论文部分内容阅读
随着网络技术的高速发展,网络已经普及到了社会的各个方面,但是它在提供开放和共享资源的同时,也不可避免的存在着安全隐患。如何有效地保障机密信息在网络中安全传输,成为人们日益关注的焦点。 IPSec的提出正是为了有效地解决网络安全问题。IPSec为IP及上层协议提供了无连接完整性、数据源身份认证、抗重播攻击、数据内容的机密性和有限的通信流量机密性等安全服务。由于IPSec的强大功能和诸多优势,使得IPSec具有广泛的应用前景,而只有开发出具有自主知识产权的IPSec产品,才能真正保护我国的网络安全,所以对IPSec的研究和实现具有重要的意义。 本论文首先对IPSec协议体系作了总结性介绍,包括一些基本概念如安全策略、安全联盟、选择符等,以及IPSec协议体系的各个组件如SPD、SAD、AH、ESP、IKE等,详细阐述了IPSec的处理流程,并总结了IPSec协议的优点。 在对IPSec协议体系和Linux下TCP/IP协议栈深入分析的基础上,重点进行了Linux平台下IPSec的实现。参照常用的IPSec协议的实现方式,本论文采用了一种在Linux网络协议栈插入IPSec处理模块的方式,并对通道模式下的ESP协议作了实现。本实现可以应用于安全网关中。这种实现方式的优点是IPSec处理模块独立于Linux内核,几乎对内核没有进行修改,而是进行了功能上的扩充。 最后构造了一个试验性的VPN模型,对所实现的IPSec进行了测试并加以应用。测试分为功能测试和性能测试两部分。在功能测试中,通过使用Ethereal包嗅探器对通信数据包进行捕获和分析,结果表明数据包被加密,其内容为无用的乱码,验证了其安全功能。在性能测试中,主要测试了加入IPSec处理对系统性能的影响。