Linux下基于IPSec的網(wǎng)絡(luò)安全研究與實(shí)現(xiàn).pdf

1、隨著Internet的迅速發(fā)展和網(wǎng)絡(luò)技術(shù)的不斷提高，網(wǎng)絡(luò)已成為現(xiàn)代社會(huì)信息交流的重要途徑。Internet提供的開(kāi)放性網(wǎng)絡(luò)環(huán)境也帶來(lái)許多安全隱患，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)越來(lái)越受到人們的關(guān)注。傳統(tǒng)的網(wǎng)絡(luò)安全措施還存在許多缺陷，不能完全解決網(wǎng)絡(luò)安全問(wèn)題。 IPSec的出現(xiàn)彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足，提供了更加完善的網(wǎng)絡(luò)安全保護(hù)。IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供了IP包數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性以及抗重播等安全服

2、務(wù)。各種上層協(xié)議也可以直接或間接地使用在IP層提供的安全服務(wù)，因而不必分別設(shè)計(jì)和實(shí)現(xiàn)各自的安全機(jī)制，提高了執(zhí)行效率，也降低了產(chǎn)生安全漏洞的可能性。IPSec協(xié)議標(biāo)準(zhǔn)作為一種很好的網(wǎng)絡(luò)安全架構(gòu)，非常值得我們學(xué)習(xí)和借鑒。我們希望通過(guò)研究IPSec協(xié)議本身和IPSec產(chǎn)品技術(shù)發(fā)展，最終設(shè)計(jì)出我們自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全協(xié)議和網(wǎng)絡(luò)安全產(chǎn)品。 本文對(duì)IPSec架構(gòu)以及IPSec協(xié)議體系的各個(gè)組件進(jìn)行了簡(jiǎn)單介紹，隨后針對(duì)IPSec協(xié)議的特點(diǎn)，

3、分析了IPSec構(gòu)建VPN的優(yōu)點(diǎn)與難點(diǎn)，并提出了在網(wǎng)關(guān)間部署IPSecVPN的方法。選擇Linux作為IPSec實(shí)現(xiàn)平臺(tái)，對(duì)2.4版本以上內(nèi)核的netfilter網(wǎng)絡(luò)框架進(jìn)行了分析研究，提出了利用netfilter中的HOOK點(diǎn)插入IPSec處理模塊的方式。這種實(shí)現(xiàn)方式可以將IPSec處理模塊無(wú)縫地加入到IP層中，不對(duì)內(nèi)核進(jìn)行修改，只進(jìn)行功能上的擴(kuò)充。并詳細(xì)闡述了IPSec在IP層處理中的流程，對(duì)IPSec主要功能模塊的實(shí)現(xiàn)方法進(jìn)行了設(shè)