网络安全协议课程设计-IPsec隧道协议的安全分析与改进
IPSecVPN与IPSec隧道
IPSecVPN与IPSec隧道IPSec是一种网络协议,用于在公共网络上建立加密的虚拟私人网络(VPN)连接。
IPSec VPN使用IPSec协议来进行数据包加密和身份验证,以确保连接的机密性、完整性和可用性。
IPSec隧道是一种通过Internet或其他公共网络建立的安全通信路径,用于保护数据包在网络中的传输。
它通过将数据包封装在IPSec协议头中,并使用加密算法对其进行加密,以防止未经授权的访问和数据篡改。
使用IPSec VPN与IPSec隧道能够提供以下几个重要的安全保证:1. 机密性:通过加密数据包,IPSec确保敏感信息在传输过程中不会被窃听和泄露。
2. 完整性:IPSec使用消息认证码(MAC)来验证数据包是否在传输过程中被篡改。
如果数据包在传输过程中被更改,接收方将会被检测到,并拒绝接受损坏或被篡改的数据。
3. 身份验证:IPSec使用预共享密钥、数字证书或其他身份验证机制来确保建立的连接只能被授权的用户访问。
这样可以防止恶意用户伪造身份并获得敏感信息的访问权限。
4. 抗攻击:IPSec具有抗拒拒绝服务(DoS)攻击和数据包嗅探等常见网络攻击的能力。
它通过在数据包头部添加额外的验证信息和加密数据来保护连接免受攻击的风险。
IPSec VPN与IPSec隧道可以应用在各种场景中,包括企业内部网络连接、远程办公、分支机构与总部之间的通信等。
它们提供了一种安全、可靠的方式来进行远程访问和数据传输,保护机密数据以及敏感信息的隐私。
总之,IPSecVPN与IPSec隧道是一种重要的网络安全技术,通过使用IPSec协议建立加密的虚拟私人网络连接和安全通信路径,确保数据在公共网络中的保密性、完整性和可用性。
对于保护敏感信息和维护网络安全具有重要意义。
IPSec中密钥交换协议IKE的安全性分析与改进
计算机 时代 2 1 年 第 1 期 01 1
・ 7・ 2
IA MP 、 A H载荷 、 或多个 S SK 头 H S 一个 A载荷 以及 其他载 荷组 伪 造 的 co i来 攻击 I E协 议 。中间人 不能仅 利用 通信双方 o ke K 成 。新群 模式 用 于为 Dfe H l a 密 钥 交换 协商 一个 新 的 I 地址来计算 正确的 co e , 只能 利用穷举等其他攻 击方 ii em n f l P ok 值 而 i 群 。新群模式是在 IA MP S K 阶段 一交换的 S A的保护之 下进行 法 。这样 才能使 真正 的协商双 方迅速建立 IE S , K A 以达 到保 的。在第一条 消息 中, 方送 出一个 S 载荷 , 中包含 了新 护后续 IS cS 发起 A 其 P e A的 目的 。 群 的特征 ( 例如模 指数运算 的质数 和底数)如果 响应者能 够接 22 拒绝服务攻击的分析及改进 , .
网络安全协议IPSec分析
网络安全协议IPSec分析作者:于启红来源:《电脑知识与技术》2010年第11期摘要:该文阐述了IPSec体系结构,分析了IPSec协议的安全性,指出了IKE常遇到的攻击方式,总结了几个改进的方法。
关键词:IPSec;密钥交换协议;安全性中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2601-02Analysis of the Network Layer Safety Protocol-IPSecYU Qi-hong(Computer Department of SuQian College,Suqian 223800, China)Abstract: This paper discusses the architecture of IPSec, analyzes the security of IPSec, points out some attacks that the IKE frequently encounters and sums up a number of improved methods.Key words: IPSec; Internet key exchange; securityInternet已成为我们工作和生活的一个必不可少的部分。
Intenet以缺乏有效的安全机制的TcP/IP协议为通信基础。
网络的安全问题越来越突出。
为了保护信息和数据的安全,必须大力发展网络安全技术,IETF在1993年3月成立IPSec[1] (Internet Protocol Security)工作组,该工作组提供在Internet 上进行安全通信的一系列规范——IPSec协议,为私有信息通过公用网提供了安全保障。
1998年11月公布了Internet安全协议标准:IPSec。
为IP数据报提供数据完整性、机密性、数据源认证等安全服务。
但就像任何一样事物一样,不可能十全十美,IPSec协议也是如此。
网络安全协议课程设计——对IPsec协议的分析与优化
网络安全协议课程设计——对IPsec协议的分析与优化一、背景介绍网络安全是当前互联网发展中的重要问题之一,保护网络通信的安全性对于个人、企业和国家来说都至关重要。
IPsec协议是一种常用的网络安全协议,用于保护IP层的通信安全。
本课程设计旨在对IPsec协议进行深入分析,并提出优化方案,以提高网络通信的安全性和性能。
二、IPsec协议分析1. IPsec协议概述IPsec协议是一种网络层的安全协议,用于保护IP数据包的完整性、机密性和认证性。
它通过加密和认证机制,确保数据在传输过程中不被篡改、窃听或伪造。
2. IPsec协议的工作原理IPsec协议工作在IP层,通过在IP数据包中添加安全扩展头部(Security Extension Header)来实现安全性。
它包括两个主要组件:认证头部(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。
AH提供了数据完整性和认证性,ESP提供了数据的加密性。
3. IPsec协议的优点和局限性优点:- 提供了端到端的安全性,可以保护整个通信链路中的数据。
- 支持多种加密和认证算法,灵活性较高。
- 可以与其他网络层协议兼容,如IPv4和IPv6。
局限性:- IPsec协议在处理大量数据时可能会影响网络性能。
- 配置和管理复杂,需要专业的知识和经验。
- 对于移动设备和移动网络的支持还不够完善。
三、IPsec协议优化方案1. 提高IPsec协议的性能- 使用硬件加速器:利用专用硬件加速器来加速IPsec协议的处理,提高数据传输速度。
- 优化加密算法:选择更高效的加密算法,如AES(Advanced Encryption Standard),以减少加密和解密的开销。
- 压缩数据包:采用数据压缩算法,减少传输数据量,提高网络性能。
2. 简化IPsec协议的配置和管理- 自动配置:开发自动配置工具,简化IPsec协议的配置过程,减少人工操作。
网络安全协议课程设计——对IPsec协议的分析与优化
《网络安全协议》课程设计题目对IPsec协议的分析与优化班级学号姓名指导老师年月日1.1IPsec协议的背景 (1)1.2 IPsec的研究意义 (1)1.3课程设计的研究内容 (2)1.4 IPsec的研究目标 (2)二、问题分析2.1系统需求 (3)2.2系统设计目标 (3)三、 IPsec协议3.1 协议简介 (4)3.2 IPsec的安全协议 (5)3.3 SA(安全关联) (9)3.4 SAD(安全关联数据库) (9)3.5 SPD(安全策略数据库) (9)3.6 IKE(Internet密钥交换)协议 (10)四、IPsec协议安全性分析4.1 服务内容 (11)4.2 IPsec的局限性 (11)4.3 IPsec优化技术 (12)五、总结 (14)参考文献: (15)1.1课程设计的背景随着科学技术的飞速发展,计算机技术和网络技术已经深入到社会的各个领域,开放的、大众化的互联网已经普及到人们生活的各个方面。
然而,在人们得益于信息革命带来的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。
不断出现的网络安全事件,已经严重影响到人们的日常工作和生活。
同时,网络信息的安全保密问题,也关系到一个国家的主权、安全和发展。
“电子战”、“信息战”已经成为现代战争中一种重要的攻击与防卫手段。
因此,信息安全、网络安全已经引起各国、各部门、各行业以及每个计算机用户的充分重视。
深入分析存在的网络安全隐患,重要的原因是目前的因特网和大多数包交换网络都是建立在IP协议(Internet Protocol)基础上的。
由于IP协议本身没有任何安全措施,使得建立在该协议基础上的网络体系本身就存在着大量的安全隐患。
IP 协议存在的安全漏洞主要有:缺乏对IP地址进行保密的机制;缺乏对IP地址真实性的认证机制;缺乏对IP数据包的加密保护;缺乏对广播信息的认证;缺乏对ICMP(Internet控制消息协议)信息的认证和保护;缺乏对路由信息的认证和保护等。
IPsecESP隧道协议
IPsecESP隧道协议IPsec(Internet Protocol Security)是一种用于保护IP通信的网络协议套件。
它提供了数据加密、数据完整性、身份验证以及防止重放攻击等安全功能。
在IPsec协议套件中,ESP(Encapsulated Security Payload)是一种重要的安全协议,用于提供数据的加密和身份验证。
IPsecESP隧道协议是IPsec协议套件的一种模式,它使用ESP协议将原始IP数据包进行封装,并通过隧道传输的方式在网络中传递。
使用IPsecESP隧道协议可以实现跨网络的安全通信,确保数据的机密性和完整性。
IPsecESP隧道协议的工作原理如下:1. 隧道建立:在进行通信之前,发送方和接收方需要建立一个安全的隧道。
这个过程中包括身份验证和密钥交换等步骤,确保双方可以建立信任关系并共享安全密钥。
2. 封装数据:发送方将原始的IP数据包加密并封装到ESP报文中。
ESP报文中包含了加密后的原始数据以及相关的安全信息,如身份验证信息和加密算法等。
3. 传输数据:封装后的ESP报文通过隧道传输的方式在网络中传递。
由于数据已经被加密和封装,所以在传输过程中不易被窃听和篡改。
4. 解封数据:接收方收到ESP报文后,需要对报文进行解封和解密操作。
通过解密操作,接收方可以获取到原始的IP数据包,并对数据进行处理或者转发。
5. 数据验证:解封后的数据需要进行身份验证和数据完整性校验。
接收方使用之前约定的密钥和算法对数据进行校验,确保数据的完整性和真实性。
通过IPsecESP隧道协议,可以在不可信任的网络中实现安全的通信。
它被广泛应用于VPN(Virtual Private Network)和远程访问等场景中,为企业和个人提供了安全可靠的网络连接。
总结:IPsecESP隧道协议是IPsec协议套件的一种重要模式。
它通过封装和加密原始IP数据包,通过隧道传输的方式在网络中传递,并在接收方进行解封和解密操作,以确保数据的机密性、身份验证和完整性。
网络安全协议课程设计 IPsec隧道协议的安全分析与改进
《网络安全协议》课程设计题目IPsec隧道协议的安全分析与改进班级学号姓名指导老师2015年 7 月 4 日目录一、概述 (2)1.1课程设计的目的 (2)1.2课程设计的内容 (2)1.3课程设计的要求 (3)二、问题分析 (3)2.1系统需求 (3)2.2 GRE协议分析 (3)2.3 IPsec协议分析 (4)三、协议漏洞 (5)3.1协议漏洞解决措施 (5)3.2协议漏洞解决详解 (5)四、协议完善具体实现 (6)4.1实现分析 (6)4.2 GRE实现流程分析 (8)4.3简单设备设置 (10)五、案安全性分析 (11)六、程设计心得、总结 (11)七、参考文献 (12)1一、概述网络如若想实现交流传输,必须以网络协议为载体进行。
而网络协议(Network Protcol)是控制计算机在网络介质上进行信息交换的规则和约定。
网络协议通常会被按OSI参考模型的层次进行划分。
OSI参考模型是国际标准化组织制定的网络体系结构参考模型,提供各种网络互联的标准,共分七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,会话层、表示层和应用层往往被合并称为高层。
当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。
伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。
安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。
网络安全的实现首先需要网络协议的安全,但是网络协议都是人为写的,存在先天的不足与缺陷,以至于只能慢慢实践发现并给与补充。
这里先谈一下VPN中的GRE协议。
GRE(Generic Routing Encapsulation,通用路由封装)协议是由Cisco 和Net-smiths等公司于1994年提交给IETF(InternetEngineering Task Force,网络工程工作小组)的,标号为RFC1701和RFC1702。
网络安全中IPSec协议的应用论文
网络安全中IPSec协议的应用论文1IPSec协议基础IPSec的平安服务是由通讯双方建立的平安关联(SA)来供应的。
sA为通讯供应了平安协议、模式、算法和应用于单向IP流的密钥等平安信息。
它通过平安关联库(sAD)来进行管理,每一个IPSec节点包含有一个局部的平安策略库(SPD)。
IPSec系统在处理输入/输出IP流时必需考虑该策略库,并从SPD中提取策略对IP流进行不同的处理。
假如该策略确定IP流需要经过IPSec处理,则依据SPD与SAD 的对应关系,找到相应的SA,对IP数据包进行相应的处理。
SA由一个三元组惟一地标识,该三元组包含平安参数索引(SPI)、输出处理sA的目的IP地址或者输入处理sA的源IP地址以及一个特定的协议,SPI是为了唯一标识SA而生成的一个32位整数。
IPSec主要使用两种协议AH和ESP,这两种协议均使用sA。
假如盼望同时用A}I和ESP 来爱护两个对等实体之间的数据流,则需要两个sA:一个用于A}I,另一个用于ESP。
当一个sA协商完成时,通信的两个对等实体会在它们的平安关联数据库(SAD)中存储该sA参数。
sA的一个重要参数是它的生存期,它以一个时间间隔或者以肯定字节数的形式存在(IPSec协议利用该sA来处理)。
2平安关联数据库和平安策略数据库当IPSec处理数据流时有两个必要的数据库:平安策略数据库(SPD)和平安关联数据库(SAD)。
SPD指定了用于到达或者源自特定主机、网络的数据流的策略,SAD包含活动的SA参数。
对于SPD和SAD而言都需要单独的输入和输出数据库。
IPSec协议要求不管通信流是输入还是输出在处理的过程中都必需查询SPD,SPD中包含一个策略条目的有序列表。
通过使用一个或多个选择符来确定每一个条目。
以下是IPSec允许的'选择符:(1)目的IP地址:目的IP地址可以是一个32位的IPv4或者128位的IPv6地址。
该地址可以是主机IP地址、广播地址、单播地址、任意播地址、多播组地址等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络安全协议》课程设计题目IPsec隧道协议的安全分析与改进班级学号姓名指导老师2015年 7 月 4 日目录一、概述 (2)1.1课程设计的目的 (2)1.2课程设计的内容 (2)1.3课程设计的要求 (3)二、问题分析 (3)2.1系统需求 (3)2.2 GRE协议分析 (3)2.3 IPsec协议分析 (4)三、协议漏洞 (5)3.1协议漏洞解决措施 (5)3.2协议漏洞解决详解 (5)四、协议完善具体实现 (6)4.1实现分析 (6)4.2 GRE实现流程分析 (8)4.3简单设备设置 (10)五、案安全性分析 (11)六、程设计心得、总结 (11)七、参考文献 (12)一、概述网络如若想实现交流传输,必须以网络协议为载体进行。
而网络协议(Network Protcol)是控制计算机在网络介质上进行信息交换的规则和约定。
网络协议通常会被按OSI参考模型的层次进行划分。
OSI参考模型是国际标准化组织制定的网络体系结构参考模型,提供各种网络互联的标准,共分七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,会话层、表示层和应用层往往被合并称为高层。
当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。
伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。
安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。
网络安全的实现首先需要网络协议的安全,但是网络协议都是人为写的,存在先天的不足与缺陷,以至于只能慢慢实践发现并给与补充。
这里先谈一下VPN中的GRE协议。
GRE(Generic Routing Encapsulation,通用路由封装)协议是由Cisco和Net-smiths等公司于1994年提交给IETF(Internet Engineering Task Force,网络工程工作小组)的,标号为RFC1701和RFC1702。
GRE协议规定了如何用一种网络协议去封装另一种网络协议的方法,是一种最简单的隧道封装技术,它提供了将一种协议的报文在另一种协议组成的网络中传输的能力。
GRE协议就是一种应用非常广泛的第三层VPN隧道协议。
GRE隧道使用GRE协议封装原始数据报文,基于公共IP网络实现数据的透明传输。
GRE隧道不能配置二层信息,但可以配置IP地址。
本文从GRE协议的工作原理入手,从安全性角度出发,详细分析了GRE隧道协议的不足与缺陷,最后提出了相关的安全防护方案。
1.1课程设计的目的详细分析IPsec隧道协议不支持对多播和广播的加密的不足,并针对其漏洞设计实施完善可行的策略。
1.2课程设计的内容将GRE与IPsec结合使用,弥补IPsec不能保护组播数据的缺陷。
因为GRE可以封装组播数据并在GRE隧道中传输,所以对于诸如路由协议、语音、视频等组播数据需要在IPsec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后再对封装后的报文进行IPSec的加密处理,就实现了组播数据在IPsec隧道中的加密传输。
1.3课程设计的要求GRE是传统IP网络中最常用的VPN技术;IPSec是比较常用的数据加密技术,本文要求详细介绍GRE的原理和报文封装,并且进行有效可行的GRE与IPsec的组合应用,解决组播业务在跨广域网的VPN中部署的问题,最后深刻理解GRE协议和IPsec协议的原理与作用 , 以及两者一起使用时的功能与利弊。
二、问题分析2.1系统需求实现这个需求首先要知道IPSEC协议只能对单播数据报文进行加密,我们可以设想把组播源或者组播客户端发出的组播报文,采用某种技术或者协议在组播报文的前面封装一个单播的IP报文头,构造一个普通的单播IP数据报文,组播报文可以看作是它的数据净荷,那么这个构造的报文在传输过程中,就可以使用IPsec协议对其进行加密了,这也意味着组播报文作为构造的单播IP数据报文里“数据净荷”被加密了.2.2 GRE协议分析(1) GRE协议广泛应用于建立VPN网络隧道,例如有一个大型企业需要利用VPN 将分布在两地的总部和办事处网络连接起来,在办事处网络路由器A与总部网络路由器B之间建立一个GRE隧道,则办事处网络中的主机A和总部网络中的主机B可以通过该隧道进行网络通信。
如图1所示,这就是一个非常典型的利用GRE 隧道协议来实现VPN网络的模型,本文中所描述的各种情况均以该网络拓扑结构为基础。
(2) GRE协议数据包结构GRE 协议可以实现对IP、IPX、AppleTalk 等协议数据包的封装,本文以使用最为广泛的IP 协议为例。
通过 GRE 协议封装过的数据包格式如图2 所示:在 GRE 数据包结构中,前面的IP 包头部结构是传送数据报头部,用于将其他被封装的数据包封装成IP 包并在IP 网络中传输,在本文中称之为外部IP 报头。
GRE 报头部用来传送与有效负载数据包有关的控制信息,用来在控制GRE 数据包在隧道中的传输以及GRE报文加封装和解封装过程,其结构如图3所示。
有效载荷数据包是被封装的其他协议的数据包,若被封装的协议为IP 数据包,则有效载荷数据包就是一个IP数据包。
(3) GRE协议报文处理过程GRE 协议报文在隧道中传输时,必须要经过加封装与解封装两个过程。
在图1 所描述的网络中,办事处网络中主机A 与总部网络中主机B 的通信过程如下所述:1、A 发送的IP 报文首先到达路由器A,路由器A 连接内部网络的接口收到该IP 报文后首先交由IP 报文处理进程处理,其检查IP 报头中的目的地址域来确定如何路由该IP 报文。
由于其目的地址为总部网络中的IP 地址,则开始进行数据包的加封装,即在该IP报文前加上新的IP 报头即外部IP 报头和GRE 报头。
之后将封装好的报文通过GRE 隧道接口发送出去。
2、器B从GRE 隧道接口收到路由器A发送的经过封装的GRE报文后,检查目的地址,发现目的地就是此路由器时,先去掉外部IP 报头,将剩下的报文交由GRE 协议处理。
GRE 协议进行检查校验和、序列号等处理,之后进行GRE 解封装,即将GRE 报头部去掉。
再将解封装之后的IP 报文交由IP 报文处理进程象对待一般IP 报文一样对此报文进行处理,即将该IP 数据包交给连接内部网络的接口,按照目的地址发送给主机B。
由上述的 GRE 协议处理过程可以看出,GRE 协议只提供了数据包的封装,并没有提供增强安全性的加密功能。
2.3 IPsec协议分析IPsec协议是目前用于所有Internet_通信的唯一的一种安全协议。
IPSec保护IP数据包的安全,主要包括:数据起源地验证、无连接数据的完整性验证、保证数据内容机密性、抗重播保护和保护有限数据流的机密性等。
提供了一种标准的、健壮的以及包容广泛的机制,为运行于IP顶部的任何一种协议(如 TCP,U DP,IC MP等)提供保护。
IPSec确保端到端的数据安全。
IPSe。
在网络内部实施时,即构成了虚拟专用网。
IPSe。
运行在网络层上,所以属于第三层隧道协议。
IPSec是一组协议套件,包括 AH(验证头),ESP(封装安全载荷)、IKE (Internet 密钥交换)、ISAKMP/Oakley以及转码。
各组件之间的交互方式如图1所示:IPSec策略由安全策略数据库(SecurityPolicyD atabase,SP D)加以维护。
在SPD 数据库中,每个条目都定义了所要保护的通信类别、保护方法以及与谁共享这种保护。
进人或离开IP堆栈的每个数据包都必须检索SPD数据库,调查可能的安全应用。
每一个SPD条目定义的行为是丢弃、绕过或应用中的一种。
行为是“应用的”PD条目,会指向一个或一套安全联盟(Security AssociationSA),表示对数据包实施应用安全保护。
实施方案都要构建一个安全联盟数据库(Security Association Database,SADB)来维护SA记录。
SA是两个通信实体经协商建立起来的一种协定,该协定决定了用来保护数据包安全的IPSec协议、转码方式、密钥及密钥的有效存活时间等。
SA是单向的,对于一个主机分别有SA (in)和SA(out)处理进人和外出的数据包。
SA具有协议相关性,若某一主机同时使用AH 和ESP两种协议进行安全通信,那么该主机会针对每一个协议构建一个独立的SA, SA是以成对的形式存在的,既可人工创建,也可动态创建。
在进人通信时,若SA不存在,则丢弃数据包;对于外出通信,若SA不存在,则通过Internet 密钥交换动态创建。
三、协议漏洞3.1协议漏洞解决措施GRE over IPsec,是将整个已经封装过的GRE数据包进行加密,于IPsec不支持对多播和广播数据包的加密,这样的话,使用IPsec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行正常通告,所以,这时候要配合GRE隧道,GRE 隧道会将多播和广播数据包封装到单播包中,再经过IPsec加密。
3.2协议漏洞解决详解我们知道,最初,某大客户的总部网络和分支机构网络之间的业务主要局限于一些传统的FTP,HTTP等,网络结构如下:使用IPsec协议,对总部和分支机构之间传送的数据报文进行加密,客户已经成功部署了这方面的业务。
随着企业规模的扩大,现在需要开启大量新业务,比如:语音、视频等组播业务,组播服务器放在公司总部,组播客户端位于分支机构,网络结构如下:当总部向分支机构提供语音、视频等组播业务时,组播数据流要通过Internet 进行传输,出于安全的需要,也要求使用IPSEC技术对客户在Internet上传送的语音、视频等组播数据包进行加密,保证组播数据报文在Internet上传输时的私有性、完整性和真实性。
但是由于IPSEC协议目前只能对单播报文进行加密和保护,不能对组播报文进行加密和保护,所以人么迫切希望能不能采用其他的方法来实现这方面的需求。
四、协议完善具体实现4.1实现分析既然IPSEC协议只能对单播数据报文进行加密,我们可以设想把组播源或者组播客户端发出的组播报文,采用某种技术或者协议在组播报文的前面封装一个单播的IP报文头,构造一个普通的单播IP数据报文,组播报文可以看作是它的数据净荷,那么这个构造的报文在传输过程中,就可以使用IPsec协议对其进行加密了,这也意味着组播报文作为构造的单播IP数据报文里“数据净荷”被加密了。
如图所示:(1) 组播客户端发出一个组播报文,在NE16A上使用上面提到的某种技术,在组播报文前面封装一个单播IP头,目的地址是NE16B;(2) 在NE08A和NE08B之间建立一条IPSEC隧道,当构造的IP单播报文进入到隧道时,在NE08上A对其数据净荷进行加密;在NE08B上对其数据净荷进行解密;(3) 当这个报文到达NE16B时,去掉封装的IP头,还原出组播报文,这样组播报文就可以到达组播服务器了。