论文部分内容阅读
随着互联网技术的快速发展,人们日常的生活、办公已趋于完全网络化,网络已成为我国经济发展的重要组成部分,然而在网络方便我们生活的同时,所带来的网络安全问题也越来越凸显,保护网络数据的安全性是目前网络技术发展所面临的主要问题。IPSec VPN技术是目前应用最为广泛的网络数据安全保护技术,它通过安全策略协商在网络中建立虚拟网络数据传输通道,对数据采用加密和认证算法进行处理,从而达到保护网络数据安全的目的。IPSec VPN技术的核心内容是一套IPSec协议组件,由Internet工程任务组(IETF)提出并制定,目前以IPSec协议为基础的VPN产品也是各式各样,其各自的实现方式、采用的加密算法都有所不同。我国国家密码局针对我国的网络安全管理的相现状,制定了符合我国网络安全技术发展的《IPSec VPN技术规范》,经过几次迭代,内容发生了很大的变化,目前最新版是2014年所发布的版本。本文设计并实现了一套符合国密新标准的IPSec VPN服务器软件。首先,分析了标准IPSec协议所存在的问题,面向IPSec VPN规范和国密标准设计了新的IPSec协议框架。接着,研究了IPSec VPN的国密IKE协商流程,对协商过程中数据包的格式进行深入的分析和探讨。然后,以IPSec内核框架为出发点,分析了IPSec对网络数据包发送和接收的处理流程,研究了Linux内核加密库算法添加方法,完成了国密加密算法的添加。最后,在开源的IPSec VPN服务器软件OpenSwan的基础上,按照国密新标准的规范,实现了符合国密新标准要求的IPSec VPN软件。本文的主要工作有:(1)研究了IPSec VPN相关协议规范和国密新标准的相关内容,分析了IKE协商流程和IPSec内核加密框架,对国密对称称算法SM1/SM4、非对称算法SM2以及杂凑算法SM3进行了研究。(2)面向国密新标准的相关规范改进了IPSec VPN协议框架,实现了符合国密标准要求的IKE协商流程和采用国密数字证书的身份认证,IKE协商过程中数据包格式满足国密标准规定。(3)实现了国密标准的内核加密框架,编写了硬件加密卡驱动程序,向Linux内核加密库中添加和注册了国密算法,完成了网络数据使用国密算法进行加密和认证保护,实现了应用层和内核层的USB-key与硬件加密卡的分离。(4)对符合国密新标准的IPSec VPN软件进行了功能测试和性能测试,软件符合国密新标准要求,并且具有较好的通信效率。本文所实现的IPSec VPN软件在协商阶段结合Usb-Key设备,采用国密数字证书的认证方式进行身份认证,具有极高的可靠性和安全性。网络数据的传输采用国密加密算法进行认证和保护,加密算法由硬件加密卡提供,保证了软件具有较快的通信速度。完成后的软件传输速率高,运行稳定,能够为当前的网络数据保护提供有力的支撑。