基于IPSec協(xié)議的Linux安全傳輸研究與實(shí)現(xiàn).pdf

1、隨著Internet的飛速增長(zhǎng),越來(lái)越多的企業(yè)和組織加入到Internet中來(lái),人們?cè)趯?duì)Internet的依賴性增長(zhǎng)的同時(shí),對(duì)網(wǎng)絡(luò)安全的需求也越來(lái)越強(qiáng)烈.但是以TCP/IP協(xié)議簇為基礎(chǔ)的Internet網(wǎng)絡(luò),在其設(shè)計(jì)時(shí),只考慮到了網(wǎng)絡(luò)的連接性、開(kāi)放性和兼容性,而沒(méi)有考慮網(wǎng)絡(luò)的安全性,導(dǎo)致IP數(shù)據(jù)包在傳輸過(guò)程中完全可能被偽造或篡改,信息的完整性、機(jī)密性、真實(shí)性得不到保證.IP安全協(xié)議IPSec(IP Security)的制定,則從根本上為

2、毫無(wú)安全性可言的"IP網(wǎng)絡(luò)"提供了安全保障.IPSec協(xié)議是IETF安全工作組制定的一套可以用于IPv4和IPv6上的,具有互操作性的,基于密碼學(xué)的安全協(xié)議.它提供的安全服務(wù)包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源頭的認(rèn)證、防重放功能、數(shù)據(jù)保密和一定的數(shù)據(jù)流保密.IPSec通過(guò)使用兩種通信安全協(xié)議來(lái)提供上述安全服務(wù):認(rèn)證頭AH和封裝安全載荷ESP,以及像Internet密鑰交換IKE協(xié)議這樣的密鑰管理過(guò)程和協(xié)議來(lái)提供安全服務(wù).IPSec是專

3、門(mén)為IP提供安全保障的,它通過(guò)對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證,確保了IP數(shù)據(jù)包的機(jī)密性、完整性、真實(shí)性,從而保證整個(gè)IP網(wǎng)絡(luò)傳輸?shù)陌踩?該文通過(guò)分析TCP/IP協(xié)議簇中目前常見(jiàn)的網(wǎng)絡(luò)攻擊和針對(duì)這些網(wǎng)絡(luò)攻擊采用的防御技術(shù)和措施,提出從根本解決網(wǎng)絡(luò)安全問(wèn)題的技術(shù)——IPSec協(xié)議技術(shù);認(rèn)真研究了IPSec協(xié)議體系結(jié)構(gòu):IPSec的傳輸模式、通道模式以及跟IPSec具體實(shí)現(xiàn)密切相關(guān)的安全關(guān)聯(lián)SA和密鑰交換協(xié)議IKE等IPSec組成單元.在此基礎(chǔ)

4、上,討論了建立在IP(Internet Protocol)層上的基于IPSec的網(wǎng)絡(luò)安全訪問(wèn)技術(shù),包括端到端(peer to peer)的網(wǎng)絡(luò)安全訪問(wèn)、網(wǎng)關(guān)到網(wǎng)關(guān)(gateway to gateway)的網(wǎng)絡(luò)安全訪問(wèn)(也就是虛擬專用網(wǎng)VPN)和主機(jī)到網(wǎng)關(guān)(peer to gateway)的網(wǎng)絡(luò)安全訪問(wèn)三種安全訪問(wèn)模式.在以上研究基礎(chǔ)上,提出了基于IP層的IPSec實(shí)現(xiàn)的結(jié)構(gòu)模型和解決方法,并在開(kāi)放源碼操作系統(tǒng)FreeBSD的內(nèi)核中成功實(shí)