基于IPSec协议的VPN系统在Linux下的实现

详细信息    本馆镜像全文|  推荐本文 |  |   获取CNKI官网全文

英文题名：Implementation of VPN System in Linux Based on IPSec 作者：李华宇 论文级别：硕士 学科专业名称：计算机应用技术 中文关键词：虚拟私有网络 ; Linux ; IP安全协议 ; 因特网密钥交换协议认证头 ; 封装安全载荷 ; 安全关联 ; 安全策略 英文关键词：Virtual Private Network ; Internet Protocol Security ; Internet Key Exchange ; Authentication Header ; Encapsulating Security Payload ; Security Association ; Security Policy 学位年度：2003 导师：张建州 学科代码：081203 学位授予单位：四川大学 论文提交日期：2003-04-10

摘要

随着信息时代的到来，Internet提供的互联性和开放性使信息的交换与共
    享成为现实，并为社会带来了巨大的经济效益。然而，信息的安全保密问题
    也日益突出，保护网络安全，保证信息安全已经成为人们日益关注的核心问
    题，各种安全防范技术应运而生。
    VPN(Virtual Private Network，虚拟私有网络)技术提供了一个安全、可
    信的信道供通信双方使用。技术上说，VPN是指将物理上分布在不同地点的
    网络，通过公用骨干网连接而形成的逻辑上的虚拟子网。它采用身份认证、
    存取控制、数据机密性、数据完整性等措施，来保证信息在传输中不被偷看、
    篡改、复制，以保障信息在Internet上传输的安全性。
    VPN涉及的技术包括：安全隧道技术，用户认证技术，访问控制技术，
    加解密技术等。其中最核心的技术是安全隧道技术，目前普遍使用的是利用
    IPSec协议实现的安全隧道技术。
    在本文中，首先介绍了VPN体系结构，并与常见的安全技术作了比较；
    其次，对WSTMK VPN系统的实现技术作了详细的介绍，其中重点介绍了
    Linux网络体系结构，Netfilter防火墙体系结构，IKE协议，以及PF_KEY协
    议；然后，重点讨论了WSTMK_VPN系统的实现情况，其中我们着重描述了
    IPSec内核处理、SAD管理、PF KEY协议等模块的实现；最后，对整个系统
    的性能作出评断。
    本系统的技术特点有：1)利用了Linux最新的Netfilter防火墙机制实现
    
    IPseC入口函数，达到了代码执行效率高，代码模块化，易于扩展等效果；2）
    实现了 PF上EY VZ协议进行内核和应用层的通信，具有上层调用方便，代码
    实现简单等特点。
     本系统还有一些地方有待改善，如功能模块的完善和 IKE模块的实现，
    这些都是今后工作的目标。
With the information time coming, the connection and opening provided by Internet have been making the information exchanging and sharing to be realized. So Internet takes great economic benefits for society. However, the security question becomes more and more distinct too. To protect the network security and guarantee the information safe are becoming the core question to people. Therefore, many security technologies have been developed.
    VPN technology offers a safe and reliant tunnel for both sides in communication. In technology, VPN means the networks locating in the different places are connected by main public networks, which shape the logic networks. To protect the information from pried, modified, copied, and guarantee the security of data in Internet, VPN uses the Authentication, accessing control, data secreting, and data integrity etc.
    The technologies of VPN are include, security tunnel, user authority, encryption and decryption etc. In them, the core is security tunnel technology. And now the widely used tunnel technology is based on IPSec protocol.
    First, in this essay, we introduced the architecture of VPN, and compared it with the common security technologies. Second, we illustrate the realization technologies in detail, especially, the Linux network architecture, Netfilter firewall
    
    
    architecture, IKE protocol, and PF_KEY protocol. Then we importantly discussed the implementation of the WSTMK_VPN system, especially, the IPSec kernel operating, SAD management, PF_KEY protocol. At last, we evaluate the
    performance of the whole system.
    This system has some characters. For one thing, we use the Netfilter firewall technology to realize the IPSec entrance functions, which can increase the programs efficiency, make the code modular and easy to be expanded. For another, the PF_KEY protocol is used to connect the kernel and the IKE, which could make communication easy, and simplify the code.
    Of course, this system has some places to be improved, such as the function modules' simplification, the IKE module, which are the next aims in the future.

引文

李华宇，张建州，用于Web的安全套接字协议(SSL)及其安全性分析，计算机应用研究，2003年4月出版的增刊。
    [1] 杜兵，李新民．基于Linux系统VPN的设计与实现[J]．计算机应用研究，2002，19(3)：128-129，132
    [2] 吕光宏．虚拟专用网(VPNs)发展透视[J]．计算机应用研究，2002，19(5)：139-142
    [3] 黄智，龚向阳．IPSec协议的研究和分析[J]．计算机工程与应用，2002，38(11)：160-162
    [4] 李成友，曹伟．IPSec研究与虚拟专用网技术[J]．计算机工程，2002，28(2)：246-248
    [5] 孙为清，赵轶群．一种基于Linux的VPN服务器的设计和实现[J]．计算机工程与应用，2002，38(1)：174-176
    [6] 李博．两种基于IP的VPN体系及比较[J]．计算机工程与应用，2002，39(9)：154-156，185
    [7] 张大陆，户现锋．VPN核心技术的研究[J]．计算机工程，2000，26(3)：41-42，84
    [8] 周立峰，周昕，金志权．基于IPSec的VPN在Linux下的实现[J]．计算机应用研究，2002，19(5)：61-63
    [9] 王作芬，王芙蓉．PF_KEY及其在IPSec中的实现[J]．通信技术，2001，14(3)：55-57
    [10] 王张宜，陈幼雷，张焕国．Linux下IPSec的实现[J]．计算机工程与应用，2002，38(11)：157-159
    [11] 李建，熊选东，谢培泰．基于Linux地通用加密平台的设计与实现[J]．计算机工程与应用，2002，38(8)：167-169
    [12] 张海，李鹏军，李寰．基于Netfilter框架的计费网关闭．计算机工程，2002，22(12)：116-118
    [13] 李晓峰，张玉清，李星．Linux 2.4内核防火墙低层结构分析[J]．计算机工程与应用，2002，38(14)：138-140，144
    [14] 王永杰，刘京菊，孙越昌．Linux可转载模块的开发与应用[J]．计算机应用研究，2002，19(7)：143-146
    [15] 黄晨春，田艾平．Linux的TCP／IP层结构[J]．计算机应用研究，2002，19(5)：127-129
    [16] 秦磊华，余胜生．IPSec密钥交换(IKE)协议的分析与改进[J]．计算机工程，2002，28(3)：130-131，255
    
    
    [17] 汪海航，师成江，谭成翔．安全VPN服务器中IKE协议的设计与实现[J]．计算机应用研究，2002，19(3)：58-60
    [18] Carlton R.Davis.IPSec:VPN的安全实施[M]．周永彬等译．清华大学出版社，2002
    [19] 李善平，刘文峰，李程远等．Linux内核2.4版源代码分析大全[M]．机械工业出版社，2002
    [20] 卿斯汉．密码学与计算机网络安全[M]．清华大学出版社．2001
    [21] Neil Matthew,Richard Stones.Linux程序设计[M]．杨晓芸，王剑桥，杨涛等译．机械工业出版社，2002
    [22] 龚俭，陆晟，王倩．计算机网络安全导论[M]．东南大学出版社．2000
    [23] James Stanger,Patrick T.Lane.Linux开放源代码安全指南[M]．钟日红，宋建才等译．机械工业出版社，2002
    [24] Alessandro Rubini.Linux设备驱动程序[M]．Lisoleg译．中国电力出版社，2000
    [25] D. Harkins,D. Carrel.The Internet Key Exchange(IKE)[S].RFC2409,1998,(11)
    [26] Kent.Security Architecture for the Internet Protocol[S].RFC2401,1998,(11)
    [27] N.Doraswamy,D.Harkins.IPSec新一代因特网安全标准[M]．京京工作室译．机械工业出版社，2000
    [28] D. McDonald,et.PF_KEY Key Mangement API,Version 2[S].RFC2367,1998,(7)
    [29] R. Russell.Linux 2.4 Packet Filtering HOWTO[S].2002,(5)
    [30] R. Russell,H. Welte.Linux Netfilter Hacking HOWTO[S].2002,(5)
    [31] R. Russell.Linux 2.4 NAT HOWTO[S].2002,(5)
    [32] S. Kent,R. Atkinson. IP Authentication Header(AH)[S]. RFC 2402,1998,(11)
    [33] S. Kent,R. Atkinson. IP Encapsulating Security Payload (ESP) [S]. RFC 2406, 1998,(11)
    [34] R. Pereira, R. Adams. The ESP CBC-Mode Cipher Algorithms[S].RFC 2451,1998,(11)
    [35] C. Madson, R. Glenn. The Use of HMAC-SHA-1-96 within ESP and AH[S].RFC 2404,1998, (11)
    [36] C. Madson, R. Glenn. The Use of HMAC-MDS-96 within ESP and AH[S].RFC 2403,1998, (11)