欢迎来到天天文库
浏览记录
ID:29963255
大小:256.00 KB
页数:14页
时间:2018-12-25
《网络安全协议课程设计-ipsec隧道协议的安全分析与改进》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、《网络安全协议》课程设计题目IPsec隧道协议的安全分析与改进班级学号姓名指导老师2015年7月4日13目录一、概述21.1课程设计的目的21.2课程设计的内容21.3课程设计的要求3二、问题分析32.1系统需求32.2GRE协议分析32.3IPsec协议分析4三、协议漏洞53.1协议漏洞解决措施53.2协议漏洞解决详解5四、协议完善具体实现64.1实现分析64.2GRE实现流程分析84.3简单设备设置10五、案安全性分析11六、程设计心得、总结11七、参考文献1213一、概述网络如若想实现交流传输,必须以网络协议为载体进行。而网络协议(Network Protcol)是控制计算机在网络
2、介质上进行信息交换的规则和约定。网络协议通常会被按OSI参考模型的层次进行划分。OSI参考模型是国际标准化组织制定的网络体系结构参考模型,提供各种网络互联的标准,共分七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,会话层、表示层和应用层往往被合并称为高层。当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算
3、机网络的整体安全性。网络安全的实现首先需要网络协议的安全,但是网络协议都是人为写的,存在先天的不足与缺陷,以至于只能慢慢实践发现并给与补充。这里先谈一下VPN中的GRE协议。GRE(GenericRoutingEncapsulation,通用路由封装)协议是由Cisco和Net-smiths等公司于1994年提交给IETF(InternetEngineeringTaskForce,网络工程工作小组)的,标号为RFC1701和RFC1702。GRE协议规定了如何用一种网络协议去封装另一种网络协议的方法,是一种最简单的隧道封装技术,它提供了将一种协议的报文在另一种协议组成的网络中传输的能力。
4、GRE协议就是一种应用非常广泛的第三层VPN隧道协议。 GRE隧道使用GRE协议封装原始数据报文,基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息,但可以配置IP地址。本文从GRE协议的工作原理入手,从安全性角度出发,详细分析了GRE隧道协议的不足与缺陷,最后提出了相关的安全防护方案。1.1课程设计的目的详细分析IPsec隧道协议不支持对多播和广播的加密的不足,并针对其漏洞设计实施完善可行的策略。1.2课程设计的内容将GRE与IPsec结合使用,弥补IPs13ec不能保护组播数据的缺陷。因为GRE可以封装组播数据并在GRE隧道中传输,所以对于诸如路由协议、语音、视频等组播数
5、据需要在IPsec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后再对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPsec隧道中的加密传输。1.3课程设计的要求GRE是传统IP网络中最常用的VPN技术;IPSec是比较常用的数据加密技术,本文要求详细介绍GRE的原理和报文封装,并且进行有效可行的GRE与IPsec的组合应用,解决组播业务在跨广域网的VPN中部署的问题,最后深刻理解GRE协议和IPsec协议的原理与作用,以及两者一起使用时的功能与利弊。二、问题分析2.1系统需求实现这个需求首先要知道IPSEC协议只能对单播数据报文进行加密,我们可以设
6、想把组播源或者组播客户端发出的组播报文,采用某种技术或者协议在组播报文的前面封装一个单播的IP报文头,构造一个普通的单播IP数据报文,组播报文可以看作是它的数据净荷,那么这个构造的报文在传输过程中,就可以使用IPsec协议对其进行加密了,这也意味着组播报文作为构造的单播IP数据报文里“数据净荷”被加密了.2.2GRE协议分析(1)GRE协议广泛应用于建立VPN网络隧道,例如有一个大型企业需要利用VPN将分布在两地的总部和办事处网络连接起来,在办事处网络路由器A与总部网络路由器B之间建立一个GRE隧道,则办事处网络中的主机A和总部网络中的主机B可以通过该隧道进行网络通信。如图1所示,这就是
7、一个非常典型的利用GRE隧道协议来实现VPN网络的模型,本文中所描述的各种情况均以该网络拓扑结构为基础。(2)GRE协议数据包结构GRE协议可以实现对IP、IPX、AppleTalk等协议数据包的封装,本文以使用最为广泛的IP协议为例。通过GRE协议封装过的数据包格式如图2所示:13在GRE数据包结构中,前面的IP包头部结构是传送数据报头部,用于将其他被封装的数据包封装成IP包并在IP网络中传输,在本文中称之为外部IP报头。GRE报
此文档下载收益归作者所有