IPSec协议在Linux平台上的实现技术综述报告.docVIP

题目名称：IPSec协议在Linux平台上的实现技术综述报告  目 录 一、问题背景概述 1 1.1背景 1 1.2 IPSec协议概述 1 1.3基本工作原理 1 二、协议分析说明分析 2 2.1协议规范概述 2 2.2需解决的问题 3 2.3重点和难点 3 三、实现条件及系统解决方案 4 3.1系统实现条件 / 环境配置说明 4 3.2系统解决方案 5 3.3环境配置说明 6 四、实验方案设计及实现 6 4.1实验方案设计说明 6 4.2实验步骤 / 实现过程说明 7 五、方案分析评估 14 5.1和其他备选方案的分析比较 14 5.2方案评估分析 14 六、课题结论 15 6.1本课题的不足之处和可以改进之处 15 6.2技术前景展望 / 下一步的工作 15 七、总结和体会..........................................................................................................................................16 附录A　　参考文献 16 问题背景概述 1.1 背景 Internet缺乏安全性是不争的事实，人们试图通过设计各种基于TCP/IP网络层次结构的安全协议来增强IP网络的安全性。例如，基于应用层的PGPPEMS/MIME(多功能网际扩充协议)，基于传输层的SSL（安全套接层）/TLS（传输层安全） 。 IPSec是基于网络层的安全协议。IPSec相对于其它协议的优点，在于它是在TCP/IP协议的关键，实现安全机制从而有效保障了高层各协议的安全性减少了在TCP/IP网络上部署安全的复杂性。目前对于IPSec协议有多种实现，例如Windows2000以上的Windows系列操作系统都提供对IPSec的支持。Linux的2.4版本本身虽不具备IPSec功能，但是Free swan等开源项目使得Linux的2.4版本可以支持IPSec Linux的2.6版本，目前已经内嵌了IPSec的功能。KAME（项目）等开源项目提供针对各种BSD（Unix的衍生系统）版本的IPSec实现方案， Motorola Ca vi um以及Hi fn AMCC都提供IPSec的ASIC/FPGA（数字芯片）实现方案。OpenSWan是Linux下IPsec的最佳实现方式，其功能强大，最大程度地保证了数据传输中的安全性、完整性问题。OpenSWan支持2.0、2.2、2.4以及2.6内核，可以运行在不同的系统平台下，包括X86、X86_64、IA64、MIPS以及ARM。OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目，由三个主要组件构成：1. 配置工具（ipsec命令脚本） 2. Key管理工具（pluto） 3. 内核组件（KLIPS/26sec）。 (SDNS)la01的一部分，安全协议3号(Security Protocol 3，SP3)就是美国国家安全局以及标准技术协会制定的安全标准：网络层安全协议(Network Layer Security Protocol，NLSP)是由国际标准化组织为无连接网络协(Connectionless Network Protocol，CD心)制定的安全协议；集成化 NLSP 是美国国家科技研究所提出的包括口和CLNP在内的统一安全体制。虽然这些提案的差异性较大，但本质上均采用了口封装技术，将加密的敏感信息通过Internet进行传输。当数据包到达通信对端时，外层的IP报头被拆开，报文被解密，然后送达目的地。IP安全(IPSec)，是一个标准框架，它在两个对等体设备之间的网络层上提供了下面这些安全特性： (1)数据的机密性； (2)数据的完整性： (3)数据验证； (4)抗回放检测； (5)对等体验证。 一种对IPSec常见的误解是，认为他只是为数据流提供安全服务的协议。实际上，IPSec是IETF IPSec工作组定义的一套安全协议。其基本架构和框架如下： (1)安全协议：认证报头(AH)和封装安全载荷(ESP)； (2)密钥管理：ISAKMP、SKEME； (3)算法：用于加密和身份验证。 IPSec在设备和网络之间提供了网络层的保护，并且因为它是一个开放的标准，所以通常用于IPv4和IPv6的网络。IPv4可选支持IPSec，IPv6必须支持IPSec(这也是所谓的“IPv6比IPv4更安全”的根本原因)。 1.3 基本工作原理 IP协议本身不具备集成任何安全特性，在传输过程中很容易伪造口包的地址、修改,其内容、重播以前的包，以及拦截并查看包的内容。因此，在Internet上传递IP数据包可能会遇到如身份