（計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文）ipsec協(xié)議集及其測試技術(shù)研究.pdf

西南交通大學(xué)碩士研究生學(xué)位論文第1 頁 摘要 隨著i n t e m e t 的廣泛應(yīng)用 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)深入到人類社會的各個(gè) 領(lǐng)域 相應(yīng)地 人類社會活動(dòng)對網(wǎng)絡(luò)的依賴也越來越強(qiáng) 當(dāng)人們在充分享受 網(wǎng)絡(luò)帶來的方便和利益的同時(shí) 網(wǎng)絡(luò)黑客的頻繁攻擊帶來的嚴(yán)重危害也引起 了人們對網(wǎng)絡(luò)安全性問題的高度重視 為此 國際互聯(lián)網(wǎng)工程任務(wù)組 i e t f t h ei n t e m e te n g i n e e r i n gt a s kf o r c e 除了在i n t e r n e t 現(xiàn)有的許多協(xié)議上增加 安全補(bǔ)丁外 還在網(wǎng)絡(luò)層制訂了i p 安全協(xié)議 i p s e c i ps e c u d t y 試圖通過 對口頭的隱藏包裝和對i p 凈荷部分的加密解決網(wǎng)絡(luò)傳輸?shù)陌踩珕栴} 作為 對i n t e m e t 安全性問題研究的一部分 筆者的碩士論文對i p s e c 協(xié)議集進(jìn)行 了較全面的分析 相關(guān)研究也為筆者以i p s e c 為對象的測試控制數(shù)據(jù)的規(guī)劃 和定義奠定了基礎(chǔ) 本文以四川省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn)室進(jìn)行的多端口并發(fā)測試技術(shù)研 究項(xiàng)目為背景 重點(diǎn)對i p e c 協(xié)議一致性測試進(jìn)行了研究 由于i p s e c 是一個(gè) 復(fù)雜的協(xié)議集 本文選取認(rèn)證頭 a m a u t h e n t i c a t i o n h e a d e r 協(xié)議為重點(diǎn)進(jìn)行 了相關(guān)測試集規(guī)劃 同時(shí) 對i p s e c 的研究可為實(shí)驗(yàn)室有關(guān)下一代i n t e r n e t 體系結(jié)構(gòu) 一 單物理層用戶數(shù)據(jù)傳輸與交換平臺體系結(jié)構(gòu) s u p a s i n g l e p h y s i c a ll a y e r u s e r p l a n e a r c h i t e c t u r e 的安全機(jī)制的研究提供借鑒 本文第二章分析了i n t e r n e t 存在的安全問題 對i p s e c 相關(guān)協(xié)議的層次 結(jié)構(gòu)及工作原理進(jìn)行了研究 并從下一代i n t e r a c t 體系結(jié)構(gòu)的角度分析了 i p s e c 的優(yōu)點(diǎn)和不足 第三章在分析傳統(tǒng)測試技術(shù)局限性的基礎(chǔ)上介紹了多 端口并發(fā)測試技術(shù) 第四章以雙端口測試系統(tǒng)為背景討論了口s e c 協(xié)議測試 集的規(guī)劃原則和命名規(guī)則 并重點(diǎn)對a h 協(xié)議一致性測試集 i p s e c 路由設(shè) 備的性能測試集和互操作性測試集進(jìn)行了全面的規(guī)劃 第五章在介紹測試描 述語言t r c n 3 t e s t i n ga n dt e s tc o n t r o ln o t a t i o nv e r s i o n3 基礎(chǔ)上 使用該語 言描述了在i p s e c 雙端口測試器上執(zhí)行的a h 協(xié)議抽象測試?yán)?a t c a b s t r a c t t e s tc a s e 本論文反映的工作為實(shí)驗(yàn)室測試集后續(xù)項(xiàng)目的開發(fā)提供了直接的指導(dǎo) 和很好的借鑒 同時(shí)對使用1 t c n 3 進(jìn)行測試控制數(shù)據(jù)定義的讀者也具有一 定的參考價(jià)值 關(guān)鍵詞 i p 安全協(xié)議 認(rèn)證頭 i n t e m e t 體系結(jié)構(gòu) 單物理層用戶數(shù)據(jù)傳輸 與交換平臺體系結(jié)構(gòu) 測試與測試控制標(biāo)記語言一3 抽象測試?yán)?西南交通大學(xué)碩士研究生學(xué)位論文第1 l 頁 a b s tr a c t w i t hw o r l d w i d ea p p l i c a t i o no fi n t e r n e t c o m p u t e rn e t w o r k sh a v ed c e p l y p e n e t r a t e di n t oo u rs o c i a ll i f e c o n s e q u e n t l y h u m a ns o c i a la c t i v i t i e sa r em o r ea n d m o r ed e p e n d e n to nn e t w o r k s w h i l e p e o p l e a r ee n j o y i n gc o n v e n i e n c ea n d b e n e f i t sf r o mn e t w o r k s n e t w o r ki n s e c u r i t yh a sa l s oa r o u s e dd e e pc o n c e l t lf o ri t s e v e r g r o w i n gd a m a g e sc a u s e db yh a c k e ra t t a c k s i e t f i n t e m e te n g i n e e r i n g1 阻s k f o r c e h a sa d d r e s s e dt oi n s e c u r i t yi s s u e sb ys p e c i f y i n gas e to fp r o t o c o l sc a l l e d i p s e c i ps e c u r i t y t oh i d et h ei ph e a d e rt h r o u g he n c a p s u l a t i o na n dt oe n c i p h e r p a y l o a dp a r ti na l l1 1 p a c k e t i na d d i t i o nt op a t c h e st oi n s e c u r i t yh o l e so fe x i s t i n g p r o t o c o l s t h i sm s ct h e s i sp r e s e n tac o m p r e h e n s i v ea n a l y s i so fi p s e cp r o t o c o l s e ta sp a r to fr e s e a r c ho ni n t e r n e ts e c u r i t yi s s u e sa n dp r o v i d e sab a s i sf o rt h em a i n p a r to fm s cr e s e a r c hw o r k i e t e s ts u i t ep l a n n i n ga n ds p e c i f i c a t i o nf o ri p s e c 1 1 m a i n p a r to ft h i sd i s s e r t a t i o ni n v o l v e st e s t i n go f1 1 s e cw i t ha ne m p h a s i so n c o n f o r m a n c et e s t i n gb a d c du pb yt h er e s e a r c ha c t i v i t i e sc o n c e r n i n gc o n c u r r e n t t e s t i n gt e c h n i q u e sf o rm u l t i p o r tr e u t e r sc a r r i e do u ta ts c n e t c o ml a b i nv i e w t h a ti p s e ci sac o m p l e xp r o t o c 0 1s e t t h e p r i o r i t yj nt e s ts p e c i f i c a t i o nh a sb e e n g i v e nt oap a r t i c u l a rp r o t o c o lc a l l e da h a u t h e n t i c a t i o nh e a d e r i nt h i st h e s i s i t a l s op r o v i d e sag o o dr e f e r e n c eo nt h er e s e a r c ho fs e c u r i t ym e c a n i s u mf o ra n o n g o i n gp r o j e c t c a l l e d s u p a s i n g l ep h y s i c a ll a y e r u s e r d a t at r a n s f e r s w i t c h i n gp l a t f o r i l la r c h i t e c t u r e a ts c n e t c o ml a b d i s c u s s i o ni nc h a p t e r2i sf o c u s e do nt h ep r o b l e m so fi n t e r n e ts e c u r i t y t h e b a c k g r o u n do fi p s e cd e v e l o p m e n t i t sa r c h i t e c t u r ea n do p e r a t i o np r i n c i p l e s a c o m p r e h e n s i v ed i s c u s s i o no nt h ea d v a n t a g e sa n dd i s a d v a n t a g e so fi p s e ci sa l s o p r o v i d e di nv i e wo fn e x tg e n e r a t i o no fi n t e r n e ta r c h i t e c t u r e c h a p t e r3i sd e d i c a t e dt oi n t r o d u c ec o n c u r r e n tt e s t i n gt e c h n i q u e sf o rm u l t i p o r t r e u t e r sb a s e do nt h ea n a l i s i so fl i m i t a t i o no f 仃a d i t i o n a lt e s tt e c h n o l 0 2 y c l l a p t e r4 p r o v i d e sp r i n c i p l e sf o ri p s e ct e s ts u i t ep l a n n i n ga n dn a m i n gs c h e m ef o r 唧 t w o p o r tt e s t e r w i t he m p h a s i so nt h ed e s c r i p t i o no fa hc o n f o r m a n c et e s ts u i t e i p s e cp e r f o r m a n c ea n di n t e r o p e r a b i l i t yt e s ts u i t e c h a p t e r5i n t r o d u c e st 1 1 c n 3 t e s t i n ga n dt e s tc o n t r o ln o t a t i o nv e r s i o n3 1a n dc o m p l e t e st h ed e s c r i p t i o no f a h a t c a b s t r a c tt e s tc a s 曲w o r k i n go ni p s e c r p t t h ew o r kp r e s e n t e di nt h i sd i s s e r t a t i o nw i l lp r o v i d e sd i r e c tc o n d u c ta n dg o o d r e f e r e n c ef o rn e x td e v e l o p m e n to ft e s ts u i t e s a n da tt h es a m et i m eh a sc e r t a i n r e f e r e n c ev a l u et ot h er e a d e rw h ou s e st t c n 3t od e f i n et e s tc e n t r e ld a t a k e yw o r d s i ps e c u r i t y i p s e c a u t h e n t i c a t i o nh e a d e r a h i n t e r n e t a r c h i t e c t u r e s i n g l ep h y s i c a ll a y e ru s e r d a t at r a n s f e r s w i t c h i n gp l a t f o r m a r c h i t e c t u r e s u p a t i c n 一3 a b s t r a c tt e s tc a s e a t e 西南交通大學(xué)碩士研究生學(xué)位論文第v i 頁 t s t c e 本文部分術(shù)語縮寫的中英文對照表 d i s t r i b u t e dm u l t i p o r tc o n c u r r e n tt e s ts y s t e m 分布式多端口并發(fā)測試系統(tǒng) e n c u d e r d e c o d e r 編解碼程序 e x e c u t a b l et e s ts u i t e 可執(zhí)行測試集 l o o p b a c kt e s tm e t h o d 回繞測試法 m u l t i p o r tc o n c u r r e n tt e s td e f i n i t i o nl a n g u a g e 多端口并發(fā)測試定義語言 m u l t i p o r tc o n c u r r e n tt e s tm a n a g e r 多端口并發(fā)測試管理軟件 m u l t i p o r tc o n c u r r e n tt r a n s v e r s et e s tm e t h o d 多端口并發(fā)穿越測試法 t e s ts u p p o r t e r 測試支撐層 s i n g l et e s tc a s ee x e c u t o rf o rt w o p o r tt e s t e rop t 雙端口單測試?yán)龍?zhí)行軟件 t w o p o r tt e s t e r 雙端口測試器 t w o p o r tt e s t e rt e s tm a n a g e r 雙端口測試管理軟件 t r a n s v e r s et e s tm e t h o d 穿越測試法 璐 m 嗍 m 一 肋 l 芻 一 一 一 一 倦 m 唧 一 西南交通大學(xué)碩士研究生學(xué)位論文第1 頁 第1 章緒論 1 1 本課題的研究背景 隨著i n t e r n e t 的普及和i p 網(wǎng)絡(luò)的廣泛應(yīng)用 用戶對信息安全的重視程度 越來越高 對敏感信息的認(rèn)證和加密逐漸稱為下一代互聯(lián)網(wǎng)所必須解決的最 重要問題之一 然而 口協(xié)議本身并不安全 其自身存在的弱點(diǎn) 使i p 網(wǎng) 絡(luò)受到多種攻擊的威脅 目前安全技術(shù)的種種局限性已不能滿足網(wǎng)絡(luò)的安全 性需求 而i n t e r n e t 在設(shè)計(jì)之初 未能意識到后來網(wǎng)絡(luò)安全問題的嚴(yán)重性 因而缺少足夠的網(wǎng)絡(luò)安全措施和機(jī)制 受其體系結(jié)構(gòu)的影響 1 n t e r n e t 只好 采用在已有的協(xié)議之上打 補(bǔ)丁 的方式來增加網(wǎng)絡(luò)的安全性 卵安全協(xié)議 集 i r s e c i t j 是i e t f 在球?qū)又喜捎玫闹匾踩?補(bǔ)丁 試圖解決m 網(wǎng)中 存在的各種安全問題 i p s e c 協(xié)議集一經(jīng)提出便引起了學(xué)術(shù)界 產(chǎn)品制造商和運(yùn)營商的廣泛關(guān) 注 許多大型制造商已相繼推出了i p s e c 產(chǎn)品 如c i s c o i n t e l 3 c o m l u c e n t 的安全路由器 交換機(jī)等 并實(shí)現(xiàn)了i p s e c 在虛擬專用網(wǎng) v p n v i r t u a lp r i v a t e n e t w o r k 及i n t r a n e t 中的應(yīng)用 而路由器是i p s e c 網(wǎng)絡(luò)的核心設(shè)備 其安全功 能的實(shí)現(xiàn)直接影響到i p s e c 網(wǎng)絡(luò)的規(guī)模 穩(wěn)定性以及可擴(kuò)展性 與之相對應(yīng) 的路由器測試技術(shù)也逐漸成為一個(gè)熱點(diǎn)問題 因此 對i p s e c 及其測試技術(shù) 的研究具有重要性和必要性 四川省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn)室開展了 分布式并發(fā)多端口路由器測試 技術(shù)研究 和 下一代i n t e r n e t 體系結(jié)構(gòu) 的研究工作 前一項(xiàng)工作中的 分 布式并行多端口測試系統(tǒng) d m c t s d i s t r i b u t e dm u l t i p o r tc o n c u r r e n tt e s t s y s t e m 開發(fā)工作已經(jīng)進(jìn)行了近四年 研究工作涉及對路由器測試技術(shù)的研究 和測試系統(tǒng)的開發(fā) i p s e c 作為目前熱門技術(shù)是路由器中必須進(jìn)行測試的重 要協(xié)議之一 因此 研究如何對該協(xié)議進(jìn)行測試并定義相關(guān)的測試控制數(shù)據(jù) 十分重要 在測試控制數(shù)據(jù)定義方面 實(shí)驗(yàn)室先后安排了i p v 6 i c m p o s p f b g p s n m p 和m p l s 測試控制數(shù)據(jù)的規(guī)劃 描述和測試技術(shù)的研究工作 筆者針對在路由器中運(yùn)行的i p s e c 協(xié)議與相關(guān)測試技術(shù)進(jìn)行了深入研究 至 此 有關(guān)測試控制數(shù)據(jù)規(guī)劃 描述工作較全面地覆蓋了路由器的主要協(xié)議 后一項(xiàng)研究工作中 實(shí)驗(yàn)室提出了 單物理層用戶數(shù)據(jù)傳輸與交換平臺體系 西南交通大學(xué)碩士研究生學(xué)位論文第2 頁 結(jié)構(gòu) s u p a 將i p s e c 放在i n t e r a c t 體系結(jié)構(gòu)的背景下進(jìn)行研究 可對實(shí) 驗(yàn)室s u p a 體系結(jié)構(gòu)的安全機(jī)制的研究提供借鑒 1 2 國內(nèi)外對i p s e c 及其測試技術(shù)的研究現(xiàn)狀 1 2 1 i p s e c 技術(shù)的研究現(xiàn)狀 為了有效解決d 上的安全問題 從1 9 9 5 年開始國際互聯(lián)網(wǎng)工程任務(wù)組 i e t f 著手研究制定了一套用于保護(hù)i p 通信的口安全協(xié)議 i p s c c i e t f 特許i p s e c 工作組對口安全協(xié)議 r p s e c j f n 對應(yīng)的i n t e r n e t 密鑰管理協(xié)議 i k m p 進(jìn)行標(biāo)準(zhǔn)化工作 i p s e c 的主要目的是使需要安全措施的用戶能夠使 用相應(yīng)的加密安全體制 該體制不僅能在目前通行的1 1 4 下工作 也能在 口的新版本i p v 6 下工作 該體制應(yīng)該是與算法無關(guān)的 即使加密算法替換 了 也不對其他部分的實(shí)現(xiàn)產(chǎn)生影響 此外 該體制必須能實(shí)行多種安全政 策 但要避免給不使用該體制的人造成不利影響 隨著研究工作的進(jìn)展 i p s e c 工作組根據(jù)上述安全體制所提出的要求先 后制訂了一系列相關(guān)規(guī)范 如 認(rèn)證頭 a h a u t h e n t i c a t i o nh e a d e r 2 和封裝 安全負(fù)荷 s p e n c a p s u l a t i n gs e c u r i t yp a y l o a d 3 j 等 簡言之 a h 提供口 包的真實(shí)性和完整性 e s p 提供加密性 到目前為止 i p s e c 協(xié)議的定義文 件包括了1 2 個(gè)r f c 文件和幾十個(gè)i n t e r a c t 草案 已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò) 安全協(xié)議 1 2 2i p s e c 測試技術(shù)的研究現(xiàn)狀 i p s e c 是伴隨i p v 6 出現(xiàn)的新技術(shù) 目前越來越多的路由器都應(yīng)用了該技 術(shù) 因此針對該協(xié)議實(shí)現(xiàn)的測試成為目前網(wǎng)絡(luò)設(shè)備測試領(lǐng)域研究的熱點(diǎn) 但 是 對于i p s e c 協(xié)議的測試還處于剛剛起步的階段 還沒有形成一套完整的 測試體系和測試方法 所以與之相對應(yīng)的測試技術(shù)也沒有一個(gè)規(guī)范標(biāo)準(zhǔn) 現(xiàn) 在國內(nèi)外還處于一個(gè)百家爭鳴的大發(fā)展時(shí)期 從上世紀(jì)8 0 年代初期 國際上就開展了對網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)進(jìn)行測試的技術(shù) 研究 國際標(biāo)準(zhǔn)化組織i s o 于8 0 年代中期制訂了 o s i 協(xié)議測試框架 標(biāo) 準(zhǔn) 即i s o9 6 4 6 同期 我國也逐步開始著手進(jìn)行網(wǎng)絡(luò)協(xié)議測試技術(shù)的研 西南交通大學(xué)碩士研究生學(xué)位論文第3 頁 究與測試系統(tǒng)的開發(fā) 隨著i p s e c 技術(shù)的出現(xiàn) 目前國內(nèi)外有不少的科研機(jī) 構(gòu)及網(wǎng)絡(luò)設(shè)備生產(chǎn)商已經(jīng)開始了對i p s e c 協(xié)議測試技術(shù)進(jìn)行相關(guān)的研究并進(jìn) 行測試系統(tǒng)的開發(fā) 在這些機(jī)構(gòu)中 國外最具代表性的研究機(jī)構(gòu)是美國新罕布什爾大學(xué)的互 操作實(shí)驗(yàn)室 i o l i n t e ro p e r a b i l i t yl a b s 該實(shí)驗(yàn)室目前已能為7 0 多個(gè)廠商 提供一致性和互操作性方面的測試 另外 i p v 6 論壇州在實(shí)施i p v 6r e a d y p r o g r a m l 6 同時(shí) 對i p s e c 的相關(guān)測試也在一并進(jìn)行中 并致力于制定一套 完善的測試標(biāo)準(zhǔn) 此外 i x i a l 7 1 作為口基礎(chǔ)架構(gòu)和服務(wù)性能測試系統(tǒng)的一 流提供商 為i p s e c 設(shè)備提供了整套測試方法和測試系統(tǒng) 思博倫通信 s p i r e n t c o m m u n i c a t i o n s 公司s m a r t b i t s 部門己開發(fā)出一種專門用于測試i p s e c 的解 決方案 t b r a v p n 在國內(nèi) 一些高校的實(shí)驗(yàn)室和科研機(jī)構(gòu)也在著手對i p s e c 協(xié)議測試方法 進(jìn)行相關(guān)研究 但是無論國外還是國內(nèi)的研究機(jī)構(gòu) 它們都無一例外的采用 針對被測設(shè)備單個(gè)端口的 回繞測試法 l t m l o o p b a c k t e s tm e t h o d l 嗍或 能夠?qū)σ粚Χ丝谶M(jìn)行測試的 穿越測試法 t r m t r a v e r s et e s tm e t h o d t 9 l 對被測設(shè)備的i p s e c 實(shí)現(xiàn)進(jìn)行測試 由于支持i p s e c 的路由器或交換路由器 是i n t e m e t 中實(shí)現(xiàn)系統(tǒng)安全性的多端口高速交換設(shè)備 對單端口的 回繞測試 或?qū)σ粚Χ丝诘?穿越測試 都不能驗(yàn)證端口間的相互影響 特別是對于性 能測試 如果僅在單個(gè)或單對端口上進(jìn)行測試實(shí)現(xiàn) 其測試結(jié)果不能定量地 界定路由器的實(shí)際工作性能 難以考察系統(tǒng)在并發(fā)數(shù)據(jù)的實(shí)際運(yùn)行環(huán)境中符 合協(xié)議的程度和性能指標(biāo) 因而目前的測試技術(shù)和系統(tǒng)所進(jìn)行的測試是不完 整的 需要研究新的測試方法和開發(fā)新的測試系統(tǒng)來對口s e c 進(jìn)行測試 為 此 筆者進(jìn)行了針對i p s c c 協(xié)議集的路由器多端口并發(fā)測試技術(shù)的研究 1 3 課題研究的內(nèi)容和意義 1 3 1 課題研究的內(nèi)容 本課題是四j i l 省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn)室 路由器多端口并發(fā)測試技術(shù) 研究和分布式多端口并發(fā)測試系統(tǒng)丌發(fā) 項(xiàng)目的重要組成部分 結(jié)合實(shí)驗(yàn)室 當(dāng)前研究方向 筆者首先對i p s e c 技術(shù)的基本思路 協(xié)議集框架及工作原理 進(jìn)行了詳細(xì)的分析和研究 在此基礎(chǔ)上 從未來網(wǎng)絡(luò)體系結(jié)構(gòu)的角度較為深 入地探討了i p s e c 的不足 然后 以d m c t s 測試平臺為基礎(chǔ) 采用多端口 西南交通大學(xué)碩士研究生學(xué)位論文第4 頁 并發(fā)穿越測試法為背景對i p s e c 路由器進(jìn)行測試 確定了i p s e c 測試集層次 結(jié)構(gòu)與規(guī)劃原則 對其認(rèn)證頭協(xié)議 a h 的一致性測試集和i p s e c 路由設(shè)備性 能測試集和互操作性測試集進(jìn)行了全面規(guī)劃 并用t r c n 3 語言重點(diǎn)描述了 a h 協(xié)議測試控制數(shù)據(jù) 完成了主要測試集的描述工作 1 3 2 課題研究的意義 研究i p s e c 及其測試技術(shù) 規(guī)劃 描述礙s e c 相關(guān)的測試控制數(shù)據(jù)的意 義在于 1 i p s e c 作為目前的熱門技術(shù) 備受業(yè)晃的廣泛關(guān)注 其相關(guān)技術(shù)的研 究工作對保障i n t e r a c t 安全性具有重要意義 2 測試控制數(shù)據(jù)的描述在協(xié)議測試中本身就具有十分重要的研究價(jià) 值 是驗(yàn)證測試系統(tǒng)對實(shí)際路由器測試必不可少的環(huán)節(jié) 再加之實(shí)驗(yàn)室開發(fā) 的路由器雙端口測試系統(tǒng)需要職s e c 的測試控制數(shù)據(jù) 因此規(guī)劃 描述i p s e c 相關(guān)的測試控制數(shù)據(jù)具有重要意義 3 12 0 0 5 年對四川省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn)室的 路由器多端口并發(fā)測 試技術(shù)研究和測試系統(tǒng) d m c t s 開發(fā) 項(xiàng)目的 查新報(bào)告 表明 國內(nèi)外 尚未見與該項(xiàng)目所提出的測試方法 測試定義語言和該項(xiàng)目開發(fā)的測試系統(tǒng) 特點(diǎn)相類似的工作 作為該項(xiàng)目的重要組成部分之一 本課題具有研究價(jià)值 f 4 實(shí)驗(yàn)室正從事的下一代i n t e r a c t 體系結(jié)構(gòu) 單物理層用戶數(shù)據(jù)傳 輸與交換平臺體系結(jié)構(gòu) s u p a 研究 并已將網(wǎng)絡(luò)的服務(wù)質(zhì)量 q o s q u a l i t y o f s e r v i c e 和安全性作為該體系結(jié)構(gòu)的發(fā)展方向之一 因此 深入研究i p s e c 可以為s u p a 研究工作提供參考與借鑒 1 4 論文結(jié)構(gòu) 論文的內(nèi)容共分六章 其結(jié)構(gòu)如下 第一章對研究背景 內(nèi)容和意義進(jìn)行了介紹 并簡述了本論文的組織結(jié) 構(gòu) 第二章詳細(xì)分析了i n t e r n e t 存在的安全問題 并在此基礎(chǔ)上介紹了i p s e c 協(xié)議集及其工作原理 從i n t e r n e t 體系結(jié)構(gòu)的角度分析了i p s e c 的優(yōu)點(diǎn)和不 足 第三章主要討論了路由器測試技術(shù) 分析了路由器傳統(tǒng)測試法的不足 西南交通大學(xué)碩士研究生學(xué)位論文第5 頁 提出了進(jìn)行多端口并發(fā)測試的必要性 介紹了四川省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn) 室研發(fā)的分布式多端口并發(fā)測試系統(tǒng) 同時(shí)對相應(yīng)的并發(fā)測試支撐環(huán)境進(jìn)行 了詳細(xì)介紹 第四章討論了i p s e c 協(xié)議測試集規(guī)劃的必要性 層次結(jié)構(gòu)設(shè)計(jì)和規(guī)劃原 則 并重點(diǎn)對a h 協(xié)議一致性測試集 i p s e c 路由設(shè)備的性能測試集和互操 作性測試集進(jìn)行了全面的規(guī)劃 第五章在介紹測試描述語言t r c n 3 基礎(chǔ)上 使用該語言描述了在i p s e c 雙端口測試器上執(zhí)行的a h 協(xié)議抽象測試?yán)?最后 總結(jié)全文 提出了下一步需要進(jìn)行的研究工作 西南交通大學(xué)碩士研究生學(xué)位論文第6 頁 第2 章i n t e r n e t 安全問題與l p s e c 2 1l n l e r n e t 存在的安全問題 i n t e r a c t 在全球的廣泛應(yīng)用 使以口為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)成為計(jì)算機(jī)網(wǎng)絡(luò) 的主流技術(shù) i po v e re v e r y t h i n g 和 e v e r y t h i n go v e r 口 成為在網(wǎng)絡(luò)環(huán)境 中實(shí)現(xiàn)系統(tǒng)互聯(lián)最流行的手段 但同時(shí)也給上網(wǎng)用戶帶來了安全問題 由于 i n t e m e t 的開放性和超越組織與國界等特點(diǎn) 使它在安全性上存在一些隱患 而且網(wǎng)絡(luò)安全的內(nèi)涵也發(fā)生了根本的變化 它不僅從一般性的防衛(wèi)變成了一 種非常普通的防范 而且還從一種專門的領(lǐng)域變成了無處不在 國際標(biāo)準(zhǔn)化組織i s o 對計(jì)算機(jī)系統(tǒng)安全的定義是 為數(shù)據(jù)處理系統(tǒng)建立 和采用的技術(shù)和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件和數(shù)據(jù)不因偶然和 惡意的原因遭到破壞 更改和泄露 由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為 通過采用各種技術(shù)和管理措施 使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行 從而確保網(wǎng)絡(luò)數(shù)據(jù)的 可用性 完整性和機(jī)密性 1 0 因此 i n t e r n e t 的安全性問題正在成為世界各 國共同關(guān)注的焦點(diǎn) 數(shù)據(jù)的可用性 完整性和機(jī)密性已成為網(wǎng)絡(luò)安全的三個(gè) 重要指標(biāo) 然而 由于口協(xié)議本身存在的弱點(diǎn) i n t e m e t 受到多種攻擊的威脅 目 前i n t e m e t 面i 臨的安全隱患主要體現(xiàn)在下列幾方面 1 口安全 i p 協(xié)議在當(dāng)初設(shè)計(jì)時(shí)僅僅考慮到了網(wǎng)絡(luò)的互聯(lián)與互通 并沒有過多地考 慮過安全問題 由于i p 協(xié)議缺少身份認(rèn)證機(jī)制 并且沒有為數(shù)據(jù)提供強(qiáng)的 完整性和保密機(jī)制 使口網(wǎng)絡(luò)面臨到多種威脅 i p 地址假 a d d r e s sc o u n t e r f e i t i n g 在i n t e m e t 中各中間節(jié)點(diǎn)只根據(jù)目的口地址選擇下一節(jié)點(diǎn) 而不關(guān)心i p 源地址 口協(xié)議既未對地址字段提供任何保護(hù) 也未提供任何驗(yàn)證源地址合 法性的必要手段 因此 在一臺機(jī)器上可以假冒另一臺機(jī)器發(fā)出報(bào)文 而接 收方無法判斷收到的報(bào)文是否來自口包中所聲稱的源i p 地址 電子竊聽 e l e c t r o n i ct a p p i n g 在沒有進(jìn)行保密性處理的情況下 i p 通信通常是明文形式的 竊聽者可 以很容易地獲取i p 數(shù)據(jù)包并提取出其中的應(yīng)用層信息 西南交通大學(xué)碩士研究生學(xué)位論文第7 頁 會話竊奪侶c s s i o ns n i f l i n g 攻擊方可借用高級工具假扮成為已建立會話的通信對象之一 向另一方 發(fā)送拆除t c p 連接的報(bào)文 然后代替該通話對象與另一方繼續(xù)通信 重放 r e p l a y 攻擊者竊聽一個(gè)正常的通信雙方的通信包 然后重新發(fā)送這些數(shù)據(jù)包來 欺騙某一方來完成與上次相同的通信流程 一般通過唯一的序列號或者時(shí)間 戳來防止重放攻擊 2 拒絕服務(wù) d o s d e n i a l o fs e r v i c e 攻擊 d o s 是拒絕合法用戶使用系統(tǒng) 信息 能力等各種資源 其攻擊對象可 以是郵件服務(wù)器 路由器或w e b 服務(wù)器等 可抑制所有報(bào)文直接送到目的站 也可能破壞整個(gè)網(wǎng)絡(luò) 使網(wǎng)絡(luò)不可用或網(wǎng)絡(luò)超負(fù)荷 從而降低網(wǎng)絡(luò)性能 最典型的d o s 攻擊是郵件炸彈 e m a i lb o m b 即向某組織或個(gè)人發(fā)送過 量的電子郵件使其系統(tǒng)滿載直至崩潰 這樣做會耗盡受害者的硬盤空間 使 網(wǎng)絡(luò)連接被迫中斷或計(jì)算機(jī)系統(tǒng)崩潰 且難以跟蹤攻擊源 另外 還存在著一種分布式拒絕服務(wù) d d o s d i s t r i b u t e dd e n i a l o f s e r v i c e 攻擊 其方式與傳統(tǒng)的d o s 攻擊一樣 只不過進(jìn)攻源不止一個(gè) 是 拒絕服務(wù)群起進(jìn)攻的方式 其危害性更為嚴(yán)重 3 計(jì)算機(jī)病毒 v i r u s 計(jì)算機(jī)病毒是人為編寫出來的計(jì)算機(jī)程序 其設(shè)計(jì)目標(biāo)是破壞系統(tǒng) 所 以計(jì)算機(jī)病毒直接威脅信息的完整性和可用性 目前所知已有數(shù)萬病毒存 在 而且每天還有更多的病毒被制造出來 網(wǎng)絡(luò)病毒專門使用網(wǎng)絡(luò)協(xié)議f 如 t c p f t p u d p h 1 i 甲和電子郵件協(xié)議 來進(jìn)行復(fù)制 它們通常不修改系 統(tǒng)文件或硬盤的引導(dǎo)區(qū) 而通過感染客戶計(jì)算機(jī)的內(nèi)存 強(qiáng)制這些計(jì)算機(jī)向 網(wǎng)絡(luò)發(fā)送大量通信 因而可能導(dǎo)致網(wǎng)絡(luò)速度下降甚至完全癱瘓 由于網(wǎng)絡(luò)病 毒保留在內(nèi)存中 因此傳統(tǒng)的基于磁盤的文件i 0 掃描方法通常無法檢測到 它們 常見的病毒有以下類別 a c t i v e x 惡意代碼 駐留在w e b 頁面中執(zhí)行a c t i v e x 控件 引導(dǎo)區(qū)病毒 感染分區(qū)或磁盤的引導(dǎo)扇區(qū) c o m 和e x e 文件感染病毒 帶有 t o m 或 e x e 擴(kuò)展名的可執(zhí)行程序 j a v a 惡意代碼 使用j a v a 編寫或嵌入的獨(dú)立于操作系統(tǒng)的病毒碼 宏病毒 編碼為應(yīng)用程序宏且通常包含在文檔中的病毒 特洛伊木馬 不復(fù)制自身但駐留在系統(tǒng)中執(zhí)行惡意活動(dòng) 如打開端口使黑 客進(jìn)入 的可執(zhí)行程序 西南交通大學(xué)碩士研究生學(xué)位論文第8 頁 h t m l v b s c r i p t 或j a v a s c r i p t 病毒 駐留在w e b 頁面中且通過瀏覽器 下載的病毒 計(jì)算機(jī)蠕蟲 一種可以向其他計(jì)算機(jī)系統(tǒng)傳播 通常經(jīng)由電子郵件 其自 身功能副本或片段的自包含程序 或程序組 為解決i n t e m e t 存在的安全問題 已有越來越多的安全技術(shù)和相關(guān)軟件 例如針對電子郵件的p g p p r e t t yg o o dp r i v a c y w e b o f t r u s t 技術(shù) 但這類技 術(shù)大都是針對特定應(yīng)用而采用加密技術(shù)來實(shí)現(xiàn)的 并不能普遍適用于各種應(yīng) 用需求和聯(lián)網(wǎng)服務(wù)提供商o s p i n t e m e ts e r v i c ep r o v i d e r 今后可能應(yīng)用的新 需求 2 2 目前安全問題的解決方法 通過上述分析可以看出 以p 為基礎(chǔ)的i n t e r n e t 存在著很多的安壘漏洞 必須采用先進(jìn)的安全技術(shù)或安全措施來進(jìn)行維護(hù) 解決i n t e r n e t 的眾多安全 性問題 針對不同的安全問題 網(wǎng)絡(luò)界紛紛提出了相應(yīng)的安全保障機(jī)制 并 結(jié)合先進(jìn)的安全技術(shù)集成使用 目前比較成熟的安全技術(shù)有 防火墻 數(shù)據(jù) 加密 身份認(rèn)證 v p n 等技術(shù) 這些技術(shù)通過不同的軟 硬件形式提供給用 戶 對i n t e m e t 體系結(jié)構(gòu)中的不同層次提供相應(yīng)的安全保障服務(wù) i n t e m e t 的5 層結(jié)構(gòu)使其安全問題涉及到不同的協(xié)議層 如數(shù)據(jù)鏈路層 口層 傳輸層 應(yīng)用層等 根據(jù)不同的協(xié)議層 可相應(yīng)的提出不同的安全策 略 在數(shù)據(jù)鏈路層 可提供連接機(jī)密性和無連接機(jī)密性服務(wù) 在各個(gè)節(jié)點(diǎn)間 安裝或租用了專門的通信設(shè)施后 可實(shí)現(xiàn)點(diǎn)對點(diǎn)間較強(qiáng)的身份認(rèn)證 保 密性和連續(xù)的通道認(rèn)證 具有代表性的是光纖同步網(wǎng)侶o n e t s y n c h r o n o u so p t i c a ln e t w o r k 其基本服務(wù)單位是同步傳輸多路復(fù)用 目 前支持1 5 5 m b p s 6 2 2 m b p s 和2 0 4 8 m b p s 的傳輸速率 s o n e t 密鑰產(chǎn)生 器對數(shù)據(jù)有效載荷加密 提供了較強(qiáng)的保密性以及完全的通信保密性 數(shù)據(jù)完整性由更高層來提供 在口層 1 e t f 網(wǎng)絡(luò)安全組制定了i p 安全協(xié)議 i v s e c 提供了確保端到 端邛層通信安全的機(jī)制 i p s e c 為1 p 層提供的安全服務(wù)包括訪問控制 無連接的完整性 數(shù)據(jù)源認(rèn)證 抗重放 機(jī)密性和受限的通信流機(jī)密性 這些服務(wù)均在i p 層提供 因此任何高層協(xié)議都能使用它們 例如t c p u d p i c m p b g p 等等 本文對其原理將作為重點(diǎn)進(jìn)行研究和介紹 西南交通大學(xué)碩士研究生學(xué)位論文第9 頁 在傳輸層 n e t s c a p e 通過對雙端實(shí)體的認(rèn)證數(shù)據(jù)加密密鑰的交換 制定 了建立在可靠的傳輸服務(wù)基礎(chǔ)上的安全套接層 s s l s e c u r es o c k e t l a y e r 協(xié)議 主要通過s s l 記錄協(xié)議和s s l 握手協(xié)議來實(shí)現(xiàn)數(shù)據(jù)認(rèn)證和 加密 其優(yōu)點(diǎn)在于 它提供了基于進(jìn)程對進(jìn)程而非主機(jī)對主機(jī)的安全服 務(wù)和加密傳輸通道 利用公鑰體系進(jìn)行身份認(rèn)證 安全強(qiáng)度高 支持用 戶選擇的加密算法 這一實(shí)現(xiàn)如果加上應(yīng)用級的安全服務(wù) 即可提供更 加安全可靠的安全性能 在應(yīng)用層 對于具體文件的不同安全性要求需要采取不同的安全措施 比較常見的是對每個(gè)應(yīng)用及應(yīng)用協(xié)議分別進(jìn)行修改和擴(kuò)展 加入新的安 全功能 例如 i e t f 規(guī)定了私用強(qiáng)化郵件 p e m p d v a t e e n h a n c e d m a i l 來為基于簡單的電子郵件傳輸協(xié)議 s m t p s i m p l em a i l t r a n s f e r p r o t o c 0 1 的電子郵件系統(tǒng)提供安全服務(wù) s h t r p 為w 曲上使用的超文 本傳輸協(xié)議 h t r p h y p e rt e x tt r a n s f e rp r o t o c 0 1 提供了文件級的安全機(jī) 制 在電子商務(wù)中 m a s t e r c a r d 公司f 同i b m n e t s c a p e g t e 和c y b e r c a s h 一道 制定了安全電子付費(fèi)協(xié)議 s e p p s e c u r ee l e c t r o n i cp a y m e n t p r o t o c 0 1 v i s a 國際公司與微軟公司制定了安全交易技術(shù) s t t s e c u r e t r a n s a c t i o nt e c h n o l o g y 協(xié)議等 由此可見 i n t e r n e t 在各層實(shí)施的安全機(jī)制實(shí)際上是通過在原有框架下 采用 打補(bǔ)丁 的方式來解決的 在不同程度上解決了i n t e m e t 的安全問題 同時(shí)也為i n t e m e t 體系結(jié)構(gòu)的不斷改進(jìn)和完善提供了可取的解決方案 2 3ip s e c 協(xié)議簡介 作為邛層之上的重要安全 補(bǔ)丁 i p s e c 為口網(wǎng)提供了一系列數(shù)據(jù) 通信的安全保護(hù)機(jī)制 i p s e c 不是一個(gè)單獨(dú)的協(xié)議 而是一個(gè)協(xié)議集 i e t f 的口安全協(xié)議工作組在r f c 2 4 0 1 中對i p s e c 協(xié)議集正式定義并進(jìn)行了標(biāo)準(zhǔn) 化 當(dāng)前 該框架由6 個(gè)獨(dú)立的要素組成 其中 各協(xié)議既相互獨(dú)立 又相 互聯(lián)系 通過不同的工作方式緊密地結(jié)合在一起 如圖2 1 所示 西南交通大學(xué)碩士研究生學(xué)位論文第1 0 頁 圖2 1i p s e c 體系結(jié)構(gòu) 其中 標(biāo)準(zhǔn)文本對i p s e c 基本架構(gòu)和基本部件做了以下定義 安全協(xié)議 認(rèn)證頭 a r 0 協(xié)議提供無連接的數(shù)據(jù)完整性 數(shù)據(jù)源認(rèn)證和可選的抗重放 服務(wù) 數(shù)據(jù)完整性驗(yàn)證可通過哈希函數(shù)產(chǎn)生的校驗(yàn)來保證 數(shù)據(jù)源身份認(rèn)證 通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn) a h 報(bào)頭中的序列號可以防 止重放攻擊 封裝安全載荷 e s p 協(xié)議除了為口數(shù)據(jù)包提供a h 已有的3 種服務(wù)外 還可提供數(shù)據(jù)包加密和數(shù)據(jù)流加密 a h 和e s p 可單獨(dú)使用 也可嵌套使用 通過不同的組合方式 可以保 障兩臺主機(jī) 兩臺安全網(wǎng)關(guān) 防火墻或路由器 之間的通信安全 密鑰管理 i n t e r a c t 密鑰交換 i k e i n t e r a c tk e ye x c h a n g e 1 1 協(xié)議負(fù)責(zé)密鑰管理 定 義了通信實(shí)體之間進(jìn)行身份認(rèn)證 協(xié)商加密算法以及生成共享的會話密鑰的 方法 并提供必要的密鑰管理 算法 用于加密和身份驗(yàn)證 解釋域 d o i d o m a i no fi n t e r p r e t a t i o n 1 2 l d o i 為使用i k e 進(jìn)行協(xié)商安全關(guān)聯(lián) s a s e c u r i t y a s s o c i a t i o n 的協(xié)議統(tǒng)一 分配標(biāo)識符 共享一個(gè)d o i 的協(xié)議從一個(gè)共同的命名空間中選擇安全協(xié)議和 變換 共享密碼以及交換協(xié)議的標(biāo)識符等 d o i 將i p s e c 的這些r f c 文檔聯(lián) 系到了一起 1 3 1 同時(shí) i p s e c 是隨著i p v 6 的制定而產(chǎn)生的f 1 4 1 由i p v 4 地址危機(jī)產(chǎn)生和 發(fā)展起來的i p v 6 作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)得到了各方的公認(rèn) i p v 6 的提 西南交通大學(xué)碩士研究生學(xué)位論文第1 1 頁 出不僅可以解決邛地址資源不足的問題 而且i p v 6 將i p s e c 集成到了協(xié)議 內(nèi)部 從此i p s e c 將不單獨(dú)存在 而是作為i p v 6 協(xié)議固有的一部分貫穿于i p v 6 的各個(gè)部分 用于網(wǎng)絡(luò)層的認(rèn)證與加密 為用戶提供端到端的安全 使用起 來比i p v 4 簡單 方便 可以在遷移到i p v 6 時(shí)同步發(fā)展i p s e c 因此 i p s e c 安全機(jī)制具有通用性 既可以用于坤v 4 環(huán)境下 也可以用在i p v 6 中 2 3 1 安全關(guān)聯(lián) 安全關(guān)聯(lián) s a 是i p s e c 中的一個(gè)重要概念 a h 和e s p 兩個(gè)協(xié)議都使用 s a 來保護(hù)通信 i k e 的主要功能則是在通信雙方建立和維護(hù)s a s a 對在 其上運(yùn)載的數(shù)據(jù)流提供單向的 連接 因此每個(gè)通信方都必須分別建立s a 一個(gè)進(jìn)入s a 一個(gè)外出s a 構(gòu)成一個(gè)s a 束 s ab u n d l e s a 被認(rèn)為應(yīng)當(dāng) 受到兩個(gè)名義上的數(shù)據(jù)庫管理 它們是安全關(guān)聯(lián)數(shù)據(jù)庫 s a d s e c u r i t y a s s o c i a t i o nd a t a b a s e 和安全策略數(shù)據(jù)庫 s p d s e c u r i t yp o l i c yd a t a b a s e 所有定義好的s a 都保存在s a d 中 通過一組 三位一體 的數(shù)據(jù) 將s a 唯一標(biāo)識 安全參數(shù)索弓i s p i s e c u r i t yp a r a m e t e ri n d e x 是3 2 位的安全參數(shù)索引 標(biāo)識同一個(gè)目的地的s a 目的地址 表示對方i p 地址 可以是一個(gè)單播地址 一個(gè)口廣播地址 或一個(gè)多播組地址 職s e c 協(xié)議 a h 或e s p s a d 并非通常意義上的 數(shù)據(jù)庫 而是將索引s a 以某種數(shù)據(jù)結(jié)構(gòu)集 中存儲的列表 對于外出的流量 如需使用i p s e c 處理而相應(yīng)的s a 又不存 在 則i p s e c 將啟動(dòng)i k e 來協(xié)商一個(gè)s a 并存儲到s a d 中 對于進(jìn)入的流 量 如需要i p s e c 處理 則將從m 包中得到三元組并在s a d 中查找一個(gè)s a s p d 也并非通常意義上的 數(shù)據(jù)庫 而是將索引的安全策略 s p s e c u r i t yp o l i c y 以某種數(shù)據(jù)結(jié)構(gòu)集中存儲的列表 s p 主要根據(jù)源i p 地址 目 的口地址 進(jìn)入數(shù)據(jù)還是外出數(shù)據(jù)來標(biāo)識 指明了為i p 數(shù)據(jù)包提供何種保 護(hù) 并以何種方式實(shí)施保護(hù) 2 3 2i p s e c 工作原理 設(shè)計(jì)i p s e c 是為了給口數(shù)據(jù)報(bào)提供高質(zhì)量 可互操作性 基于密碼學(xué)的 西南交通大學(xué)碩士研究生學(xué)位論文第12 頁 安全性 i p s e c 對口數(shù)據(jù)報(bào)或上層協(xié)議的保護(hù)主要通過a h 和e s p 協(xié)議來實(shí) 現(xiàn) 對于a h 和e s p 都有2 種工作模式 傳輸模式 t r a n s p o r tm o d e 和隧道 模式 t u n n e lm o d e 兩種模式的區(qū)別在于 它們保護(hù)的范圍不同 前者主 要對i p 包的載荷進(jìn)行保護(hù) 后者主要用于對整個(gè)坤包的保護(hù) i p s e c 傳輸模式 在要求端到端的安全保障時(shí) 可使用i p s e c 的傳送模式 在這種模式中 a h 或e s p 會攔截從傳送層到網(wǎng)絡(luò)層的數(shù)據(jù)包 即將a h 或e s p 報(bào)頭插入到坤 頭部之后 且在一個(gè)上層協(xié)議之前 例如t c p u d p i c m p 等 以此來實(shí)現(xiàn) 對口包的載荷進(jìn)行保護(hù) 以t c p 協(xié)議為例 應(yīng)用i p s e c 后包格式圖2 2 所示 l i p 頭 a h e s plt c p 頭l數(shù)據(jù) i 圖2 2 傳輸