对IPsec协议的分析与优化

《网络安全协议》

课程设计

题目对IPsec协议的分析与优化

班级

学号

姓名

指导老师

年月日

一、概述

1.1课程设计的背景 (1)

1.2 课程设计的研究意义 (1)

1.3课程设计的研究内容 (2)

1.4课程设计的研究目标 (2)

二、问题分析

2.1系统需求 (3)

2.2系统设计目标 (3)

三、 IPsec协议

3.1 协议简介 (4)

3.2 IPsec的安全协议 (5)

3.3 SA（安全关联） (9)

3.4 SAD（安全关联数据库） (9)

3.5 SPD（安全策略数据库） (9)

3.6 IKE（Internet密钥交换）协议 (10)

四、IPsec协议安全性分析

4.1 服务内容 (11)

4.2 IPsec的局限性 (11)

4.3 IPsec优化技术 (12)

五、总结 (14)

参考文

献： (15)

一、概述

1.1课程设计的背景

随着科学技术的飞速发展，计算机技术和网络技术已经深入到社会的各个领域，开放的、大众化的互联网已经普及到人们生活的各个方面。然而，在人们得益于信息革命带来的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。不断出现的网络安全事件，已经严重影响到人们的日常工作和生活。同时，网络信息的安全保密问题，也关系到一个国家的主权、安全和发展。“电子战”、“信息战”已经成为现代战争中一种重要的攻击与防卫手段。因此，信息安全、网络安全已经引起各国、各部门、各行业以及每个计算机用户的充分重视。

深入分析存在的网络安全隐患，重要的原因是目前的因特网和大多数包交换网络都是建立在IP协议（Internet Protocol）基础上的。由于IP协议本身没有任何安全措施，使得建立在该协议基础上的网络体系本身就存在着大量的安全隐患。IP 协议存在的安全漏洞主要有：缺乏对IP地址进行保密的机制；缺乏对IP地址真实性的认证机制；缺乏对IP数据包的加密保护；

缺乏对广播信息的认证；缺乏对ICMP（Internet控制消息协议）信息的认证和保护；缺乏对路由信息的认证和保护等。

正是由于IP协议存在这些安全漏洞，使得攻击口协议的新方法和新手段不断地涌现，基于IP协议标准的各种应用网络面临着越来越激烈的安全挑战。如何有效地保障机密信息在网络中的安全传输，不仅成为人们日益关注的核心问题，而且也是科研人员一个重要的研究课题．而为IP协议提供安全保障，是保障网络安全行之有效的方法。

1.2 课程设计的研究意义

为了解决由于TCP/IP协议的不完善所带来的各种不安全因素，IETF （因特网工程任务组）制定了IP安全标准——IPsec，为“IP网络”的安全性提供一种切实可行的保障手段。

IPsec提供了一种标准的、健壮的、包容广泛的机制，可以为IP层及上层协议提供安全保证；IPsec规定了在对等层之问如何选择安全协议、确定安全算法和密钥交换算法；提供访问控制、数据源认证、数据加密等网络安全服务．IPsec协议为IP网络的安全性提供了一整套的解决方案。而且，IPsec协议自身是一个完全开放的标准，用户可以根据实际的应用进行功能

扩展。

由于网络安全问题的日趋严重以及IPsec协议的强大功能与优点，对IPsec协议的研究和实现对于网络安全状况的改善具有重要的价值和意义。

1.3课程设计的研究内容

1. 研究IPsec协议的体系结构、各部分构成、工作方式及提供的服务，在此基础上分析和总结了IPsec协议的优势，安全漏洞以及局限性。

2. 分析IPsec协议的复杂性，改进原有的IPsec协议构造新的IPsec协议IPsec*，既保证原有安全性，增加网络传输性能，又优化IPsec协议，有利于实际的应用。

3. 研究IPsec*导致网络，特别是VPN网络传输性能降低的主要原因，提出性能的改进方案，使之在应用时达到安全性与传输性能的平衡。

1.4课程设计的研究目标

设计的目标是在了解网络安全技术和深入研究IPsec协议的基础上，提出一个可以在Linux和Windows 2000两种网络操作系统上运行的、适用于主机的、能够实现端到端的信息安全传输系统；实现在两种操作系统下IPsec 协议的驱动引擎，并根据具体的网络环境，解决IPsec协议在实施过程中所遇到的问题。

二、问题分析

2.1系统需求

根据实际的工作要求，系统应满足以下要求：

1.应覆盖网内的所有主机，为所有主机提供可配置的、可选择的安全通信方式。

2.为网络用户提供身份鉴别、访问控制、数据完整性、认证等网络安全服务。

3.分别在Linux和Windows 2000两种系统下实现IPsec协议，并保证能在两种操作系统之间互联互通。

4.安全系统对原有的网络结构应透明。即系统不占用原网络系统中任何IP 地址；装入系统后，不影响原有网络整体性能；原有的网络结构不需要改变。

2.2系统设计目标

系统的实际目标如下：

1.实现方式的模块化；系统内部要实现加、解密（包括验证）算法的独立，以便用户可以扩展自己的加密/认证算法；AH协议和ESP协议实现的独立，保证可以被单独联合使用；加密流程和解密流程独立，保证单位工作的独立性；密钥管理和IPsec流程的独立，方便扩展密钥交换协议。

2.系统应实现IETF规定的默认加密/认证算法，包括HMAC-MD5、HMAC-SHA1、DES、3DES；系统应支持软件和硬件加密，并为扩展加密/认证算法和硬件加密方式预留接口。

3.支持安全联盟的手工配置和自动协商建立。

4.支持对报文先压缩的传输方式，以提高效率。

5.灵活方便，安全配置简单。用户可以根据实际需要，自由地选择是否选择安全访问服务、所使用的安全协议和加密/认证算法等。