协议协商的过程,然后对协议可能受到的各种安全攻击进行了分析并提出了相应的解决办法,在此基础上深入地研究了IKE 协议在Linux 上的实现,从而提出了一个可行的基于Linux 2.6 内核的IKE 协议实现方案,并且对事件处理子系统、与内核交互子系统的具体实现进行了详细的描述。最后对IKE协议实现软件进行了测试。

论文目录

摘要

ABSTRACT

图表目录

缩略字表

第一章引言

1.1 课题背景及意义

1.2 本人完成的主要工作

1.3 本文各章节安排

第二章 IKE 协议研究

2.1 IKE 协议组成

2.2 基本概念

2.2.1 安全关联

2.2.2 安全参数索引

2.2.3 完美向前保密

2.2.4 Diffie-Hellman 交换

2.2.5 RSA

2.3 IKE 消息格式

2.3.1 ISAKMP 的头格式

2.3.2 通用载荷头

2.3.3 数据属性

2.3.4 载荷类型

2.4 IKE 协商

2.4.1 IKE 协商阶段和模式

2.4.2 阶段一协商

2.4.3 阶段二协商

2.4.4 密钥产生

2.5 IKE 协议安全性研究

2.5.1 IKE 协议安全机制

2.5.2 IKE 协议安全性不足与改进

第三章 IKE 系统在Linux 上实现的技术分析

3.1 FreeS/WAN 中的IKE 系统

3.2 Linux 2.6 内核代码分析

3.2.1 Linux 2.6 内核上IKE 系统与内核SADB 之间通信流程

3.2.2 IKE 系统向内核添加SA

3.2.3 内核向IKE 系统发出“创建SA”请求

3.2.4 内核通知某个SA 过期

3.2.5 分析结论

3.3 Linux 2.6 内核上IKE 系统实现

3.3.1 系统管理子系统实现的功能

3.3.2 事件处理子系统实现的功能

3.3.3 IKE 协商处理子系统实现的功能

3.3.4 与内核交互子系统实现的功能

第四章事件处理子系统的设计

4.1 事件处理子系统的结构

4.2 监听模块

4.3 管理消息模块

4.4 协商消息模块

4.5 时钟事件模块

4.6 事件处理子系统外部接口定义及数据结构设计

第五章事件处理子系统的实现

5.1 监听模块的处理

5.2 管理消息的处理

5.3 协商消息的处理

5.4 时钟事件的处理

第六章与内核交互子系统的实现

6.1 向内核发送消息

6.2 从内核读取消息

第七章 IKE 系统测试及结果分析

7.1 IKE 系统测试实验平台介绍

7.2 IKE 系统启动测试

7.2.1 配置主机A 的安全策略库

7.2.2 配置主机B 的安全策略库

7.2.3 IKE 系统启动协商

7.3 协商生成安全关联

7.4 传递数据包加密测试

7.5 实验分析总结

第八章总结

参考文献

致谢

个人简历

攻读硕士学位期间的研究成果及奖励

IKE协议在Linux系统上实现的技术分析以及在2.6内核上实现

论文摘要

论文目录

相关论文文献

猜你喜欢