ipv4udp协议安全的研究.docVIP

ipv4的udp协议安全研究 关键词:IPv4；IPSec协议；AH；封装安全载荷协议(ESP) 1 IPv4协议 1.1 IPv4的特点： 1.1.1 经过扩展的地址和路由选择功能。IP地址长度由32位增加到128位，可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。 1.1.2 定义了任意成员(any cast)的地址。用来标识一组接口，在不会引起混淆的情况下将简称“任一地址”，发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。 1.1.3 简化的首部格式。IPv4首部的某些字段被取消或改为选项，以减少报文分组处理过程中常用情况的处理费用，并使得IPv4首部的带宽开销尽可能低，尽管地址长度增加了。虽然IPv4地址长度是IPv4地址的四倍，但IPv4首部的长度只有IPv4首部的两倍。 1.1.4 支持扩展首部和选项。IPv4的选项放在单独的首部中，位于报文分组中IPv4首部和传送层首部之间。因为大多数IPv4选项首部不会被报文分组投递路径上的任何路由器检查和处理，直至其到达最终目的地，这种组织方式有利于改进路由器在处理包含选项的报文分组时的性能。IPv4的另一改进，是其选项与IPv4不同，可具有任意长度，不限于40字节。 1.1.5 支持验证和隐私权。IPv4定义了一种扩展，可支持权限验证和数据完整性。这一扩展是IPv4的基本内容，要求所有的实现必须支持这一扩展。IPv4还定义了一种扩展，借助于加密支持保密性要求。 1.1.6 支持自动配置。IPv4支持多种形式的自动配置，从孤立网络节点地址的“即插即用”自动配置，到DHCP提供的全功能的设施。 1.1.7 服务质量能力。IPv4增加了一种新的能力，如果某些报文分组属于特定的工作流，发送者要求对其给予特殊处理，则可对这些报文分组加标号，例如非缺省服务质量通信业务或“实时”服务。 1.2 基于IPv4的网络 当代，全球互联网高度发展。由于通信和网络的日趋融合。基于IPv4网络地址编码方式已于2011年1月正式宣告枯竭。那么，IPv4便成为了能顺利解决地址耗尽问题的最好方法。将IPv4向IPv4转换成功的情况下，全世界所有的终端都能够拥有一个IP地址。 IPv4是下一版本的互联网地址编码方法，最初它的提出是由于随着互联网的高速发展，IPv4定义的有限地址将不能够满足需要。而地址空间的短缺一定程度上妨碍了互联网的进一步发展。所以，IPv4采用128位地址长度，可以不受限制地极大量提供IP地址，从而确保未来端到端连接发展的需要。 除了地址分配具有优势，IPv4还在高服务质量、整体吞吐量等享有优势，但在安全接入方面并没有得到显著提高。IPv4对于网络安全性没有质的飞跃。IPv4与IPv4也有同样的安全问题。 1.3安全联盟(Security Associations, SA ) 安全联盟是IPSec的重要组成部分，AH和ESP协议都必须使用SA。IKE协议的主要功能之一就是建立和维护SA。IPSec规定所有的AH和ESP的实现都必须支持SA。一个安全联盟是一条能够对在其上传输的数据信号提供安全服务的单工(即单方向的传输)连接。也就是说，两个主机之间或者两个安全网关之间的认证通信将使用两个SA，分别用于通信的发送方和接收方。SA提供的安全服务取决于所选的安全协议(AH或ESP)、模式、SA作用的两端点和安全协议所要求的服务。如果要在同一个通信流中使用AH和ESP两个安全协议，那么需要创建两个(或者更多)的安全联盟来保护该通信流。 2 IPSec安全协议 2.1 IPSec的体系结构 在IPv4中，IPSec安全协议是一个协议族，主要包括：认证头(AH)、封装安全载荷(ESP)、密钥交换(ZKE)等四部分。它提供的安全服务包括有：无连接数据完整检查，身份验证，数据内容的安全性保证。有限数据流安全性保证以及抗重播保护。IPSec协议的体系结构可以参考图一所示。 图一 IPSec结构图 2.2认证头协议 认证头(AH)使用在为数据原始验证、提供数据完成性和部分有限的可选的抗重播服务。认证头定义了对数据所实施的安全保护的方法、头位置、输入和输出处理规则和身份验证的覆盖范围，但是不提供所用的身份验证算法进行具体定义。认证头(AH)有两种工作模式，即隧道模式和传输模式。隧道模式是对整个IP数据提供认证保护，而传输模式只对传输层数据和IP头中的固定字段提供认证保护，主要适合于主机实现。AH认证头的格式如图二所示。 下一包头 （1字节） 有效数据长度 （1字节） 保留字段 （2字节） 安全参数索引SPI(4字节) 序列号(4字节) 认证数据字段(可变) 图二 AH认证头的格式 IPv4的认证主要由认证头AH来完成。AH协议不仅可以对IP数据包的有效数据