1. 研究目的与意义
随着网络通信技术的不断发展,万兆以太网应用发展迅速同时,无处不在的安全威肋、给万兆以太网带来了更大的挑战。最初的IP版本缺乏保证安全的确定方法。因此,人们为IP引入了安全通信技术,称之为IP安全性(IP Security),简称为IPse。00IPsec。随着网络通信速率的不断提高。软件方式实现的IPsec协议大大增加网关的负载,成为网络的瓶颈,而FPGA具有高速并行的特点,可以实现更高的处理性能。基于FPGA的IPsec ESP协议的设计与实现,可以满足万兆IPsec ESP协议高速、低延迟、高吞吐率、协议复杂的特性。
IPsec是为IP网络提供完整安全性解决方案的一系列服务和协议的集合。封装安全性载荷(ESP,Encapsulating Security Payload),是IPsec的两种核心协议之一,主要任务是为IP数据报的载荷提供加密保护。
IPsec ESP协议通过构建一个ESP头在受保护数据之前,再追加一个ESP尾在受保护数据之后,生成一个ESP数据包。它定义了两种具体的工作模式:隧道模式(tunnel mode)和传输模式(transport mode)。两种模式的区别在于ESP保护的真正对象。在传输模式中,ESP头插在IP头和IP包的上层协议头之间;隧道模式下,整个受保护的IP包都封装在一个ESP头中,还则增加了一个新的IP头,使得整个IP数据在非受信网络中都不可见。
2. 课题关键问题和重难点
关键问题:
1. IP协议有输模式和隧道模式,需要进行区别。传输模式是用于主机之间,保护分组的有效负载,不对原来的IP地址进行加密。而隧道模式是用于在Internet中的路由,对整个IP分组进行保护,首先对IP分组进行加密,然后将加密后的分组封装到另一个IP分组。
2. IPSec安全协议的隧道模式下ESP 协议提供数据保密性、有限的数据流保密性、数据源认证、无连接的完整性、以及抗重放服务的功能如何实现。
3. 国内外研究现状(文献综述)
IPSec是IETF建立的一个负责IP安全协议和密钥管理机制的安全体系,对于在公用或私有IP网络传输的数据IPSec通过对数据发送和接受的一致性、防伪装性保护、数据完整性保护以及通信中使用的密钥交换管理,从而保证通信的安全。
IPsec使用两种安全协议来加强IP协议的安全性:IP认证头(Authentication Header, AH)协议和封装安全负载(Encapsulating Security Payload , ESP)协议。AH协议定义T认证的应用方法,提供数据源认证、无连接的完整性、以及一个可选的抗重放服务。ESP协议(RFC2406)定义了加密和可选认证的应用方法,提供数据保密性、有限的数据流保密性、数据源认证、无连接的完整性以及抗重放服务。为了实现AH和ESP的功能,还要有相关的密钥管理协议(如Internet密钥交换协议IKE)实现密钥的预共享。
IPsec可用来保护一条或多条路径:①一对主机之间;②一对安全网关之间;③安全网关和主机之间。对于IPsec主机而言,必须支持①和③;而对于IPsec安全网关,则必须实现全部情形,因为有些情况下,安全网关是作为主机使用的。
4. 研究方案
1. 隧道模式下封装方案
封装前端接收数据包。隧道模式时,使用SA内IP地址重新产生一个新的IP头放于受保护数据之前,使用SA内SPI和SN构造ESP头放于新IP头之后,根据算法分组长度和加密保护数据长度构建ESP尾放于受保护数据之后。处理完成将数据包送入算法芯片做数据加密处理和ICV计算。算法芯片将加密后数据送入封装后端。隧道模式时,计算新IP头校验和。进行字节序调整,按指定数据位宽做对齐处理。处理完成数据包经过万兆以太网口进入非受信网络。
2. 隧道模式下解封方案
5. 工作计划
2022年3月~2022年5月
第1周: 查找文献和翻译文献
第2周: 撰写开题报告
以上是毕业论文开题报告,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
