论文部分内容阅读
近年来,互联网越来越深入地应用到人们的生活中,给人们的生活带来了极大的便利,然而伴随其产生的网络安全问题也越来越严重。作为网络安全的最重要的保障手段之一,IPsec VPN技术广泛地被应用于网络安全的各个重要节点中。当今广为使用的IPsec VPN技术,无论是安全协议,还是密码算法全部都是来自国外组织或机构制定的标准。为适应我国自身的安全需求,我国国家密码管理局批准了一系列国密标准的密码算法。在此基础上制订了基于国密标准密码算法的VPN技术规范。本文基于《IPsec VPN技术规范(2010版)》,在开源IPsec VPN服务器Openswan的基础上,对基于国密标准的IPsec VPN技术进行了研究和实现。主要的研究成果为:1.系统地研究了开源IPsec VPN服务器Openswan的系统整体架构、密码算法系统和IKE协商流程。2.改进了开源IPsec VPN服务器Openswan,增加了对国密标准密码算法的支持,按照国密标准的IPsec VPN技术规范的IKE协商流程的要求,修改了Openswan的IKEv1协商流程。3.对Linux 2.6内核的IPsec实现NETKEY模块进行了研究,扩大了Linux 2.6内核的IPsec实现所支持的密码算法集,使之能够支持国密标准的密码算法。4.深入研究了Linux内核的加密框架和向其中添加自定义密码算法的方法。将国密标准的密码算法注册进Linux内核的加密框架中,使得内核其他模块能够在需要的时候调用国密标准的密码算法,完成所需的密码运算。向Linux内核加密框架注册对称加密算法有cipher、同步块和异步块三种方式,本论文分别尝试了这三种注册方式对于系统的加密性能的影响。最终使用了异步块的注册方式实现了整个系统。5.在以上研究成果的基础上实现了符合《IPsec VPN技术规范(2010版)》的国密标准IPsec VPN服务器。对服务器进行了全面的测试,取得了良好的测试结果。