Linux 2.6内核中IPSec协议接入机制研究与分析

新的Linux 2.6内核提供了对IPSec的支持机构,本文对Linux 2.6内核中新加入的IPSec代码进行了深入分析.对比以前不支持IPSec的网络协议栈的Linux内核,揭示了Linux 2.6内核"无缝"接入IPSec处理的方法.     

Linux 2.6内核IPSec支持机构的研究与分析

新的Linux2．6内核提供了对IPSec的支持机构，文中对Linux2．6内核中新加入的IPSec代码进行了深入分析。对比先前不支持IPSec的网络协议栈的Linux内核，揭示了Linux 2．6内核“无缝”接入IPSec处理的方法；阐述了内核中IPSec重要组件——安全关联SA、安全策略的设计思想以及相关数据库SAD和SPD的构建方法；分析了基于Netlink套接字通信的内核IPSec管理模块、内核加密算法函数库，总结出一套Linux 2．6内核IPSec支持机构提供给用户进程的调用方法。     

Linux 2.6内核中IPSec支持机制分析

对Linux 2.6内核中新加入的IPSec代码进行了深入分析,详细阐述Linux 2.6内核中IPSec协议支持机制和处理过程.对于利用Linux内核IPSec作为基础设施的VPN开发者有一定参考价值.对IPSec实施方案的研究者以及从事内核网络协议研究和开发的同行也有所裨益.     

基于Linux2.6内核的IPSec实现研究

研究了Linux2.6内核中的IPSec整体实现,分析了内核与用户空间的交互机制PF_KEY套接口,详细解析了Linux2.6内核对IPSec的支持机制,最终通过具体应用实例实现了IPSec的功能,并给出了IPSec未来的扩展方向。     

收获企业市场果实

Linux2.4内核的推出标志着Linux企业操作系统已经准备就绪。经过三年来几次重大的升级,Linux2.6继承了2.4的内核、强化了前辈的优点,其适应性、性能都有了很大提高。Linux2.6内核在去年12月就已经出现,用户可以在kernel.org上免费下载。但绝大多数用户,宁愿选择在一家Linux厂商推出包含这种新内核的Linux操作系统后再来使用它。红帽有限公司的“社区支持”Linux部门,Fedora Core将首先成为推出包含Linux2.6内核软件的大机构。FedoraCore2i计划于4月19日面市,它的第一个测试版本已经在fedora.redhat.com上提供免费下载。MandrakeSoft S…     

Linux 2.6内核进程调度分析

Linux操作系统是一种支持多任务、多用户和多处理器的现代通用操作系统。2.6内核的Linux支持O(1)级进程调度算法,支持可抢占内核,相比于2.4内核具有更好的实时性能。文中基于Linux 2.6.10内核源代码,分析了Linux 2.6内核的进程调度系统。并在详细介绍关键数据结构的基础上,阐述了进程调度算法的原理,并对实时进程的支持作了分析。     

基于IPSec的VPN网关设计*

基于IPSec的VPN网关实现方案包括通过插入IPSec模块和融合IPSec在系统内核中的两种方法。通过修改Linux内核实现IPSec具有处理速度快,可避免来自操作系统的安全漏洞的优点。讨论了在Linux系统下采用融合IPSec的VPN网关实现。     

Linux 2.6内核设备模型分析

Linux2.6内核提供了统一的内核设备模型,能够更好地支持智能电源管理、热拔插和pnp,具有优良的适应性。基于Linux2.6.10内核源代码,介绍了2.6内核中的设备模型,详细分析了构成设备模型的主要数据结构和组件,重点分析了内核对象机制的基本原理以及构建在内核对象机制上的设备模型组件。     

为IPSec添加新对称加密算法

IPSec已经十分成熟,但是为了特殊的安全需要,或者为了性能的提高,需要添加国密算法或算法的硬件实现到IPSec。该文分析了Openswan与Linux内核在协商与使用对称加密算法方面对IPSec的支持,并详细描述了如何添加新的对称加密算法到IPSec实现中。     

Linux 2.6内核调度机制剖析与改进①

详细剖析了Linux 2.6内核进程调度的时机、调度策略、调度有关的重要数据结构、O(1)调度算法实现,以及Linux 2.6内核新引入的内核抢占机制。为了使Linux 2.6内核支持硬实时应用,提出了改进的最小裕度优先调度算法。该算法通过引入抢占阈值,从而减少颠簸现象造成的系统资源浪费,并提高了实时处理效率。     

基于Linux的IPSec VPN网关的设计与实现

重点研究了IPSee协议及其体系结构、工作模式和相关协议。详细分析了利用IPSec建立虚拟专用网络网关的优点。提出利用KAME—tools工具设置Linux2．6内核的方式来实现Linux系统中基于IPSee的虚拟专用网络网关的方法。并给出了配茸虚拟专用网络网关的具体过程,最后在Linux上实现了一种基于IPSee的虚拟专用网络网关。     

基于LSM的沙箱模块设计与实现

沙箱（Sandbox）技术是一种安全保护机制,其目的是通过对程序运行环境的限制来保护系统的安全性.LSM是Linux内核提供的一种轻量级访问控制框架.文中分析了Linux系统中实现沙箱模块的常用技术的不足（实现复杂且资源消耗大）,提出一种基于LSM在Linux内核中实现沙箱模块的方法.基于LSM实现沙箱模块,可以减少工作量.且测试结果表明,基于LSM的内核沙箱模块加载后,对系统影响较小,系统性能最大损失约10％.     

基于LSM架构对Linux文件系统进行安全性增强

Linux内核只提供了经典的UNIX自主访问控制。Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来。首先时Linux安全模块(LSM)的实现机制和接口进行了介绍,然后提出了一种时Linux文件系统的基于LSM架构的强访问控制增强,同时改进了LSM机制引入了多级安全策略的机制。     

基于Linux的XFRM框架下IPSec VPN的研究

针对现有 IPSec VPN 系统在效率和可靠性方面存在的问题,提出并改进了一种基于Linux最新内核平台的 IPSec VPN网关系统。给出Linux 的XFRM 框架结构和函数调用结构的表述,其中包括XFRM框架模块与内核中IPSec进入外出处理的交互结合和VPN 网关安全隧道的构建,利用 XFRM 框架实现 IP 层处理和IPSec 处理。对新系统进行了仿真实现与性能评价,结果表明,它是可行和有效的。     

嵌入式Linux下的实时性增强方案

分析了嵌入式Linux在实时性方面的不足,针对Linux2.6内核的中断运行机制、内核不可抢占性、自旋锁及大内核锁等问题进行研究,提出相应的实时性改进方法。测试表明,改进后的嵌入式Linux实时性效果较好。