IPSEC实现分析整理.pdfVIP

IPSec 实现分析 目 录 1 引言 1 1.1 编写目的 1 1.2 编写背景 1 1.3 预期读者和阅读建议 1 1.4 文档约定 1 1.5 参考资料 1 2 详细设计 1 2.1 IPSEC 介绍 1 2.2 IPSEC 实现6 2.3 IPSEC 发包和收包21 2.4 内核与IKE 进程通信25 3 IKE 协商介绍 27 3.1 主模式（第一阶段）28 3.2 野蛮模式（第一阶段） 34 3.3 快速模式（第二阶段） 35 3.4 IKE 进程状态转换及调用关系 38 4 哈希的计算 41 4.1 哈希计算41 4.2 DH 计算43 4.3 加密材料(RFC2409 APPENDIX B) 48 5 IPSEC 穿NAT 50 5.1 穿NAT 讨论 50 5.2 NAT 穿越原理 53 5.3 NAT 穿越实现 57 5.4 两种模式对比 59 1 引言 1.1 编写目的 编写该文档的目的是为了更好地理IPSec 模块。为了能更好地理解IPSec ，本详细设计 报告描述了IPSec 介绍、数据结构、IPSec 策略匹配、SA 的查找安全路由的安装、发包和 收包过程和IPSec IKE 。 1.2 编写背景 无 1.3 预期读者和阅读建议 本文档的预期读者包括网关安全模块开发人员。开发人员应重点理解函数实现和数据结 构之间的关系。 1.4 文档约定 IPSec Internet Protocol Security SA Security Association （安全联盟） SPI Security parameter index （安全参数索引） AH Authentication Header （认证头） ESP Encapsulating Security Payload （加密安全载荷） IKE Internet Key Exchange HMAC Keyed-hash Message Authentication Code 1.5 参考资料 RFC 2401 《Security Architecture for the Internet Protocol》 RFC 2402 《IP Authentication Header》 RFC 2406 《IP Encapsulating Security Payload (ESP)》 RFC 2407 《The Internet IP Security Domain of Interpretation for ISAKMP》 RFC 2408 《Internet Security Association and Key Management Protocol (ISAKMP)》 RFC 2409 《The Internet Key Exchange (IKE)》 RFC 3947 《Negotiation of NAT-Traversal in the IKE》 RFC 3948 《UDP Encapsulation of IPsec ESP Packets》 2 详细设计 2.1 IPSec 介绍 IPSEC(Internet Protocol Security)是IETF 指定的一个IP 层安全框架协议。它提供了在未 提供保护的网络环境中传输敏感数据的保护。它定义了 IP 数据包格式和相关基础结构，以 便为网络通信提供端对端、加强的身份验