IKE实现方案.doc10

1 RFC文档对IKE实现的要求
2 实现的总体思想
IKE是作为一个守护进程运行的，负责处理用户的管理配置命令、同协商实体的交互、IKE数据报的处理以及同内核的SADB的交互。整个系统就按照功能划分成几个模块：IKE管理模块、IKE验证模块、消息处理模块。其中消息处理模块按照消息的来源又分为几个子模块：网络消息处理模块、内核消息处理模块、状态消息处理模块和用户命令处理模块。为了各个模块能对协商的数据进行共享，设计了IKE状态库模块，能够提供统一的接口实现查询，更新、删除、添加等操作。IKE作为一个应用层协议实现在应用层，但是需要同内核SADB进行SA消息的传递所以要提供了一个接口。本方案中实现了PF_KEY协议作为内核和IKE守护进程的接口。

左图描述了本系统的基本框架。
其中用户管理接口是整个IPSEC网关配置的一个子界面，提供用户一个友好管理、配置、监视界面。

..............................