小设备中安全功能的设计和实现——基于IPSec和IKE

摘要

本文针对小设备的设备特性，以及小设备上协议栈实现的要求进行了讨论，并从IPSec/IKE的协议冗余性出发，提出了以IPSec/IKE协议精简为出发点的安全功能设计方案。 首先，介绍了小设备的概念、基本特点、对协议栈实现的基本要求及对安全功能的需要，从而引出IPSec/IKE协议，并介绍了论文的课题背景、前期工作等。 其次，分析了IPSec协议的各个模块提供的安全功能，其中包括对AH(认证头)和ESP(封装安全载荷)的分析和协议精简、对传输模式和隧道模式的应用模型分析和协议精简。并在协议精简方案的基础上，阐述了具体的实现方法，包括总体框架及安全策略库、安全关联库、出/入栈报文的协议处理、抗重播窗口等模块的具体实现，并给出了主要数据结构和主要函数的处理流程。 然后，针对IKE协议进行了分析、简化和实现。其中包括IKE阶段1中主模式和积极模式、四种验证方式的分析和简化，阶段2的协议分析，新组模式的分析和简化，完美前向保密的分析和简化、安全策略协商的分析和简化。并在分析的基础上阐述了具体的实现方法，包括总体框架及协议处理的实现。其中包括各个模块的主要数据结构及协议处理流程。 最后，通过对比本实现方案和传统实现方案所提供的安全功能及对完整协议栈的支持程度分析了实现的效果，验证了本实现方案在小设备中的可行性和实用性，也描述了本实现方案的一些局限。通过对应用IPSec后协议报文处理能力的测量，分析了应用IPSec前后对小设备的影响。同时，对实现本协议栈所占用的代码区存储空间进行了测量，供同类的研究做参考。

目录

文摘

英文文摘

学位论文独创性声明及学位论文授权使用声明

第一章 绪论

第二章 IPSec协议的分析和简化

第三章 IPSec在小设备中的实现

第四章 密钥交换协议的分析和简化

第五章 IKE在小设备中的实现

第六章 协议实现的效果分析

第七章 总结与展望

参考文献

致谢

攻读硕士学位期间参加的科研项目和发表的学术论文