基于路由器平臺(tái)的IPSec協(xié)議的實(shí)現(xiàn).pdf

1、隨著INTERNET的發(fā)展,internet網(wǎng)容納了越來(lái)越多的業(yè)務(wù).由于原來(lái)的IP網(wǎng)絡(luò)不集成任何安全特性,所以在網(wǎng)絡(luò)上開展重要的數(shù)據(jù)業(yè)務(wù)是很不安全的.針對(duì)網(wǎng)絡(luò)安全出現(xiàn)了很多協(xié)議,IPsec協(xié)議就是其中之一.IPsec協(xié)議工作在網(wǎng)絡(luò)層,為網(wǎng)絡(luò)層以上的業(yè)務(wù)提供了安全保護(hù).本文首先分析了IPSEC協(xié)議的設(shè)計(jì)原理.IPSec協(xié)議由兩個(gè)部分組成,密鑰協(xié)商協(xié)議IKE和數(shù)據(jù)加密協(xié)議AH和ESP.IPsec又提供兩種模式:隧道模式和傳送模式,其中隧道模

2、式又可以用于實(shí)現(xiàn)VPN,傳送模式可以和其他協(xié)議相結(jié)合提供數(shù)據(jù)安全保護(hù).密鑰交換協(xié)議IKE通過(guò)兩階段協(xié)商,協(xié)商出用于保護(hù)IP數(shù)據(jù)流的安全聯(lián)盟(SA).SA中含有密鑰等相關(guān)信息.本文論述了IPSec協(xié)議在路由器上的設(shè)計(jì)方案.這里描述了IPSec在路由器協(xié)議棧中的實(shí)現(xiàn)方法,模塊劃分.描述了各個(gè)模塊在協(xié)議棧中的功能和實(shí)現(xiàn)內(nèi)容.說(shuō)明了路由器中數(shù)據(jù)流如何在這些模塊中流動(dòng).IPSec的路由器實(shí)現(xiàn)采用了三級(jí)密鑰體系,兩個(gè)階段協(xié)商過(guò)程來(lái)實(shí)現(xiàn)密鑰的安全交換

3、和使用.三級(jí)密鑰被保存在三個(gè)不同的數(shù)據(jù)庫(kù)中:主密鑰數(shù)據(jù)庫(kù),ISAKMP SA數(shù)據(jù)庫(kù),IPSec SA數(shù)據(jù)庫(kù).密鑰協(xié)商策略被保存在策略數(shù)據(jù)庫(kù)---ISAKMP SPD和IPSEC SPD中.本文描述了數(shù)據(jù)在IP數(shù)據(jù)加密模塊和IKE密鑰協(xié)商模塊中的數(shù)據(jù)流程圖.描述了IKE協(xié)商狀態(tài)機(jī)的設(shè)計(jì),每個(gè)狀態(tài)的數(shù)據(jù)通訊和處理,以及每個(gè)握手所產(chǎn)生的安全問(wèn)題并分析了如何避免遭受攻擊.文章還列舉了在路由器平臺(tái)上實(shí)現(xiàn)IPSEC協(xié)議模塊的關(guān)鍵技術(shù):VPN技術(shù),多