IKE實現(xiàn)方案
IKE實現(xiàn)方案
1 RFC文檔對IKE實現(xiàn)的要求
2 實現(xiàn)的總體思想
IKE是作為一個守護進程運行的，負責處理用戶的管理配置命令、同協(xié)商實體的交互、IKE數(shù)據(jù)報的處理以及同內核的SADB的交互。整個系統(tǒng)就按照功能劃分成幾個模塊：IKE管理模塊、IKE驗證模塊、消息處理模塊。其中消息處理模塊按照消息的來源又分為幾個子模塊：網絡消息處理模塊、內核消息處理模塊、狀態(tài)消息處理模塊和用戶命令處理模塊。為了各個模塊能對協(xié)商的數(shù)據(jù)進行共享，設計了IKE狀態(tài)庫模塊，能夠提供統(tǒng)一的接口實現(xiàn)查詢，更新、刪除、添加等操作。IKE作為一個應用層協(xié)議實現(xiàn)在應用層，但是需要同內核SADB進行SA消息的傳遞所以要提供了一個接口。本方案中實現(xiàn)了PF_KEY協(xié)議作為內核和IKE守護進程的接口。

左圖描述了本系統(tǒng)的基本框架。
其中用戶管理接口是整個IPSEC網關配置的一個子界面，提供用戶一個友好管理、配置、監(jiān)視界面。
UDP/500表示IKE守護進程是利用UDP協(xié)議的500端口進行網絡通信。

2.1 模塊功能簡要介紹
◆ 管理模塊負責處理用戶的命令并調用對應的處理函數(shù)，分析運行數(shù)據(jù)并返回給用戶管理接口。
◆ 消息服務器模塊負責監(jiān)控幾個消息隊列，對其中的事件調用注冊的處理函數(shù)。消息隊列分為管理消息，網絡消息，內核消息以及SA狀態(tài)消息。
◆ IKE驗證模塊負責驗證IKE協(xié)議的載荷數(shù)據(jù)，并構造響應或請求數(shù)據(jù)報文。
◆ IKE狀態(tài)庫記錄IKE運行期間的需要的協(xié)商信息和當前的SA信息。
2.2 模塊的交互關系
◆ 管理模塊與消息處理模塊
管理模塊能夠把管理員的某些命令傳遞給消息處理模塊的管理消息處理子模塊。通信機制是利用AF_UNIX socket協(xié)議簇。系統(tǒng)創(chuàng)建一個臨時運行文件，然后管理模塊和管理消息子模塊都創(chuàng)建一個 AF_UNIX socket int sock = socket(AF_UNIX, SOCK_STREAM, 0)。管理模塊向此socket發(fā)送管理消息，管理消息處理子模塊監(jiān)聽此socket。
◆ 消息處理模塊與IKE驗證模塊
網絡消息處理模塊分析并提取數(shù)據(jù)，組織成msg_digest數(shù)據(jù)結構，然后把此數(shù)據(jù)作為參數(shù)調用IKE驗證模塊進行處理。IKE驗證模塊返回后繼處理標志，把構建的響應載荷或失敗代碼添加到msg_digest結構中。
數(shù)據(jù)結構（概念結構）如下：
struct msg_digest {
原始數(shù)據(jù)包
消息到達的接口
發(fā)送者ip地址
發(fā)送者端口號
IKE載荷
加密標志
包對應的協(xié)商對象的狀態(tài)
當前狀態(tài)對象
響應報文載荷
驗證失敗原因
}
3 各個模塊的實現(xiàn)
3.1 管理模塊的實現(xiàn)
3.1.1 設計思想
管理模塊對上提供系統(tǒng)的運行狀態(tài)和狀態(tài)設置服務，對下則提供系統(tǒng)需要的各種初始參數(shù)，包括自身和遠程安全網關的身份信息、密鑰信息、協(xié)商策略、協(xié)商時機，也包括了必要的防火墻策略設置信息以增強安全性。模塊設計能夠進行實時監(jiān)控，實時反映系統(tǒng)的運行狀態(tài)、及時響應網管的命令。
配置文件記錄系統(tǒng)的初始運行參數(shù)，它記錄的是靜態(tài)且一般為固定的信息。日志文件記錄系統(tǒng)運行以來的所有事件，包括策略更改、狀態(tài)的更改、網絡異常事件。
管理模塊對上層提供了命令接口可以直接地動態(tài)裝載和更改協(xié)商信息、啟動協(xié)商，刪除SA。模塊這些命令數(shù)據(jù)，再把參數(shù)傳遞給消息處理模塊來具體執(zhí)行。

IKE實現(xiàn)方案