关于IPSEC实现分析.docVIP

版本： 1 封页 PAGE 2 IPSec实现分析 目 录 TOC \o 1-2 \h \z 1 引言 1 1.1 编写目的 1 1.2 编写背景 1 1.3 预期读者和阅读建议 1 1.4 文档约定 1 1.5 参考资料 1 2 详细设计 1 2.1 IPSec介绍 1 2.2 IPSec实现 6 2.3 IPSec发包和收包 21 2.4 内核与IKE进程通信 25 3 IKE协商介绍 27 3.1 主模式（第一阶段） 28 3.2 野蛮模式（第一阶段） 34 3.3 快速模式（第二阶段） 35 3.4 IKE进程状态转换及调用关系 38 4 哈希的计算 41 4.1 哈希计算 41 4.2 DH计算 43 4.3 加密材料(RFC2409 Appendix B) 48 5 IPSEC穿NAT 50 5.1 穿NAT讨论 50 5.2 NAT穿越原理 53 5.3 NAT穿越实现 57 5.4 两种模式对比 59 引言 编写目的 编写该文档的目的是为了更好地理IPSec模块。为了能更好地理解IPSec，本详细设计报告描述了IPSec介绍、数据结构、IPSec策略匹配、SA的查找安全路由的安装、发包和收包过程和IPSec IKE。 编写背景 无 预期读者和阅读建议 本文档的预期读者包括网关安全模块开发人员。开发人员应重点理解函数实现和数据结构之间的关系。 文档约定 IPSec Internet Protocol Security SA Security Association （安全联盟） SPI Security parameter index（安全参数索引） AH Authentication Header （认证头） ESP Encapsulating Security Payload （加密安全载荷） IKE Internet Key Exchange HMAC Keyed-hash Message Authentication Code 参考资料 RFC 2401 《Security Architecture for the Internet Protocol》 RFC 2402 《IP Authentication Header》 RFC 2406 《IP Encapsulating Security Payload (ESP)》 RFC 2407 《The Internet IP Security Domain of Interpretation for ISAKMP》 RFC 2408 《Internet Security Association and Key Management Protocol (ISAKMP)》 RFC 2409 《The Internet Key Exchange (IKE)》 RFC 3947 《Negotiation of NAT-Traversal in the IKE》 RFC 3948 《UDP Encapsulation of IPsec ESP Packets》 详细设计 IPSec介绍 IPSEC(Internet Protocol Security)是IETF指定的一个IP层安全框架协议。它提供了在未提供保护的网络环境中传输敏感数据的保护。它定义了IP数据包格式和相关基础结构，以便为网络通信提供端对端、加强的身份验证、完整性、防重放和保密性等。 IPSec到底是如何起作用的呢？为了更直观的理解IPSec VPN，图2-1到图2-3说明了：当两个机构通信的重要内容不想被中间人截获到，可以采用的方法。 图2-1是最原始的方法，两个机构直接通过Internet进行通信，但是这样的话，很容易遭受中间黑客的截获和对内容的篡改，而两边都无法知道，很可能会造成重要损失。 图2-2，两边的机构通过架设自己的专用网络进行通信，这样的话，黑客不修改物理的连接是无法接触到两边的通信内容的，所以比较安全，但是这样的方式会耗费巨大的投资。 图2-3，通过架设虚拟的VPN通道就可以使得：1.黑客能截获到报文，但也无法得知内容；2.即便是修改了内容，但两边机构是能检测到报文有无修改。 图2-1 普通通信方式 图2-2 架设专用网络 图2-3 开辟虚拟通道 当然VPN有多种，本文着重从IPSec VPN的角度介绍IPSec的原理及实现。IPSec通过两种协议来实现对I