小設備中安全功能的設計和實現——基于IPSec和IKE.pdf

1、本文針對小設備的設備特性，以及小設備上協議棧實現的要求進行了討論，并從IPSec/IKE的協議冗余性出發(fā)，提出了以IPSec/IKE協議精簡為出發(fā)點的安全功能設計方案。 首先，介紹了小設備的概念、基本特點、對協議棧實現的基本要求及對安全功能的需要，從而引出IPSec/IKE協議，并介紹了論文的課題背景、前期工作等。 其次，分析了IPSec協議的各個模塊提供的安全功能，其中包括對AH(認證頭)和ESP(封裝安全載荷)的分析

2、和協議精簡、對傳輸模式和隧道模式的應用模型分析和協議精簡。并在協議精簡方案的基礎上，闡述了具體的實現方法，包括總體框架及安全策略庫、安全關聯庫、出/入棧報文的協議處理、抗重播窗口等模塊的具體實現，并給出了主要數據結構和主要函數的處理流程。 然后，針對IKE協議進行了分析、簡化和實現。其中包括IKE階段1中主模式和積極模式、四種驗證方式的分析和簡化，階段2的協議分析，新組模式的分析和簡化，完美前向保密的分析和簡化、安全策略協商的分

3、析和簡化。并在分析的基礎上闡述了具體的實現方法，包括總體框架及協議處理的實現。其中包括各個模塊的主要數據結構及協議處理流程。 最后，通過對比本實現方案和傳統實現方案所提供的安全功能及對完整協議棧的支持程度分析了實現的效果，驗證了本實現方案在小設備中的可行性和實用性，也描述了本實現方案的一些局限。通過對應用IPSec后協議報文處理能力的測量，分析了應用IPSec前后對小設備的影響。同時，對實現本協議棧所占用的代碼區(qū)存儲空間進行了測