| 第一章 绪论 | 第1-19页 |
| 1.1 研究背景与选题意义 | 第14-15页 |
| 1.2 研究现状与存在的问题 | 第15-16页 |
| 1.3 论文内容与相关工作 | 第16页 |
| 1.4 论文的主要贡献 | 第16-17页 |
| 1.5 论文结构 | 第17-19页 |
| 第二章 IPSec VPN安全网关总体设计 | 第19-24页 |
| 2.1 IPSec协议概述 | 第19-20页 |
| 2.2 IPSec部分重要数据结构 | 第20页 |
| 2.2.1 安全关联、安全关联数据库 | 第20页 |
| 2.2.2 安全策略、安全策略数据库 | 第20页 |
| 2.3 IPSec VPN安全网关需求分析 | 第20-22页 |
| 2.4 Linux 2.6内核IPSec支持机构与安全网关设计的关系 | 第22页 |
| 2.5 基于Linux 2.6内核IPSec VPN安全网关总体设计 | 第22-24页 |
| 第三章 内核中IPSec无缝接入与一体化设计分析 | 第24-31页 |
| 3.1 套接字缓冲区(sk_buff)对IPSec的支持 | 第24-27页 |
| 3.1.1 sk_buff简介 | 第24-25页 |
| 3.1.2 sk_buff中“目的入口”dst_entry对IPSec的支持 | 第25-27页 |
| 3.1.3 sk_buff对进入信包安全处理的记录 | 第27页 |
| 3.2 路由函数对IPSec的支持 | 第27页 |
| 3.3 外出信包IPSec处理流程 | 第27-28页 |
| 3.4 xfrm_lookupO—外出处理中的重要函数 | 第28-29页 |
| 3.5 进入信包的IPSec处理 | 第29-31页 |
| 第四章 内核中安全关联SA与安全策略SP分析 | 第31-41页 |
| 4.1 内核中安全关联主要成员域分析 | 第31-33页 |
| 4.1.1 安全关联中的选择符(安全关联到安全策略的映射) | 第31页 |
| 4.1.2 安全关联中的算法信息 | 第31-32页 |
| 4.1.3 安全关联生存期表示方法 | 第32页 |
| 4.1.4 安全关联中的抗重播组件 | 第32-33页 |
| 4.1.5 安全关联中安全协议的私有数据 | 第33页 |
| 4.2 安全关联在内核中的状态分析 | 第33-34页 |
| 4.3 内核中安全关联数据库SAD构建方法及分析 | 第34-35页 |
| 4.4 内核中安全策略主要成员域分析 | 第35-37页 |
| 4.4.1 安全策略的选择符 | 第35-36页 |
| 4.4.2 安全策略行为的表示 | 第36页 |
| 4.4.3 “安全处理目的入口”缓冲(xfrm_policy.bundle) | 第36页 |
| 4.4.4 安全策略到安全关联的映射(安全关联模板) | 第36-37页 |
| 4.4.5 安全策略生存期的表示方法 | 第37页 |
| 4.5 内核中安全策略数据库SPD构建方法及分析 | 第37-38页 |
| 4.6 安全关联数据库、安全策略数据库协同工作机制分析 | 第38页 |
| 4.7 内核对安全关联、安全策略的定时处理机制 | 第38-41页 |
| 4.7.1 内核对安全关联的定时处理 | 第38-39页 |
| 4.7.2 内核对安全策略的定时处理 | 第39-41页 |
| 第五章 内核AH和ESP处理的研究与再设计 | 第41-54页 |
| 5.1 AH协议概述 | 第41-43页 |
| 5.1.1 AH头部格式 | 第41-42页 |
| 5.1.2 Linux 2.6内核中AH头的设计 | 第42页 |
| 5.1.3 不同工作模式下的AH协议报文格式 | 第42-43页 |
| 5.1.3.1 传输模式下的AH报文 | 第42页 |
| 5.1.3.2 通道模式下的AH报文 | 第42-43页 |
| 5.2 ESP协议概述 | 第43-45页 |
| 5.2.1 ESP报文格式 | 第43-44页 |
| 5.2.2 Linux 2.6内核中ESP头的设计 | 第44页 |
| 5.2.3 传输模式下的ESP报文 | 第44-45页 |
| 5.2.4 通道模式下的ESP报文 | 第45页 |
| 5.3 AH和ESP处理模块再设计总体思想 | 第45-46页 |
| 5.4 传输模式下AH外出处理的设计与实现 | 第46-49页 |
| 5.4.1 外出的可行性检查设计 | 第46-47页 |
| 5.4.2 认证计算的实现与设计 | 第47-49页 |
| 5.4.2.1 IP报文固定头的认证计算范围的确定 | 第47页 |
| 5.4.2.2 对IP报文头中IP选项认证计算范围的确定 | 第47-48页 |
| 5.4.2.3 传输模式AH外出处理流程设计 | 第48-49页 |
| 5.5 通道模式下AH外出处理的设计与实现 | 第49-50页 |
| 5.5.1 外出可行性检查设计 | 第49页 |
| 5.5.2 外出处理流程详细设计 | 第49-50页 |
| 5.6 AH进入处理的设计与实现 | 第50-51页 |
| 5.6.1 Linux 2.6内核中AH模块的注册 | 第50页 |
| 5.6.2 Linux 2.6内核中AH进入处理 | 第50-51页 |
| 5.7 传输模式下ESP外出处理的研究、设计与实现 | 第51-52页 |
| 5.7.1 填充长度的计算方法的设计 | 第51页 |
| 5.7.2 传输模式ESP外出处理详细设计 | 第51-52页 |
| 5.8 通道模式ESP外出处理的详细设计 | 第52-53页 |
| 5.9 ESP进入处理研究与设计 | 第53-54页 |
| 5.9.1 Linux 2.6内核中ESP模块的注册 | 第53页 |
| 5.9.2 ESP进入处理详细设计 | 第53-54页 |
| 第六章 VPN安全网关管理控制台的设计与实现 | 第54-64页 |
| 6.1 VPN安全网关管理控制台设计的总体思想及构架 | 第54-55页 |
| 6.2 启动命令(ipsec-start)的设计与实现 | 第55页 |
| 6.3 关闭命令(ipsec-stop)的设计与实现 | 第55-56页 |
| 6.4 配置命令(ipsec-config)的设计与实现 | 第56-63页 |
| 6.4.1 “用户配置交互模块”的设计 | 第57-62页 |
| 6.4.1.1 新建安全通道操作的设计与实现 | 第58-61页 |
| 6.4.1.2 拆除安全通道操作的设计与实现 | 第61页 |
| 6.4.1.3 查询安全策略、安全关联操作的设计与实现 | 第61-62页 |
| 6.4.1.4 导出安全策略、安全关联操作的设计与实现 | 第62页 |
| 6.4.2 “命令发送模块”的设计与实现 | 第62页 |
| 6.4.3 “消息接收模块“的设计与实现 | 第62-63页 |
| 6.5 配置文件的建立和维护 | 第63页 |
| 6.6 日志文件的建立和维护 | 第63-64页 |
| 第七章 VPN安全网关与内核交互处理的设计实现 | 第64-77页 |
| 7.1 VPN安全网关与内核交互处理设计的总体思想及构架 | 第64页 |
| 7.2 交互模块与内核IPSec支持机构的通信机制 | 第64-66页 |
| 7.3 交互模块发起消息的设计 | 第66-73页 |
| 7.3.1 新建、更新安全关联消息设计与内核实现跟踪 | 第67-68页 |
| 7.3.2 删除安全关联消息设计与内核实现跟踪 | 第68页 |
| 7.3.3 获取SPI消息设计与内核实现跟踪 | 第68-69页 |
| 7.3.4 查询安全关联消息设计与内核实现跟踪 | 第69-70页 |
| 7.3.5 导出安全关联消息设计与内核实现跟踪 | 第70-71页 |
| 7.3.6 新建、更新安全策略消息设计与内核实现跟踪 | 第71-72页 |
| 7.3.7 查询、删除安全策略消息设计与内核实现跟踪 | 第72-73页 |
| 7.3.8 导出安全策略消息设计与内核实现跟踪 | 第73页 |
| 7.4 内核发起消息的处理设计 | 第73-75页 |
| 7.4.1 内核要求建立安全关联消息的监听和处理 | 第73-74页 |
| 7.4.2 对安全关联超期消息的监听和处理 | 第74页 |
| 7.4.3 对安全策略超期消息的监听和处理 | 第74-75页 |
| 7.5 与用户空间进程(VPN网关管理控制台、IKE守护进程)交互设计 | 第75-77页 |
| 第八章 IPSec VPN安全网关原型系统性能测试与分析 | 第77-84页 |
| 8.1 测试环境 | 第77-78页 |
| 8.2 AH测试 | 第78-81页 |
| 8.2.1 AH信包格式分析(AH使用HMAC-MD5认证) | 第78-79页 |
| 8.2.2 AH传输时间测试 | 第79-81页 |
| 8.3 ESP处理测试 | 第81-83页 |
| 8.3.1 ESP信包格式分析(ESP使用DES-CBC加密、HMAC-MD5认证) | 第81-82页 |
| 8.3.2 ESP传输时间测试 | 第82-83页 |
| 8.4 测试结论 | 第83-84页 |
| 第九章 结束语 | 第84-86页 |
| 9.1 论文总结 | 第84-85页 |
| 9.2 发展方向及展望 | 第85页 |
| 9.2.1 建立支持IPv6和IPv4地址转换的IPSec VPN网关 | 第85页 |
| 9.2.2 建立功能完善的安全策略系统 | 第85页 |
| 9.3 未来的工作 | 第85-86页 |
| 作者在攻读硕士学位期间参加的科研项目 | 第86页 |
| 作者在攻读硕士学位期间公开发表的论文 | 第86-87页 |
| 附录 | 第87-91页 |
| 1 安全关联(xfrm_state) | 第87-88页 |
| 2 安全策略(xfrm_policy) | 第88页 |
| 3 安全关联模板(xfrm_tmpl) | 第88-89页 |
| 4 内核IPSec与用户交互SA基本信息(xfrm_usersa_info) | 第89页 |
| 5 内核IPSec与用户交互算法信息(xfrm_algo) | 第89页 |
| 6 内核IPSec与用户交互SPI信息(xfrm_userspi_info) | 第89页 |
| 7 内核IPSec与用户交互SA索引信息(xfrm_usersa_id) | 第89-90页 |
| 8 内核IPSec与用户交互安全策略基本信息(xfrm_userpolicy_info) | 第90页 |
| 9 内核IPSec与用户交互安全关联模板信息(xfrm_user_tmpl) | 第90页 |
| 10 内核IPSec与用户交互安全策略索引信息(xfrm_userpolicy_id) | 第90-91页 |
| 参考文献 | 第91-93页 |
| 致谢 | 第93页 |
