学位论文-网络安全协议课程设计ipsec隧道协议的安全分析与改进.doc

《网络安全协议》 课 程 设 计 题 目 IPsec隧道协议的安全分析与改进 班 级 学 号 姓 名 指导老师 2015年 7 月 4 日 目 录 一、概述 2 1.1课程设计的目的 2 1.2课程设计的内容 2 1.3课程设计的要求 3 二、问题分析 3 2.1系统需求 3 2.2 GRE协议分析 3 2.3 IPsec协议分析 4 三、协议漏洞 5 3.1协议漏洞解决措施 5 3.2协议漏洞解决详解 5 四、协议完善具体实现 6 4.1实现分析 6 4.2 GRE实现流程分析 8 4.3简单设备设置 10 五、案安全性分析 11 六、程设计心得、总结 11 七、参考文献 12 一、概述 网络如若想实现交流传输，必须以网络协议为载体进行。而网络协议（Network?Protcol）是控制计算机在网络介质上进行信息交换的规则和约定。网络协议通常会被按OSI参考模型的层次进行划分。OSI参考模型是国际标准化组织制定的网络体系结构参考模型，提供各种网络互联的标准，共分七层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，会话层、表示层和应用层往往被合并称为高层。当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。GRE（Generic Routing Encapsulation，通用路由封装）协议是由Cisco和Net-smiths等公司于1994年提交给IETF（Internet Engineering Task Force，网络工程工作小组）的，标号为RFC1701和RFC1702。GRE协议规定了如何用一种网络协议去封装另一种网络协议的方法，是一种最简单的隧道封装技术，它提供了将一种协议的报文在另一种协议组成的网络中传输的能力。GRE协议就是一种应用非常广泛的第三层VPN隧道协议。?GRE隧道使用GRE协议封装原始数据报文，基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址。本文从GRE协议的工作原理入手，从安全性角度出发，GRE隧道协议的，最后提出了相关的安全防护方案。 详细分析IPsec隧道协议不支持对多播和广播的加密的不足，并针对其漏洞设计实施完善可行的策略。 1.2课程设计的内容 将GRE与IPsec结合使用，弥补IPsec不能保护组播数据的缺陷。因为GRE可以封装组播数据并在GRE隧道中传输，所以对于诸如路由协议、语音、视频等组播数据需要在IPsec隧道中传输的情况，可以通过建立GRE隧道，并对组播数据进行GRE封装，然后再对封装后的报文进行IPSec的加密处理，就实现了组播数据在IPsec隧道中的加密传输。 1.3课程设计的要求 GRE是传统IP网络中最常用的VPN技术;IPSec是比较常用的数据加密技术,本文要求详细介绍GRE的原理和报文封装，并且进行有效可行的GRE与IPsec的组合应用，解决组播业务在跨广域网的VPN中部署的问题，最后深刻理解GRE协议和IPsec协议的原理与作用 , 以及两者一起使用时的功能与利弊。 二、问题分析 2.1系统需求 实现这个需求首先要知道IPSEC协议只能对单播数据报文进行加密，我们可以设想把组播源或者组播客户端发出的组播报文，采用某种技术或者协议在组播报文的前面封装一个单播的IP报文头，构造一个普通的单播IP数据报文，组播报文可以看作是它的数据净荷，那么这个构造的报文在传输过程中，就可以使用IPsec协议对其进行加密了，这也意味着组播报文作为构造的单播IP数据报文里“数据净荷”被加密了. 2.2 GRE协议分析 (1) GRE协议广泛应用于建立VPN网络隧道，例如有一个大型企业需要利用VPN将分布在两地的总部和办事处网络连接起来，在办事处网络路由器A与总部网络路由器B之间建立一个GRE隧道，则办事处网络中的主机A和总部网络中的主机B可以通过该隧道进行网络通信。如图1所示，这就是一个非常典型的利用GRE隧道协议来实现VPN网络的模型，本文中所描述的各种情况