Linux下IPSec的实现分析及其与防火墙协同工作的改进设计

摘要

IPSec是为Internet通信提供安全服务的一组标准协议。其目标是为IPv4和IPv6提供具有较强互操作能力、高质量和基于密码的安全服务。Linux作为著名的开放源代码操作系统软件，对我国的软件行业来说是一个重大的机遇，因此研究Linux及Linux下的各种应用显得非常重要。本论文主要研究了Linux下IPSec的实现及其与防火墙协同工作的改进设计，主要工作如下：总结了IPSec的研究现状和发展状况；结合Linux下实现IPSec的开源软件FreeS/WAN的源代码，分析了开源网站共创软件联盟的子项目Linux下IPSec安全网关系统的设计方案及其各个部分的具体实现；分析了IPSec协议栈中各个协议的安全操作和IPSec对进出数据报的处理；分析了IKE协议和安全策略数据库与安全关联数据库的实现代码，基本了解了网络协议的软件实现方法。另外，针对如何让IPSec和防火墙协同工作的问题，提出了一种双层IPSec处理思想：将IP报文分为协议头和数据两部分，使用复合安全关联(Composite SA)对其进行安全处理，使IPSec和防火墙可以各取所需，从而给出上述问题的一个改进设计方案。方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变，与传统IPSec相比协议格式变化不大，传输效率较高。

目录

摘要

Abstract

1 绪论

1.1 引言

1.2 IPSEC的实现现状

1.3 论文的章节安排

2 IPSEC协议族

2.1 IPSEC安全协议

2.1.1 认证头协议

2.1.2 封装安全载荷协议

2.1.3 IPSec操作模式

2.1.4 Internet密钥交换协议

2.1.5 Internet安全关联密钥管理协议

2.2 安全关联(SA)

2.2.1 SA的特性

2.2.2 安全关联数据库(SAD)

2.3 IPSEC协议报处理

2.3.1 数据保护和完整性校验

2.3.2 IPSec数据报的处理

3 LINUX下IPSEC的设计方案

3.1 LINUX下的NETFILTER机制

3.2 处理模块框架

3.3 功能模块框架

3.4 本章小结

4 LINUX下IPSEC的方案实现分析

4.1 处理模块实现

4.1.1 Netfilter

4.1.2 进入IP包预处理

4.1.3 IPSee进入策略处理

4.1.4 路由

4.1.5 本机对IP包处理

4.1.6 IPSec进入处理

4.1.7 转发处理

4.1.8 本地IP包处理

4.1.9 IPSec外出处理

4.1.10 发送处理

4.2 功能模块实现

4.2.1 安全策略数据库的具体实现

4.2.2 安全关联数据库的具体实现

4.2.3 AH和ESP协议处理流程

4.3 IKE具体实现

4.3.1 总体框架

4.3.2 模块的实现

4.4 本章小节

5 IPSEC与防火墙协同工作的改进方案

5.1 引言

5.2 双层IPSEC(DL_IPSEC)与防火墙协同工作体系结构

5.3 双层IPSEC(DL_IPSEC)工作原理

5.3.1 复合安全关联(Composite SA)

5.3.2 报文格式

5.3.3 双层IPSec的输入输出处理

5.4 本章小结

6 结论

6.1 主要研究成果

6.2 将来需要的研究

致谢

参考文献

附录