一個改進的IPSec協(xié)議及其實現(xiàn)研究.pdf

1、IP協(xié)議本身不具有任何的安全特性，易遭受如地址欺騙、內(nèi)容竊聽、數(shù)據(jù)篡改、重播等攻擊。IPSec協(xié)議是一組開放網(wǎng)絡(luò)安全協(xié)議，可以“無縫”地為IP引入安全特性，提供了包括訪問控制、無連接的完整性、數(shù)據(jù)源的認證、抗重播和自動密鑰管理等一系列安全服務(wù)。ICMP協(xié)議是IP層的一個組成部分，是TCP/IP協(xié)議族中用于網(wǎng)絡(luò)管理和調(diào)試的協(xié)議，提供了從路由器或其他主機向主機傳送控制信息的方法。 IPSec和ICMP兩種協(xié)議在實際中都得到廣泛應(yīng)用。

2、但當(dāng)IPSec協(xié)議工作在通道模式下卻不能正確轉(zhuǎn)發(fā)ICMP差錯報文。這是一個急需解決的問題，也是研究的重點。盡管目前已有的一些VPN設(shè)備能夠解決這個問題，但都處于探索階段，并沒有統(tǒng)一的規(guī)范。 由分析這兩種協(xié)議可知，IPSec在通道模式下不能正確轉(zhuǎn)發(fā)ICMP報文的根本原因是：回傳的ICMP報文中包含的轉(zhuǎn)發(fā)信息不足?；赟A改進的IPSec協(xié)議是在分析沖突原因，并重點研究IPSec安全協(xié)議的基礎(chǔ)上提出的。其方法是將用于ICMP轉(zhuǎn)發(fā)的主

3、機信息，如最終源、目的地址和源端口號作為SA的選擇符添加到網(wǎng)關(guān)的SAD。當(dāng)接收到ICMP差錯報文時，ICMP差錯報文包含產(chǎn)成ICMP報文的IP數(shù)據(jù)包的IP頭以及前八個字節(jié)，對與通道模式下的數(shù)據(jù)包，因此無論是AH或ESP安全協(xié)議生成的ICMP報文中都包含標識SA的三元組：SPI、目的地址和協(xié)議類型。根據(jù)ICMP所攜帶的三元組查找安全網(wǎng)關(guān)的外出“SAD”，取得用于轉(zhuǎn)發(fā)的主機信息，并根據(jù)這些信息修改ICMP報文，進行數(shù)據(jù)包的轉(zhuǎn)發(fā)。改進后的協(xié)議