基于RTEMS實(shí)時(shí)操作系統(tǒng)下IKE的研究與實(shí)現(xiàn).pdf

1、VPN(Virtual Private Network)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。IPSec協(xié)議是一種VPN技術(shù)，該協(xié)議在網(wǎng)絡(luò)層對數(shù)據(jù)提供安全保護(hù)。其中IKE(Internet Key Exchange)協(xié)議是IPSec默認(rèn)的密鑰管理協(xié)議，它為通信雙方安全地協(xié)商密鑰材料，提供加密保護(hù)、完整性保護(hù)和身份驗(yàn)證，同時(shí)可抵御拒絕服務(wù)攻擊(DoS

2、)和中間人攻擊，并提供完美向前保密(Perfect Forward Secrecy，PFS)。嵌入式VPN網(wǎng)關(guān)是在嵌入式實(shí)時(shí)操作系統(tǒng)RTEMS上實(shí)現(xiàn)的IPSec協(xié)議和IKE協(xié)議，并能提供安全管理機(jī)制。 在RTEMS實(shí)時(shí)操作系統(tǒng)上實(shí)現(xiàn)IKE協(xié)議的方法有兩種：一種是重新設(shè)計(jì)并構(gòu)造IKE協(xié)議的實(shí)現(xiàn)模塊，另一種是采用移植的方式，將現(xiàn)有的IKE協(xié)議實(shí)現(xiàn)模塊移植到RTEMS平臺(tái)上。由于IKE協(xié)議較為復(fù)雜，使得在RTEMS平臺(tái)上重新設(shè)計(jì)IK

3、E模塊的工作量較大。目前Linux平臺(tái)上已經(jīng)存在開放源代碼的IPSec協(xié)議和IKE協(xié)議，即著名的FreeS/WAN軟件包。RTEMS支持POSIX API(對POSIX API的支持)，使得Linux平臺(tái)上的應(yīng)用程序具有移植到RTEMS平臺(tái)上的可行性。因此本課題采用移植的方式，將Linux平臺(tái)上已有的FreeS/WAN軟件包中的IKE實(shí)現(xiàn)模塊移植到RTEMS平臺(tái)上，并在此基礎(chǔ)上，針對IKE協(xié)議所存在的問題，對RTEMS平臺(tái)上的IKE模塊

4、進(jìn)行改進(jìn)，從而提高IKE協(xié)議的性能。 論文首先簡要介紹IKE協(xié)議的相關(guān)理論知識(shí)和RTEMS嵌入式實(shí)時(shí)操作系統(tǒng)的相關(guān)技術(shù)，然后對RTEMS平臺(tái)上IKE模塊的移植過程進(jìn)行詳細(xì)介紹，在此基礎(chǔ)上，針對RTEMS平臺(tái)上IKE協(xié)議實(shí)現(xiàn)模塊所存在的協(xié)商效率、對動(dòng)態(tài)IP支持等問題進(jìn)行了詳細(xì)的分析與改進(jìn)，并對IKE協(xié)議存在的驗(yàn)證消息完整性方面的(在驗(yàn)證消息完整性方面存在的)安全性缺陷進(jìn)行了分析，從而提出了相應(yīng)的改進(jìn)方案。論文最后對RTEMS平臺(tái)