Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)_第1頁(yè)
Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)_第2頁(yè)
Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)_第3頁(yè)
Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)【摘要】:本文以下內(nèi)容將對(duì)Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)進(jìn)展研究和討論,以供參考。【關(guān)鍵詞】:Linux;網(wǎng)絡(luò)層;加密解密;實(shí)現(xiàn)中圖分類號(hào):G250 文獻(xiàn)標(biāo)識(shí)碼: A1、前言隨著網(wǎng)絡(luò)技術(shù)在各行各業(yè)中的廣泛應(yīng)用,網(wǎng)絡(luò)平安逐漸成為一個(gè)重要的問題,Linux是一個(gè)優(yōu)秀的、開源的操作系統(tǒng),可以通過修改Linux操作系統(tǒng)內(nèi)核的網(wǎng)絡(luò)協(xié)議,以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的加密。本文以下內(nèi)容將對(duì)Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)進(jìn)展研究和討論,以供參考。2、網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)概述對(duì)于在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的某一次通信鏈路,鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供平安保證,對(duì)于鏈路加密,所有消息在被傳

2、輸之前進(jìn)展加密,在每一個(gè)節(jié)點(diǎn)對(duì)接收到的信息進(jìn)展解密,然后先使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)展加密,再進(jìn)展傳輸,再到達(dá)目的地之前,一條消息可能要經(jīng)過許多通信鏈路的傳輸。由于在每一個(gè)中間傳輸節(jié)點(diǎn)消息均被解密后重新進(jìn)展加密,因此,包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn),這樣鏈路加密就掩蓋了被傳輸信息的源點(diǎn)和終點(diǎn),由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)的情況下就可以進(jìn)展加密,這使得消息的頻率和長(zhǎng)度特性得以掩蓋,從而可以防止對(duì)通信業(yè)務(wù)進(jìn)展分析。盡管鏈路加密在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中使用得相當(dāng)普遍,但它并非沒有問題,鏈路加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步線路上,它要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)展同步,

3、然后使用一種鏈形式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)展加密,這就給網(wǎng)絡(luò)性能和可管理性帶來了副作用。在一個(gè)我那個(gè)羅節(jié)點(diǎn),鏈路加密進(jìn)在通信鏈路上提供平安性,消息以明文形式存在,因此所有節(jié)點(diǎn)在物理上必須是平安的,否那么就會(huì)泄露明文內(nèi)容。然后保證每一個(gè)節(jié)點(diǎn)的平安性需要較高的費(fèi)用,為每一個(gè)節(jié)點(diǎn)提供加密硬件設(shè)備和一個(gè)平安的物理環(huán)境所需要的費(fèi)用由以下幾部分組成:保護(hù)節(jié)點(diǎn)物理平安的雇員開銷,為確保平安策略和程序的正確執(zhí)行而進(jìn)展審計(jì)時(shí)的費(fèi)用,以及為防止平安性被破壞時(shí)帶來?yè)p失而參加保險(xiǎn)的費(fèi)用。盡管節(jié)點(diǎn)加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的平安性,但它在操作方式上與鏈路加密是類似的,兩者均在通信鏈路上為傳輸?shù)男畔⑻峁┢桨残?,都在中間節(jié)點(diǎn)先對(duì)

4、信息進(jìn)展解密,然后進(jìn)展加密,因?yàn)橐獙?duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)展加密,所以加密過程對(duì)用戶是透明的。然而與鏈路加密不同,節(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)節(jié)點(diǎn)以明文形式存在,它先把收到的消息進(jìn)展解密,然后采用另一個(gè)不同的密鑰進(jìn)展加密,這一過程是在節(jié)點(diǎn)上的一個(gè)平安模塊中進(jìn)展。端到端加密允許數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過程中始終以密文形式存在,采用端到端加密,消息在被傳輸時(shí)到達(dá)終點(diǎn)之前不進(jìn)展解密,因?yàn)橄⒃谡麄€(gè)傳輸過程中均受到保護(hù),所以即使有節(jié)點(diǎn)被損壞也不會(huì)使消息泄露。端到端加密系統(tǒng)的價(jià)格比較廉價(jià),并且與鏈路加密和節(jié)點(diǎn)加密相比更可靠,更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù),端到端加密還防止了其他加密系統(tǒng)所固有的同步問題,因?yàn)槊總€(gè)報(bào)文包均是

5、獨(dú)立被加密的,所以一個(gè)報(bào)文包所發(fā)生的傳輸錯(cuò)誤不會(huì)影響后續(xù)的報(bào)文包。3、系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)3.1,系統(tǒng)的總體設(shè)計(jì)內(nèi)核嵌入部分主要實(shí)現(xiàn)對(duì)套接字緩存的書籍進(jìn)展加密、解密,在內(nèi)核中定義的函數(shù)均在Linux/include/net/IP.h中聲明。對(duì)于IP包的加密狀況,這里采用設(shè)置加密位來標(biāo)志該IP包是否被加密,而由于IP頭中的TOS字段作為優(yōu)先權(quán)的高3位已經(jīng)廢棄,為了減少內(nèi)核的大小,采取把TOS最高位置作為加密標(biāo)志,以此判斷包是否應(yīng)該解密。對(duì)于如何判斷一個(gè)包是否應(yīng)該加密,設(shè)計(jì)為判斷目的IP地址,設(shè)計(jì)思路為把需要加密發(fā)送的目的IP地址存放到一個(gè)定義為全局變量的鏈表中,該鏈表在內(nèi)核運(yùn)行期間始終有效,并聲明為模

6、塊可讀寫。3.2,模塊部分的設(shè)計(jì)與實(shí)現(xiàn)由于模塊主要是針對(duì)鏈表和文件的操作,為了可以使多個(gè)模塊都能使用到這些函數(shù),采取把一些主要函數(shù)定義在內(nèi)核中,首先定義直接對(duì)鏈表操作的函數(shù),定義對(duì)文件的操作,文件部分的函數(shù)均聲明為模塊可用,其它函數(shù)的定義也均聲明為模塊可用。功能模塊主要包含對(duì)List的插入操作、刪除操作和讀操作,對(duì)DES密鑰的修改,模塊是Linux系統(tǒng)為防止內(nèi)核不斷擴(kuò)大而設(shè)計(jì)的一種體系,它能運(yùn)行于內(nèi)核態(tài),可以自由加載和刪除,增加了系統(tǒng)的靈敏性。3.3,DES算法實(shí)現(xiàn)由于套接字緩存在skbuffdata為數(shù)據(jù)開始,但是其并不是標(biāo)準(zhǔn)字符串的頭指針,所以在此先對(duì)DES加密算法做一些修改,即添加一個(gè)參

7、數(shù),表示需加密的長(zhǎng)度。而由于IP包的一個(gè)特點(diǎn)是,數(shù)據(jù)的長(zhǎng)度為8的整數(shù)倍,所以這里的DES算法可以不考慮對(duì)字符串的填充。DES算法的主要實(shí)現(xiàn)思想為定義一個(gè)長(zhǎng)度為64的unsigned char類型的字符數(shù)組把字符串的每8字節(jié)按位存儲(chǔ)在該字符數(shù)組中。密鑰也用根本一樣的方法處理。加密算法的所有操作都以數(shù)組元素為單位操作,減少了位操作的繁瑣。3.4,對(duì)內(nèi)核函數(shù)的修改主要通過對(duì)list的查詢和加密位的檢查調(diào)用加密算法實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密解密。在IP-input.c中的ip-local-deliver函數(shù)中decskb需被調(diào)用,對(duì)套接字緩存中IP頭以后的數(shù)據(jù)進(jìn)展解密。并檢查list,假設(shè)list中沒有該源IP地址,那么插入相應(yīng)的程序段。而由于數(shù)據(jù)包傳出過程中有多處進(jìn)入IP層的借口,所以在IP-input.c中也分別在ip-build-and-send-pkt、ip-queue-xmit和ip-push-pending-frames中encskb需被調(diào)用。由于在加密過程中需要對(duì)TOS字段進(jìn)展設(shè)置,所以應(yīng)該在計(jì)算IP頭檢驗(yàn)和之前調(diào)用,以防止屢次計(jì)算檢驗(yàn)。4、結(jié)尾本文以上內(nèi)容對(duì)Linux下的網(wǎng)絡(luò)層加密解密的實(shí)現(xiàn)進(jìn)展了分析和討論,表達(dá)觀點(diǎn)和見解的同時(shí),也加深了對(duì)TCP/IP協(xié)議棧的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論