小設(shè)備中安全功能的設(shè)計和實現(xiàn)——基于IPSec和IKE.pdf

1、本文針對小設(shè)備的設(shè)備特性，以及小設(shè)備上協(xié)議棧實現(xiàn)的要求進(jìn)行了討論，并從IPSec/IKE的協(xié)議冗余性出發(fā)，提出了以IPSec/IKE協(xié)議精簡為出發(fā)點(diǎn)的安全功能設(shè)計方案。 首先，介紹了小設(shè)備的概念、基本特點(diǎn)、對協(xié)議棧實現(xiàn)的基本要求及對安全功能的需要，從而引出IPSec/IKE協(xié)議，并介紹了論文的課題背景、前期工作等。 其次，分析了IPSec協(xié)議的各個模塊提供的安全功能，其中包括對AH(認(rèn)證頭)和ESP(封裝安全載荷)的分析

2、和協(xié)議精簡、對傳輸模式和隧道模式的應(yīng)用模型分析和協(xié)議精簡。并在協(xié)議精簡方案的基礎(chǔ)上，闡述了具體的實現(xiàn)方法，包括總體框架及安全策略庫、安全關(guān)聯(lián)庫、出/入棧報文的協(xié)議處理、抗重播窗口等模塊的具體實現(xiàn)，并給出了主要數(shù)據(jù)結(jié)構(gòu)和主要函數(shù)的處理流程。 然后，針對IKE協(xié)議進(jìn)行了分析、簡化和實現(xiàn)。其中包括IKE階段1中主模式和積極模式、四種驗證方式的分析和簡化，階段2的協(xié)議分析，新組模式的分析和簡化，完美前向保密的分析和簡化、安全策略協(xié)商的分

3、析和簡化。并在分析的基礎(chǔ)上闡述了具體的實現(xiàn)方法，包括總體框架及協(xié)議處理的實現(xiàn)。其中包括各個模塊的主要數(shù)據(jù)結(jié)構(gòu)及協(xié)議處理流程。 最后，通過對比本實現(xiàn)方案和傳統(tǒng)實現(xiàn)方案所提供的安全功能及對完整協(xié)議棧的支持程度分析了實現(xiàn)的效果，驗證了本實現(xiàn)方案在小設(shè)備中的可行性和實用性，也描述了本實現(xiàn)方案的一些局限。通過對應(yīng)用IPSec后協(xié)議報文處理能力的測量，分析了應(yīng)用IPSec前后對小設(shè)備的影響。同時，對實現(xiàn)本協(xié)議棧所占用的代碼區(qū)存儲空間進(jìn)行了測