基于IKE機制的VPN網(wǎng)關(guān)研究與實現(xiàn).pdf

1、IPSec作為虛擬專用網(wǎng)(VPN)的實現(xiàn)技術(shù)之一，具有其他VPN實現(xiàn)技術(shù)不具備的諸多優(yōu)點。IKE機制作為IPSec體系的重要組成部分，能夠動態(tài)協(xié)商和管理IPSec SA，從而極大地增強了IPSec VPN通訊隧道的安全性。目前國內(nèi)研發(fā)的同類VPN網(wǎng)關(guān)大都沒有完全實現(xiàn)IKE機制，嚴(yán)重影響了VPN系統(tǒng)的安全性能。國外成熟產(chǎn)品由于安全原因不能大規(guī)模地應(yīng)用于我國的重要部門，所以研制適合我國國情的IPSec VPN系統(tǒng)具有很好的現(xiàn)實意義。

2、 論文首先簡要介紹了IPSec VPN的基本原理，闡述了IKE機制和IPSec VPN之間的關(guān)系，同時分析了國內(nèi)外同類研究的現(xiàn)狀，并且說明了課題的來源和意義。 然后提出IPSec VPN安全網(wǎng)關(guān)基本框架，用Netfilter提供的hook機制實現(xiàn)IPSec體系結(jié)構(gòu)中的基本功能，如IPSec數(shù)據(jù)處理以及AH、ESP等。為解決安全關(guān)聯(lián)手工管理方式導(dǎo)致的一系列安全管理問題，引入IKE動態(tài)密鑰協(xié)商機制，并為此設(shè)計IKE實

3、現(xiàn)框架以及IKE動態(tài)協(xié)商模塊、IKE內(nèi)核通訊模塊等功能模塊。 在詳細分析IKE動態(tài)協(xié)商的過程后，采用PF_KEY作為協(xié)商進程與內(nèi)核的通訊接口實現(xiàn)IKE協(xié)商模塊。同時分析目前IKE機制的一些不足之處，提出相應(yīng)的改進意見。 在分析、實現(xiàn)PF_KEY第二版本的基礎(chǔ)上，提出針對PF_ KEY的擴展和改進方案，通過增加新的消息類型和相應(yīng)的擴展項，實現(xiàn)應(yīng)用層IKE守護進程和內(nèi)核中安全關(guān)聯(lián)數(shù)據(jù)庫、安全策略數(shù)據(jù)庫之間的交