一個(gè)改進(jìn)的IPSec協(xié)議及其實(shí)現(xiàn)研究.pdf

1、IP協(xié)議本身不具有任何的安全特性，易遭受如地址欺騙、內(nèi)容竊聽、數(shù)據(jù)篡改、重播等攻擊。IPSec協(xié)議是一組開放網(wǎng)絡(luò)安全協(xié)議，可以“無縫”地為IP引入安全特性，提供了包括訪問控制、無連接的完整性、數(shù)據(jù)源的認(rèn)證、抗重播和自動(dòng)密鑰管理等一系列安全服務(wù)。ICMP協(xié)議是IP層的一個(gè)組成部分，是TCP/IP協(xié)議族中用于網(wǎng)絡(luò)管理和調(diào)試的協(xié)議，提供了從路由器或其他主機(jī)向主機(jī)傳送控制信息的方法。 IPSec和ICMP兩種協(xié)議在實(shí)際中都得到廣泛應(yīng)用。

2、但當(dāng)IPSec協(xié)議工作在通道模式下卻不能正確轉(zhuǎn)發(fā)ICMP差錯(cuò)報(bào)文。這是一個(gè)急需解決的問題，也是研究的重點(diǎn)。盡管目前已有的一些VPN設(shè)備能夠解決這個(gè)問題，但都處于探索階段，并沒有統(tǒng)一的規(guī)范。 由分析這兩種協(xié)議可知，IPSec在通道模式下不能正確轉(zhuǎn)發(fā)ICMP報(bào)文的根本原因是：回傳的ICMP報(bào)文中包含的轉(zhuǎn)發(fā)信息不足?；赟A改進(jìn)的IPSec協(xié)議是在分析沖突原因，并重點(diǎn)研究IPSec安全協(xié)議的基礎(chǔ)上提出的。其方法是將用于ICMP轉(zhuǎn)發(fā)的主

3、機(jī)信息，如最終源、目的地址和源端口號(hào)作為SA的選擇符添加到網(wǎng)關(guān)的SAD。當(dāng)接收到ICMP差錯(cuò)報(bào)文時(shí)，ICMP差錯(cuò)報(bào)文包含產(chǎn)成ICMP報(bào)文的IP數(shù)據(jù)包的IP頭以及前八個(gè)字節(jié)，對(duì)與通道模式下的數(shù)據(jù)包，因此無論是AH或ESP安全協(xié)議生成的ICMP報(bào)文中都包含標(biāo)識(shí)SA的三元組：SPI、目的地址和協(xié)議類型。根據(jù)ICMP所攜帶的三元組查找安全網(wǎng)關(guān)的外出“SAD”，取得用于轉(zhuǎn)發(fā)的主機(jī)信息，并根據(jù)這些信息修改ICMP報(bào)文，進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。改進(jìn)后的協(xié)議