网络安全协议课程设计——对ipsec协议的分析与优化

网络安全协议课程设计——对ipsec协议的分析与优化内容摘要：

C V ( v a r i a b l e ) 图 1 AH 头格式 下面对这些字段进行简要说明。  下一个头 指明 AH 之后的下一载荷的类型，如可能是 ESP 或是其他传输层协议。  载荷长度 是以 32 位字为单位的 AH 的长度减 2。 AH 实际上是一个 IPv6 扩展头，按照 RFC2460，它的长度是从 64 位字表示的头长度中减去一个 64 位字而来，由于 AH 采用 32 位字为单位，因此需要减去两个 32 位字。  保留 该字段目前置为 0。  安全参数索引 该字段用于和源或目的地址以及 IPsec 相关协议（ AH 或 ESP）共同唯一标识一个数 据报所属的数据流的安全关联（ SA）。  序列号 该字段包含一个作为单调增加计数器的 32 位无符号整数，它用来防止对数据包的重放攻击。  认证数据 这个变长域包含数据包的认证数据，通过该认证数据具体提供数据包的完整性保护服务。 AH 协议的操作模式 AH 协议可以应用于两种操作模式；传输模式和隧道模式，下图显示了AH 协议的两种操作模式是如何对原始 IP 数据报进行操作的。 IP 头 传输协议头 数据 原始 IP 包 IP 头 AH 头 传输协议头 数据 传输模式保 护的 IP 包 7 新 IP 头 AH 头 原 IP 头 传输协议头 数据 通道模式保护的 IP 头 AH 协议可以应用于两种操作模式：传输模式和隧道模式。 在传输模式中，原始的数据报 IP 头为最外层的 IP 头 ，然后是 AH 协议头和原始 IP 数据报的有效载荷。 整个原始的数据报（除了 IP 头中的可变域）和 AH 协议头都进行了验证，对任何域（除了 IP 头中的可变域 ） 的任何改变都可以被检测到。 但是数据报中的所有信息都采用明文传输方式。 在隧道模式中，产生了一个新的 IP 头作为最终数据报的最外层的口头。 后面 依次是 AH 协议头和原始的整个数据报（ IP 头和有效载荷 ）。 整个数据报被 AH 协议所保护，对隧道模式数据报的任何域（除了新 IP 头中的可变域）的任何改变都可以被检测到。 同样，数据报以明文方式传送，不提供任何机密性保护。 AH 协议可以单独使 用 ，也可以同 ESP 协议联合使用或进行嵌套使用．通过这些方式， AH 协议可以在一对通信主机之 间 、一对防火墙之间、主机和防火墙之间实现验证服务。 ESP 协议 ESP 协议提供数据保密、数据源认证、无连接完整性、抗重播服务．实际上， ESP 协议提供和 AH 协议类似的服务，只是 增加了数据保密性服务． ESP 协议的保密服务通过使用对称密钥体制的密码算法，加密 IP 数据报的相关部分来实现。 1. ESP 协议头模式 ESP 数据报由 4 个固定长度的域和 3 个变长的域组成，下图说明了这些域在 ESP 中的相对位置。 0 7 15 23 31 保留认 证覆盖范围 覆盖 范围 32 比特安全参数索引（ SPI） 32 比特序列号 变长载荷数据 0255 个填充字节 填充长度 下一个 头 变长认证数据 8 2. ESP 协议的操作模式 ESP 协议可以用于两种操作模式：传输模式和隧道模式。 下图显示了 ESP 协议的两种操作模式是如何对原始的 IP 数据报进行操作的。 IP 头 传输协议头 数据 原始 IP 包 IP 头 ESP 头 传输协议头 数据 ESP 尾部 ESP 认证数据 传输模式 保护的 IP 包 新 IP头 ESP 头 原 IP 头 传输协议头 数据 ESP 尾部 ESP 认证数据 隧道模式保护的 IP 包 在 ESP 协议的传输模式中，数据报的原始 IP 头得以保留．只有原始数据报中的有效载荷和 ESP 尾部被加密，而 IP 头即未加密也未被验证。 因此， 在传输的过程中。 外层 IP 头中的地址信息对于攻击者来说是可见的。 在 ESP 协议的隧道模式中，产生了一个新的 IP 头．整个原始的数据报（包括头和有效载荷 ） 和 ESP 尾部被加密。 因为原始 IP 头被加密，所以当被传输时，其内容对于攻击者来说是不可见的。 因 此， ESP 隧道模式的一个重要的用途是数据报在两个网关传输时，可以实现将内部地址信息隐藏起来的目的。 AH 与 ESP 的比较 AH 协议和 ESP 协议都是 IPsec 协议独有的网络层安全协议，但二者的侧重点不同 ， 下面对两个协议加以比较 ： 1. 认证服务 ： AH 协议和 ESP 协议都据供认证服务功能。 AH 是专门用以提供认证服务的安全协议。 认证功能拿常强大； ESP 协议的认证服务是它的可选项。 2. 保密服务： AH 协议不提供保密服务； ESP 协议主要用于数据保密．隧道模式下，由于内层的口包被加密，所以隐藏了报文的实际源 头和终点。 而且， ESP使用的填充字节隐藏了报文的实际尺寸，从而更好的隐藏了这个报文的外在特性。 3．在传输模式中， ESP 协议的验证功能仅保护原始的口有效载荷，而不保护原始的 IP 报头： AH 协议模式既保护原始的。