当前位置:文档之家 › IPSec 协议实现及其现状分析

IPSec 协议实现及其现状分析

  • 格式:pdf
  • 大小:84.79 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

IPSec协议在Linux平台上的实现技术综述报告剖析

IPSec协议在Linux平台上的实现技术综述报告剖析

;;;;题目名称:IPSec协议在Linux平台上的实现技术综述报告目录一、问题背景概述 (1)1.1背景 (1)1.2 IPSec协议概述 (1)1.3基本工作原理 (1)二、协议分析说明分析 (2)2.1协议规范概述 (2)2.2需解决的问题 (3)2.3重点和难点 (3)三、实现条件及系统解决方案 (4)3.1系统实现条件/ 环境配置说明 (4)3.2系统解决方案 (5)3.3环境配置说明 (6)四、实验方案设计及实现 (6)4.1实验方案设计说明 (6)4.2实验步骤/ 实现过程说明 (7)五、方案分析评估 (14)5.1和其他备选方案的分析比较 (14)5.2方案评估分析 (14)六、课题结论 (15)6.1本课题的不足之处和可以改进之处 (15)6.2技术前景展望/ 下一步的工作 (15)七、总结和体会 (16)附录A参考文献 (16)[键入文字]一、问题背景概述1.1 背景Internet缺乏安全性是不争的事实,人们试图通过设计各种基于TCP/IP网络层次结构的安全协议来增强IP网络的安全性。

例如,基于应用层的PGPPEMS/MIME(多功能网际扩充协议),基于传输层的SSL(安全套接层)/TLS(传输层安全)。

IPSec是基于网络层的安全协议。

IPSec相对于其它协议的优点,在于它是在TCP/IP协议的关键,实现安全机制从而有效保障了高层各协议的安全性减少了在TCP/IP网络上部署安全的复杂性。

目前对于IPSec协议有多种实现,例如Windows2000以上的Windows系列操作系统都提供对IPSec的支持。

Linux的2.4版本本身虽不具备IPSec功能,但是Free swan等开源项目使得Linux 的2.4版本可以支持IPSec Linux的2.6版本,目前已经内嵌了IPSec的功能。

KAME(项目)等开源项目提供针对各种BSD(Unix的衍生系统)版本的IPSec实现方案,Motorola Ca vi um以及Hi fn AMCC都提供IPSec的ASIC/FPGA(数字芯片)实现方案。

IPSec协议漏洞分析:了解潜在的安全风险(五)

IPSec协议漏洞分析:了解潜在的安全风险(五)

IPSec协议漏洞分析:了解潜在的安全风险引言:随着互联网的快速发展,网络安全问题日益突出。

为了保护网络通信的安全性,许多安全协议被提出和广泛应用。

其中,IPSec协议是网络安全领域的一项重要技术。

然而,随着对IPSec协议的进一步研究和实践,一些潜在的安全风险也逐渐浮现。

本文将对IPSec协议的漏洞进行深入分析,帮助读者了解并应对这些安全风险。

一、IPSec协议概述IPSec协议是一种网络安全协议,用于保护IP层上的数据传输。

它通过加密和认证机制来确保数据的机密性和完整性,在网络通信中起到重要作用。

IPSec协议由两个主要部分组成:认证头(Authentication Header,简称AH)和封装安全负载(Encapsulating Security Payload,简称ESP)。

二、漏洞分析1. 设备配置漏洞IPSec协议部署过程中,设备的配置是非常重要的一环。

然而,由于配置复杂性和操作人员技术水平的不足,常常会在配置环节出现漏洞。

例如,配置错误的密钥或算法选项,会导致加密和认证机制的失效,使得通信数据容易被窃取或篡改。

2. 密钥管理漏洞IPSec协议中,密钥的管理是保证通信数据安全的核心。

然而,密钥管理机制中存在一些潜在的漏洞。

例如,密钥的生成与发布过程可能容易受到恶意攻击者的窃取或破解。

此外,密钥过期与更新机制也需要考虑,否则一旦密钥失效,通信数据将不再受到保护。

3. 重放攻击漏洞重放攻击是指攻击者在网络通信中截获数据包,并将其重新发送到目标主机,以达到欺骗或破坏的目的。

IPSec协议中,并没有对重放攻击进行充分的防范。

攻击者可以利用重放攻击漏洞,重新发送多个相同的数据包,导致通信的混乱和错误。

4. 未经授权访问漏洞在IPSec协议中,访问控制是保证通信安全的关键。

然而,当前实现的IPSec协议对于未经授权的访问控制并没有有效的防护机制。

攻击者可以通过监听和破解协议,绕过访问控制规则,将非法请求发送到目标主机,造成严重的安全威胁。

IPSec延迟问题分析:优化安全通信的速度(五)

IPSec延迟问题分析:优化安全通信的速度(五)

IPSec(Internet Protocol Security)是一种网络通信协议,旨在通过加密和身份验证确保数据传输的安全性。

然而,使用IPSec可能会引起网络延迟问题,影响通信速度。

本文将深入分析IPSec延迟问题,并提出一些优化安全通信速度的建议。

背景介绍:在当今数字化时代,网络安全成为企业和组织日益重要的问题。

IPSec作为一种常用的加密协议,在建立虚拟专用网络(VPN)和保护网络通信中发挥着重要作用。

然而,正是因为它的加密和身份验证机制,IPSec可能会导致网络延迟。

延迟问题分析:1. 加密和解密过程:IPSec通过使用加密算法对数据进行加密和解密。

这一过程需要花费额外的时间和计算资源,因此会增加网络延迟。

尤其是在大规模数据传输时,加密和解密的时间延迟会更加明显。

2. 身份验证:IPSec还需要进行身份验证,确保通信双方的真实性和合法性。

这一过程可能涉及复杂的算法和通信协议,导致额外的延迟。

特别是在进行强制性访问控制和密钥协商时,可能会引起较大的延迟。

3. 网络拓扑结构:IPSec通常在网络层上工作,根据其工作方式和部署位置的不同,可能会引起不同程度的延迟。

例如,如果在边界路由器上实施IPSec,它将需要处理所有网络流量,导致延迟增加。

此外,IPSec还要求网络中所有的节点都支持该协议,否则可能会引起通信问题和延迟。

优化安全通信速度的建议:1. 选择合适的加密算法:加密和解密过程中,算法的选择直接影响延迟。

通常来说,较强的加密算法会消耗更多的时间和计算资源,导致更大的延迟。

因此,根据需求和安全级别,选择合适的加密算法,以平衡安全性和速度。

2. 使用硬件加速:为了减少加密和解密过程带来的延迟,可以考虑使用专门的硬件加速器。

这些硬件设备可以通过卸载处理器的计算负担来提高处理效率,从而缩短延迟时间。

3. 优化网络拓扑结构:在部署IPSec时,合理规划网络拓扑结构是至关重要的。

尽量将IPSec部署在网络的核心部分,以减少通信路径和节点数量。

网络安全协议课程设计——对IPsec协议的分析与优化

网络安全协议课程设计——对IPsec协议的分析与优化

网络安全协议课程设计——对IPsec协议的分析与优化一、背景介绍网络安全是当前互联网发展中的重要问题之一,保护网络通信的安全性对于个人、企业和国家来说都至关重要。

IPsec协议是一种常用的网络安全协议,用于保护IP层的通信安全。

本课程设计旨在对IPsec协议进行深入分析,并提出优化方案,以提高网络通信的安全性和性能。

二、IPsec协议分析1. IPsec协议概述IPsec协议是一种网络层的安全协议,用于保护IP数据包的完整性、机密性和认证性。

它通过加密和认证机制,确保数据在传输过程中不被篡改、窃听或伪造。

2. IPsec协议的工作原理IPsec协议工作在IP层,通过在IP数据包中添加安全扩展头部(Security Extension Header)来实现安全性。

它包括两个主要组件:认证头部(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。

AH提供了数据完整性和认证性,ESP提供了数据的加密性。

3. IPsec协议的优点和局限性优点:- 提供了端到端的安全性,可以保护整个通信链路中的数据。

- 支持多种加密和认证算法,灵活性较高。

- 可以与其他网络层协议兼容,如IPv4和IPv6。

局限性:- IPsec协议在处理大量数据时可能会影响网络性能。

- 配置和管理复杂,需要专业的知识和经验。

- 对于移动设备和移动网络的支持还不够完善。

三、IPsec协议优化方案1. 提高IPsec协议的性能- 使用硬件加速器:利用专用硬件加速器来加速IPsec协议的处理,提高数据传输速度。

- 优化加密算法:选择更高效的加密算法,如AES(Advanced Encryption Standard),以减少加密和解密的开销。

- 压缩数据包:采用数据压缩算法,减少传输数据量,提高网络性能。

2. 简化IPsec协议的配置和管理- 自动配置:开发自动配置工具,简化IPsec协议的配置过程,减少人工操作。

IPsec安全传输协议

IPsec安全传输协议

IPsec安全传输协议IPsec(Internet Protocol Security)是一种广泛使用的安全传输协议,它为互联网通信提供了隧道加密、访问控制和数据完整性保护的功能。

本文将介绍IPsec安全传输协议的原理、使用场景以及主要优势。

一、IPsec原理IPsec通过在传输层和网络层间添加安全层,对IP数据包进行加密和认证,以保证数据传输的安全性。

其主要原理包括:1. 认证头(AH):认证头用于对IP数据包进行完整性验证和防止数据篡改。

它通过添加认证数据字段,对数据包进行数字签名,接收方可以验证签名并确保数据的完整性。

2. 封装安全负载(ESP):ESP用于对IP数据包进行加密,以防止数据在传输过程中被窃听。

通过在原始数据包前后添加ESP头和尾,以及相应的加密算法,可以保证数据的机密性。

3. 密钥协商:为了实现安全的通信,IPsec需要在通信双方之间协商和共享密钥。

常用的密钥协商方法包括预共享密钥、公钥加密和证书颁发机构。

二、IPsec使用场景IPsec广泛应用于以下场景中,以保障数据传输的安全性:1. 远程访问VPN:企业员工可以通过远程访问VPN安全地连接到企业内部网络,访问敏感信息,完成工作任务。

IPsec提供了端到端的隧道加密,防止数据被黑客窃听和篡改。

2. 点对点连接:IPsec可用于保护两个网络之间的点对点连接,例如企业分支机构间的连接、数据中心间的连接等。

通过使用IPsec隧道,数据可以安全地在不可信的公共网络上传输。

3. 无线网络安全:在无线网络中,IPsec可以确保无线接入点和用户设备之间的通信安全。

它可以防止黑客通过窃听无线信号来获取敏感信息。

三、IPsec的优势IPsec相比其他安全传输协议具有以下优势:1. 灵活性:IPsec可以在传输层和网络层之间提供安全性,使其适用于各种应用。

无论是VPN、点对点连接还是无线网络,IPsec都能提供统一的解决方案。

2. 高度安全:IPsec使用强大的加密算法和认证机制,确保数据在传输过程中的保密性和完整性。

网络攻击防范IPSec协议详解

网络攻击防范IPSec协议详解

网络攻击防范IPSec协议详解网络攻击已经成为当今社会的一个严重问题,给用户的信息安全和隐私带来了威胁。

为了保护网络通信的安全性,各种安全协议和技术被广泛使用。

其中,IPSec(Internet Protocol Security)协议是一种非常重要的网络安全协议,它能够为IP通信提供保密性、完整性和认证性。

本文将详细介绍IPSec协议的原理、组成部分以及其在网络攻击防范方面的作用。

一、IPSec协议的原理IPSec协议是一种网络层安全协议,其主要目的是通过加密和身份认证来确保数据在网络上传输的安全性。

它基于IP协议栈,通过在IP数据包中加入头部和尾部来实现安全性的保护。

IPSec协议通过使用加密算法和认证算法来实现数据的保密性和完整性。

加密算法将数据转化为无法理解的密文,只有合法的接收方才能解密并还原成原始数据。

而认证算法则用于验证数据的完整性,即确保数据在传输过程中没有被篡改。

二、IPSec协议的组成部分IPSec协议主要由以下几个组成部分构成:1. 安全策略数据库(Security Policy Database,SPD):SPD用于存储网络通信的安全策略信息,包括哪些数据包需要进行加密和认证,以及何种方式进行加密和认证。

2. 安全关联数据库(Security Association Database,SAD):SAD 用于存储安全关联信息,包括加密和认证算法的选择、密钥的生成和管理等。

3. 认证头部(Authentication Header,AH):AH用于提供数据的认证和完整性保护,它在IP数据包中的尾部添加了一组用于校验数据完整性的认证码。

4. 封装安全载荷协议(Encapsulating Security Payload,ESP):ESP 用于实现数据的加密和认证,它在IP数据包的尾部添加了一个封装载荷,并进行加密和认证操作。

三、IPSec协议在网络攻击防范方面的作用IPSec协议在网络攻击防范方面发挥着重要的作用。

网络安全协议课程设计 IPsec隧道协议的安全分析与改进

《网络安全协议》课程设计题目IPsec隧道协议的安全分析与改进班级学号姓名指导老师2015年 7 月 4 日目录一、概述 (2)1.1课程设计的目的 (2)1.2课程设计的内容 (2)1.3课程设计的要求 (3)二、问题分析 (3)2.1系统需求 (3)2.2 GRE协议分析 (3)2.3 IPsec协议分析 (4)三、协议漏洞 (5)3.1协议漏洞解决措施 (5)3.2协议漏洞解决详解 (5)四、协议完善具体实现 (6)4.1实现分析 (6)4.2 GRE实现流程分析 (8)4.3简单设备设置 (10)五、案安全性分析 (11)六、程设计心得、总结 (11)七、参考文献 (12)1一、概述网络如若想实现交流传输,必须以网络协议为载体进行。

而网络协议(Network Protcol)是控制计算机在网络介质上进行信息交换的规则和约定。

网络协议通常会被按OSI参考模型的层次进行划分。

OSI参考模型是国际标准化组织制定的网络体系结构参考模型,提供各种网络互联的标准,共分七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,会话层、表示层和应用层往往被合并称为高层。

当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。

伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。

安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。

网络安全的实现首先需要网络协议的安全,但是网络协议都是人为写的,存在先天的不足与缺陷,以至于只能慢慢实践发现并给与补充。

这里先谈一下VPN中的GRE协议。

GRE(Generic Routing Encapsulation,通用路由封装)协议是由Cisco 和Net-smiths等公司于1994年提交给IETF(InternetEngineering Task Force,网络工程工作小组)的,标号为RFC1701和RFC1702。

网络协议知识:IPSec协议的安全性和应用场景

网络协议知识:IPSec协议的安全性和应用场景在当今网络的快速发展过程中,网络安全日益成为一个备受关注的话题。

虽然现代的计算机网络技术已经发展到了令人难以置信的高度,但是网络攻击的手段也同样得到了极大地提升。

因此,为了保证网络的安全性,人们不断地探索和研究各种网络协议,其中IPSec协议就是一种非常重要的协议。

本文将从IPSec协议的安全性和应用场景两个方面来阐述这个协议的重要性。

一、IPSec协议的安全性IPSec协议是一种用于保护IP数据包的安全协议,广泛应用于多种网络环境中。

在实际应用中,IPSec协议可以提供以下三种安全服务:认证、机密性和访问控制。

1.认证认证是指在数据传输过程中,确认数据发送者的身份以及验证数据的完整性。

IPSec协议采用的是一种称为HMAC(Hash-basedMessage Authentication Code)的算法,该算法可以保证数据的完整性,防止数据被篡改或伪造,确保数据的真实性和可靠性。

2.机密性机密性是指在数据传输过程中,保护数据不被未经授权的用户所窃取和观察。

IPSec协议采用的是一种称为AES(Advanced Encryption Standard)的加密算法,该算法可以保证数据的机密性,确保数据在传输过程中不被窃取和观察。

3.访问控制访问控制是指在数据传输过程中,控制用户对数据的访问权限。

IPSec协议可以根据用户的身份验证来控制用户对数据的访问权限,确保数据只被授权的用户所访问。

综合来看,IPSec协议具有良好的安全性能,可以在数据传输的过程中,有效地保护数据的完整性、机密性和访问控制。

这使得IPSec 协议成为了网络安全领域中不可或缺的一种技术手段。

二、IPSec协议的应用场景1.远程访问VPN远程访问VPN是指用户远程连接公司的内部网络进行工作,这种连接方式需要一种安全的网络通信协议来保护数据的安全。

在这个场景下,IPSec协议可以被用来实现VPN隧道,保护数据的完整性和机密性,从而有效地降低了数据泄露和网络攻击的风险。

网络安全中IPSec协议的应用论文

网络安全中IPSec协议的应用论文1IPSec协议基础IPSec的平安服务是由通讯双方建立的平安关联(SA)来供应的。

sA为通讯供应了平安协议、模式、算法和应用于单向IP流的密钥等平安信息。

它通过平安关联库(sAD)来进行管理,每一个IPSec节点包含有一个局部的平安策略库(SPD)。

IPSec系统在处理输入/输出IP流时必需考虑该策略库,并从SPD中提取策略对IP流进行不同的处理。

假如该策略确定IP流需要经过IPSec处理,则依据SPD与SAD 的对应关系,找到相应的SA,对IP数据包进行相应的处理。

SA由一个三元组惟一地标识,该三元组包含平安参数索引(SPI)、输出处理sA的目的IP地址或者输入处理sA的源IP地址以及一个特定的协议,SPI是为了唯一标识SA而生成的一个32位整数。

IPSec主要使用两种协议AH和ESP,这两种协议均使用sA。

假如盼望同时用A}I和ESP 来爱护两个对等实体之间的数据流,则需要两个sA:一个用于A}I,另一个用于ESP。

当一个sA协商完成时,通信的两个对等实体会在它们的平安关联数据库(SAD)中存储该sA参数。

sA的一个重要参数是它的生存期,它以一个时间间隔或者以肯定字节数的形式存在(IPSec协议利用该sA来处理)。

2平安关联数据库和平安策略数据库当IPSec处理数据流时有两个必要的数据库:平安策略数据库(SPD)和平安关联数据库(SAD)。

SPD指定了用于到达或者源自特定主机、网络的数据流的策略,SAD包含活动的SA参数。

对于SPD和SAD而言都需要单独的输入和输出数据库。

IPSec协议要求不管通信流是输入还是输出在处理的过程中都必需查询SPD,SPD中包含一个策略条目的有序列表。

通过使用一个或多个选择符来确定每一个条目。

以下是IPSec允许的'选择符:(1)目的IP地址:目的IP地址可以是一个32位的IPv4或者128位的IPv6地址。

该地址可以是主机IP地址、广播地址、单播地址、任意播地址、多播组地址等。

IPSec协议解析:原理、功能和优势全面解读(九)

IPSec协议解析:原理、功能和优势全面解读在当今互联网时代,随着网络通信的迅速发展,安全性问题也日益突出。

为了保障数据传输的安全性,加密协议应运而生。

其中一种被广泛使用的加密协议便是IPSec(IP Security),本文将从原理、功能和优势三个方面对IPSec协议进行全面解析。

1. 原理IPSec协议是一种网络层的协议,主要通过对IP数据包进行加密和解密来实现网络通信的安全性。

它采用了一系列的加密算法和密钥协商方法,确保数据的完整性、机密性和身份验证。

首先,IPSec通过使用加密算法对数据进行加密,保证数据在传输过程中不易被窃取或篡改。

常用的加密算法有DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard)等。

这些算法都具备较高的安全性和可靠性。

其次,IPSec还利用密钥协商方法确保传输过程中的身份验证。

最常用的密钥协商方法是IKE(Internet Key Exchange),它通过运用Diffie-Hellman密钥交换算法和数字签名算法,使通信双方能够安全地共享密钥,从而确保连接的安全。

最后,IPSec协议还使用数字签名进行数据完整性验证,通过在数据包中添加数字签名,接收方可以验证数据是否经过篡改。

2. 功能IPSec协议提供了多种功能,主要包括加密、认证和防重放攻击。

加密功能是IPSec协议最基本的功能之一。

通过对IP数据包进行加密,可以有效地防止黑客窃取敏感信息。

只有掌握正确的密钥,才能够解密数据包。

认证功能是指IPSec协议可以验证通信双方的身份,防止身份伪造。

通过数字签名和数字证书的方式,接收方可以验证发送方的身份,并确保通信的可信度。

防重放攻击功能是IPSec协议的另一个重要功能。

重放攻击是指黑客在网络传输中恶意重复发送已截获的数据包,以欺骗接收方。

IPSec协议通过使用序列号和时间戳等手段,防止重放攻击的发生。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Implementation and Analysis of IPSec Protocol
MA Shichao1,2, WANG Zhensong1
(1. Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100080; 2. Graduate School, Chinese Academy of Sciences, Beijing 100039)
第 32 卷 第 22 期 Vol.32 No.22
网络与通信
计算机工程 Computer Engineering
文章编号 1000 3428(2006)22 0107 04
文献标识码 A
IPSec 协议实现及其现状分析
2006 年 11 月 November 2006
中图分类号 TP393.08
马士超 1,2 王贞松 1
OS 集成方案在主机实施与路由器实施情况下都可以应 用 在这种方式下 IPSec 与操作系统集成在一起 由于 IPSec 是一个网络层协议 因此可以当作网络层的一部分来实现 IPSec 层需要 IP 层的服务来构建 IP 头
IPSec 与操作系统集成的优点主要有 (1)由于 IPSec 与 网络层紧密集成在一起 因此它更有利于诸如分段 PMTU 和用户场景之类的网络服务 (2)在每个数据流的级别提供安 全服务更为容易 因为密钥管理 基本 IPSec 协议和网络层 可以无缝集成在一起 (3)支持所有的 IPSec 模式
应用层
BSD Socket
INET Socket
ESP
AH
TCP UDP
IP层 进程调度
接受数据队列
转发的数据包
Netif_rx
网络接口设备
(b) 图 5 基于虚网卡和注册协议机制的 Freeswan 的外出处理和进入处理
从外出处理和进入处理的流程可以看出 该方案通过虚 网卡和注册协议的机制避免了许多网络层功能的重复设计 例如外出的数据包在经过网络层的路由进入虚网卡进行 IPSec 处理后重新进入网络层 数据的分片处理等操作不需 要重新实现 进入处理的数据包经过网络层到达传输层后经
非常适合用来进行 IPSec 处理 基于 NDIS 的 IPSec 的实现一
般采用如图 4 所示的结构
108
Transport Driver ProtocolX X X -M ediaX
M iniportX X X -M ediaX
中 间 层 驱 动 IPSec协 议的AH与ESP
ProtocolX X X -M ediaY
集成在 Windows 中的 IPSec 实现以服务的形式提供数据
安全与认证 Windows 系统中的 IPSec 包含 3 个组件 策略
代理 IKE 模块和 IPSec 驱动 这 3 个模块通过与 Windows
中的 TCP/IP 驱动和 cryptoAPI 进行交互来提供 IPSec 的所有
功能 其中策略代理负责 IPSec 策略的获取与分发 IKE 模
IP Datagrams
Security IP Datagrams
IP Datagrams
Router R1
IPSec Device For R1
Internet
IPSec Device For R2
Router R2
Network 1
Network 2
图 3 IPSec 的 BITW 实现示意图
3 软件实现分析
但对提供 VPN 和内联网解决方案的公司而言 OS 集成 方案有一个不容忽视的缺陷 限制提供高级方案的能力
BITS 将 IPSec 插入网络层和数据链路层之间 其示意如 图 2 所示
基金项目 国家 973 计划基金资助项目(2004CB318202) 中科院 计算所知识创新科研基金资助项目(20056210) 国家自然科学基金资 助项目(60303017) 作者简介 马士超(1978 ) 男 博士生 主研方向 安全芯片设计 SOC 以及嵌入式系统 王贞松 教授 博导 收稿日期 2006-01-21 E-mail scma@
目前对于 IPSec 协议有多种实现 例如 Windows2000 以 上的 Windows 系列操作系统都提供对 IPSec 的支持 Linux 的 2.4 版本本身虽不具备 IPSec 功能 但是 Freeswan 等开源 项目使得 Linux 的 2.4 版本可以支持 IPSec Linux 的 2.6 版 本目前已经内嵌了 IPSec 的功能[3] KAME 等开源项目提供 针对各种 BSD 版本的 IPSec 实现方案
过 IPSec 处理后 仍然再次进入接收队列 并再次进入网络 无关性 即不必为不同的操作系统平台采取不同的解决方案
层 而无需重新实现 IPSec 处理后的后续功能
目前采用 ASIC/FPGA 方式实现 IPSec 协议的主要有 Cavium
3.2.2 USAGI 实现
Motorola Cavium 以及 Hifn AMCC 都提供 IPSec 的 ASIC/FPGA 实现
1 IPSec 协议概述
IPSec 是 IETF 提出的 IP 安全标准[2] 它在 IP 层上对数 据包进行安全处理 提供数据源验证 无连接数据完整性 数据机密性 抗重播和有限业务流机密性等安全服务 各种 应用程序完全可以享用 IP 层提供的安全服务和密钥管理 而 不必设计和实现自己的安全机制 因此减少了密钥协商的开 销 也降低了产生安全漏洞的可能性 IPSec 可连续或递归应 用 在路由器 防火墙 主机和通信链路上配置 实现端到 端 安 全 虚 拟 专 用 网 络 (VPN) Road Warrior 和 安 全 隧 道 技术[1]
IPSec 的软件实现无论其是否与操作系统进行集成 都
是 与 操 作 系 统 相 关 的 下 面 分 别 就 Wiห้องสมุดไป่ตู้dows Linux 与
*BSD(Berkeley Software Distribution )等 3 类 操 作 系 统 的
IPSec 实现进行分析
3.1 基于 Windows 的 IPSec 软件实现 3.1.1 OS 集成方案
Encapsulating Security P ay lo ad (E S P )
IPSec Support Com ponent
Encryption/H ashing A lgorithm
Security Policies/Security A ssociations Internet K ey
滤驱动等几种机制 NDIS Intermediate 驱动介于网络设备的
驱动程序(Miniport Driver)与协议驱动(Protocol Driver)之间
对于 Miniport 驱动表现为 Protocol 驱动 对于 Protocol 驱动
表现为 Miniport 驱动 可以对网络层的数据进行处理 因此
IPSec 协议由核心协议和支撑模块组成 核心协议包括 AH(验证头)与 ESP(封装安全载荷) 支撑部分包括加密算法 HASH 算法 安全策略 安全关联 IKE 密钥交换机制[4~7] 结构如图 1 所示
IPSec Core Protocol
IPSec A uthentication H eader(A H )
Exchange(IK E)
IP Security Protocol Suite(IPSec)
图 1 IPSec 协议总体结构
2 IPSec 实现策略
无论 IPSec 应用于 VPN 还是端到端的安全 其实现机制 均可以分为 3 种 OS 集成 BITS(Bump in the Stack)与 BITW(Bump in the Wire)
FreeSwan 的早期版本是基于虚网卡和注册协议的机制 其外出处理和进入处理结构如图 5 所示
应用层
BSD Socket
INET Socket
TCP
UDP
IP分 片 处 理 IP Output
是 分片 否
数据包的转发 IP_Send
虚网卡 IPSec协议处理
路由
到虚拟网卡
到物理网卡
网络接口设备
(a)
块在策略代理的驱动下进行安全关联的协商 Windows 系统
中采用的认证策略包括 Kerberos(一种网络认证协议) 证书
与预共享密钥
3.1.2 NDIS 实现
Windows 操作系统提供了多种截获数据包的机制 内核
模式的包过滤机制主要有 TDI 过滤 NDIS Intermediate 驱动
Filter-Hook 驱动 Firewall-Hook 驱动以及 NDIS Hooking 过
Key words IPSec; BITS; BITW; OS Integration
Internet 缺乏安全性是不争的事实 人们试图通过设计各 种基于 TCP/IP 网络层次结构的安全协议来增强 IP 网络的安 全性 例如基于应用层的 PGP PEM S/MIME 基于传输 层的 SSL/TLS IPSec[2]是基于网络层的安全协议 IPSec 相 对于其它协议的优点在于它是在 TCP/IP 协议的关键点实现 安全机制 从而有效保障了高层各协议的安全性 减少了在 TCP/IP 网络上部署安全的复杂性
OSI and TCP/IP Model Layers
Conventional TCP/IP Protocol Statck
PPP/SLIP or Data Link Layer
Drivers
IPSec Bump In The Stack
Implementation
图 2 IPSec 的 BITS 实现示意图
107
7