ike框架实现与功能扩充探究

ike框架实现与功能扩充探究

ID:6057895

大小:30.00 KB

页数:7页

时间:2018-01-01

ike框架实现与功能扩充探究_第1页
ike框架实现与功能扩充探究_第2页
ike框架实现与功能扩充探究_第3页
ike框架实现与功能扩充探究_第4页
ike框架实现与功能扩充探究_第5页
资源描述:

《ike框架实现与功能扩充探究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IKE框架实现与功能扩充探究  摘要:随着Internet的快速扩张,信息安全问题也日趋成为商家关注的焦点,VPN作为解决网络通信安全问题的工具被越来越多的网络安全厂商研发和生产。通过利用成熟的开源框架可以有效的减少开发成本,但同时也由于得不到好的技术支持会增加添加自己个性化元素的难度。添加自定义载荷是一种常用的VPN研发中的应用。该文利用IKEv1协议下的开源框架strongswan介绍了IKE的实现模型,并介绍了在strongswan中添加自定义载荷以及在配置文件中添加开关控制是否启用该载荷的方法。关键词:信息安全;VPN;strongswan;IKE;自定义载荷中图

2、分类号:TP393文献标识码:A文章编号:1009-3044(2014)02-0278-03随着internet的快速扩张,人们对网络的依赖程度越来越高了。所以不管是军队、国家机关,还是企业,甚至是个体之间的通信,对网络信息安全的要求也越来越高。而TCP/IP协议的最初设计没有考虑到安全性,因此IETF(InternetEngineeringTaskForce)开发了InternetProtocal7Security(IPSEC)协议套件来实现通信的安全。IPSEC协议在下一代Internet中,将作为协议的一部分被加入IPV6中去。在进行IPSEC通信之前,要求通信双方

3、协商起一套安全联盟(SA),来决定保护数据包的加密算法、认证算法、密钥及密钥生存周期等。InternetKeyExchange(IKE)作为一种成熟的协商机制,具有安全、健壮的特点,在信息安全领域中常被用来进行动态的SA建立。该文使用IKEv1的开源框架strongswan4.4.1讨论IKE在linux操作系统上的实现并介绍了在strongswan上进行代码改造实现添加新的功能载荷的方法。1IKE实现1.1IKE模型1.2模块功能及运行过程分析1.2.1ipsec启动脚本ipsec启动脚本是用户控制程序行为的直接入口,对strongswan的所有控制都是通过ipsec脚

4、本及其传递的参数实现的,基本功能包括:显示当前所用的strongswan版本,开启、关闭和重启strongswan,重新解析并加载配置文件,控制全部或部分隧道的链接建立和断开,显示当前所有或部分隧道的状态信息等。启动脚本并不实现具体的功能,其控制方式主要通过向starter进程发送信号量或直接调用whack程序给pluto发送whack消息,由starter和pluto来实现具体的功能。71.2.2starter进程starter的主要功能是控制pluto的开关,以及解析配置文件ipsec.conf。starter是一个后台进程,从启动ipsec开始后starter就一直

5、存在,到关闭ipsec之后结束。进程开始执行时,starter会设置一组专用的信号量,用来接收ipsec启动脚本传来的开、关、重启、重新加载配置文件以及pluto进程因为异常原因退出返回的通知消息。之后starter读取ipsec.conf配置文件,加载证书及隧道conn,并根据配置文件指定的动作启动pluto后台进程。starter结束时同样要发送消息通知pluto结束。starter是通过构造whack消息,并将whack消息发送给pluto来进行和pluto间的通信的。1.2.3whack程序whack程序提供了ipsec启动脚本和pluto进程之间交互的功能,由i

6、psec启动脚本直接调用,根据参数构造相应的whack消息并发送给pluto。1.2.4pluto进程7strongswan中最复杂的程序,也是整个框架的核心进程。pluto主要负责整个协商过程中消息的交互,并把协商得到的SA发送给内核,同时也要接收由ipsec启动脚本和starter进程发来的whack控制消息。pluto受到starter解析配置文件后生成的conn结构后,会把他们加入到pluto的connections全局链表,之后会安排所有的connections发起协商。pluto的协商是以有限状态机实现的,每一个connections都会有对应的state结构

7、记录当前的状态。状态机规定了pluto在某一个特定状态到下一状态转换时超时处理,消息中应该包含的载荷以及该状态下应该发出的与对端通信设备交互的消息。经过多次消息的交互(IKEV1规定了两个阶段共9条消息的交互,主模式6条,快速模式3条),最终通信双方能协商起一套通信中可以使用的通过验证的密钥以及建立在双方同意基础上的安全服务(即安全联盟SA)。pluto把SA发送给内核后,往内核添加相应的安全路由(SPD)。如果内核没有返回任何错误消息,则一次协商成功。1.2.5内核内核需要接收pluto传递下来的SA和SPD,并在内核下维护

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。