資源描述:
《ipsec協(xié)議在linux平臺上的實現(xiàn)技術(shù)綜述報告》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1�����、;;;;題目名稱:IPSec協(xié)議在Linux平臺上的實現(xiàn)技術(shù)綜述報告目錄一��、問題背景概述11.1背景11.2IPSec協(xié)議概述11.3基本工作原理1二���、協(xié)議分析說明分析22.1協(xié)議規(guī)范概述22.2需解決的問題32.3重點和難點3三�、實現(xiàn)條件及系統(tǒng)解決方案43.1系統(tǒng)實現(xiàn)條件/環(huán)境配置說明43.2系統(tǒng)解決方案53.3環(huán)境配置說明6四��、實驗方案設(shè)計及實現(xiàn)64.1實驗方案設(shè)計說明64.2實驗步驟/實現(xiàn)過程說明7五����、方案分析評估145.1和其他備選方案的分析比較145.2方案評估分析14六、課題結(jié)論156.1本課題的不足之處和可以改進之處156.2技術(shù)前景展望/下一步的工作15七��、總
2�、結(jié)和體會..........................................................................................................................................16附錄A 參考文獻16[鍵入文字]一、問題背景概述1.1背景Internet缺乏安全性是不爭的事實��,人們試圖通過設(shè)計各種基于TCP/IP網(wǎng)絡(luò)層次結(jié)構(gòu)的安全協(xié)議來增強IP網(wǎng)絡(luò)的安全性。例如���,基于應(yīng)用層的PGPPEMS/MIME(多功能網(wǎng)際擴充協(xié)議)����,基于傳輸層的SSL(安全套接層)/TLS(傳輸
3�、層安全)���。IPSec是基于網(wǎng)絡(luò)層的安全協(xié)議����。IPSec相對于其它協(xié)議的優(yōu)點��,在于它是在TCP/IP協(xié)議的關(guān)鍵�����,實現(xiàn)安全機制從而有效保障了高層各協(xié)議的安全性減少了在TCP/IP網(wǎng)絡(luò)上部署安全的復雜性����。目前對于IPSec協(xié)議有多種實現(xiàn),例如Windows2000以上的Windows系列操作系統(tǒng)都提供對IPSec的支持��。Linux的2.4版本本身雖不具備IPSec功能,但是Freeswan等開源項目使得Linux的2.4版本可以支持IPSecLinux的2.6版本��,目前已經(jīng)內(nèi)嵌了IPSec的功能����。KAME(項目)等開源項目提供針對各種BSD(Unix的衍生系統(tǒng))版本的IPSec實現(xiàn)
4、方案���,MotorolaCavium以及HifnAMCC都提供IPSec的ASIC/FPGA(數(shù)字芯片)實現(xiàn)方案����。OpenSWan是Linux下IPsec的最佳實現(xiàn)方式�,其功能強大,最大程度地保證了數(shù)據(jù)傳輸中的安全性�、完整性問題。OpenSWan支持2.0�、2.2、2.4以及2.6內(nèi)核����,可以運行在不同的系統(tǒng)平臺下,包括X86�����、X86_64、IA64�、MIPS(是衡量處理器的性能的)以及ARM(處理器)。OpenSWan是開源項目FreeS/WAN停止開發(fā)后的后繼分支項目�,由三個主要組件構(gòu)成:1.配置工具(ipsec命令腳本)2.Key管理工具(pluto)3.內(nèi)核組件(KLIP
5、S/26sec)�����。1.2IPSec協(xié)議概述IPSec是一系列基于IP網(wǎng)絡(luò)(包括Intranet����、Extranet和Internet)的�����,由IETF(互聯(lián)網(wǎng)工程任務(wù)組)正式定制的開放性IP安全標準�����,是虛擬專網(wǎng)的基礎(chǔ)����,已經(jīng)相當成熟可靠。IPSec可以保證局域網(wǎng)����、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?����。為了在IP網(wǎng)絡(luò)上獲得安全通信的保障���,業(yè)界很早就有對Internet的安全協(xié)議進行標準化的想法,并提出了大量的方案��。例如�,作為安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SDNS)la01的一部分,安全協(xié)議3號(SecurityProtocol3�����,SP3)就是美國國家安全局以及標準技術(shù)協(xié)會制定的安
6��、全標準:網(wǎng)絡(luò)層安全協(xié)議(NetworkLayerSecurityProtocol�,NLSP)是由國際標準化組織為無連接網(wǎng)絡(luò)協(xié)(ConnectionlessNetworkProtocol,CD心)制定的安全協(xié)議�;集成化NLSP是美國國家科技研究所提出的包括口和CLNP在內(nèi)的統(tǒng)一安全體制。雖然這些提案的差異性較大��,但本質(zhì)上均采用了口封裝技術(shù),將加密的敏感信息通過Internet進行傳輸�。當數(shù)據(jù)包到達通信對端時,外層的IP報頭被拆開���,報文被解密����,然后送達目的地����。IP安全(IPSec),是一個標準框架����,它在兩個對等體設(shè)備之間的網(wǎng)絡(luò)層上提供了下面這些安全特性:(1)數(shù)據(jù)的機密性;(2)
7�、數(shù)據(jù)的完整性:(3)數(shù)據(jù)驗證��;(4)抗回放檢測�����;(5)對等體驗證�����。一種對IPSec常見的誤解是,認為他只是為數(shù)據(jù)流提供安全服務(wù)的協(xié)議�。實際上,IPSec是IETFIPSec工作組定義的一套安全協(xié)議����。其基本架構(gòu)和框架如下:(1)安全協(xié)議:認證報頭(AH)和封裝安全載荷(ESP);(2)密鑰管理:ISAKMP��、SKEME�����;(3)算法:用于加密和身份驗證����。IPSec在設(shè)備和網(wǎng)絡(luò)之間提供了網(wǎng)絡(luò)層的保護,并且因為它是一個開放的標準����,所以通常用于IPv4和IPv6的網(wǎng)絡(luò)。IPv4可選支持IPSec���,IPv6必須支持
