论文总字数：18958字

摘 要

由于网络通信技术的高速发展，网络安全问题日益严峻，给互联网带来了巨大的挑战。最初的IP版本缺乏保证安全的确定方法。因此，人们为IP引入了安全通信技术，称之为IP安全性(IPSecurity)，简称为IPSec。IPSec由两大部分组成：建立安全分组流的密钥交换协议；保护分组流的协议。IP协议分为传输模式和隧道模式。ESP（Encapsulating Security Payload）即封装安全载荷，为IP数据包提供完整性的检查、认证与加密，本文研究的是IPSec安全协议的隧道模式下的封装与实现。运用Verilog HDL语言描述电路并进行系统电路的设计与模拟，用CADENCE完成芯片的版图设计。

关键词：IPSec；隧道模式；封装；ESP模块

Module Design For Tunnel Mode Of ESP Protocol Based On The IPSec Security Protocol

Abstract

Due to the rapid development of network communication technology, network security issues have become increasingly severe, to the Internet has brought a huge challenge. Ensure safe method of determining the original IP version lacks. Therefore, it is introduced into the secure IP communications technology, known as IP security (IPSecurity), referred to as IPSec. IPSec consists of two parts: the establishment of secure key exchange protocol packet flow; protection protocol packet flow. IP protocol into transport mode and tunnel mode. ESP (Encapsulating Security Payload) Encapsulating Security Payload namely, providing integrity checks for the IP packet authentication and encryption, this study is to encapsulate the IPSec protocol and implementation of tunnel mode. Using Verilog HDL language to describe the circuit and circuit design and simulation system, the completion of the layout design of the chip with CADENCE.

Keyword: IPSec；Tunnel mode；Encapsulating；ESP

目录

摘要 I

Abstract II

目录 III

第一章 绪论 1

1.1 IPSec协议介绍 1

1.2 IPSec现状 2

1.3 内容 2

第二章 IPSec原理 3

2.1 ESP协议 3

2.2隧道模式 4

2.3各模块的数据格式 4

3.1设计工具 7

3.1.1 Verilog 7

3.1.2 Modelsim软件 7

3.1.3 ISE软件 8

3.2封装模块 9

3.2.1 SA_ Receiver模块 9

3.2.2 Send模块 9

3.2.3 Encapsulation模块 10

3.3 输入数据的处理 10

3.4 Modelsim操作 12

3.5仿真结果 12

第四章 DC版图设计 14

4.1 DC综合 14

4.2 ASTRO布局布线 15

第五章 总结与展望 17

5.1总结 17

5.2展望 17

参考文献 19

第一章 绪论

1.1 IPSec协议介绍

为了加强网络的安全性,1995年,IETF已经开始研究并建立一组IP安全(IPSec)协议来保护知识产权的安全沟通。在RFC2401文件中给出了IPSec的基本结构的定义。而后，具体的的操作方法都是以此为基础来实现的。它提供的定义IPSec安全服务,如何使用它们,如何构建和处理数据报,以及如何协调相同的政策等等。

IPSec是一个固定IP通信协议套件验证与或加密的每个IP包的通信会话，定义在RFC2401-2412和4301-4309。使用下列协议来提供各种服务：

AH提供无连接的完整性校验的IP数据报的源认证方法，它可以保护宿主抵抗重放攻击。ESP可以提供数据源认证，无连接的完整性检查和抗重播服务。它们之间的主要区别通过ESP和AH提供完整性的程度覆盖。ESP还提供了机密性服务。

IPSec可在传输模式和隧道模式下部署。在传输模式下，该IP包的唯一的有效载荷是加密与或认证。在隧道模式下，其操作在整个IP包。

IPSec IETF工作组的定义很多在各个方面:RFC,这些RFC定义IPSec系统,隐私密钥管理,基本协议和强制性转换代码,以达到基本的协议的安全服务集IPSec可以提供包括访问控制、无连接完整性、数据源认证、拒绝重播包、机密性、和有限的交通流机密性。因为这些服务在IP层提供,他们可以使用更高层协议、TCP、UDP、ICMP、边界网关协议等。

IPSec能够对安全网关数据进行分组，可以嵌套提供安全服务。在IPSec保护两台电脑的同时，提供一个通道给主机，保护数据的安全。

保护IP数据报或使用某种上层协议IPSec协议：“封装安全负载（ESP）”或是“认证头（AH）”。其中，AH具有证明数据的起源，保护数据的完整性，防止同一分组连续重放的功能。 ESP功能更加强大，包括了AH的所有功能还对选择保护数据有机密保护，并提供该数据流的机密性的有限的保护。因为ESP AH的所有功能，有些人会问：“为什么要设计AH呢？”事实上，这个问题一直在讨论数据安全领域很长一段时间。两个之间的细微差别是验证覆盖的区域。后面的章节将在下面更详细地讨论。

应当指出的是，因为AH或ESP提供的安全性需要完全依赖于他们所使用的加密算法，并为了确保各个实施例之间的互操作性，强制性的定义了一组加密算法。这些算法提供了安全性，但是最新的加密技术，在不断进步并证实了摩尔定律（观察者每过一年半将计算能力将增加一倍），所以过去默认的加密算法（使用DES的CBC模式）不适合高密度数据，不适合于需要长期间要保密的数据。为了确保基本IPSec协议（互操作）之间的互操作性，我们人为增加了一个服务密钥的。这种人为增加的的方式将得到极大的降低扩展（拉伸）能力。因此，还为它定义了一个标准的方式来动态核查涉及各方的身份和协商安全服务的安全，并生成一个共享密钥等等。这种密钥管理协议简称IKE就是“Internet密钥交换（Internet Key Exchange）”。

使用IPSec共享密钥既用于对称加密算法（在必要时保护数据的机密性），又可以被用于密钥处理的MAC（用来保证数据的完整性），或同时施加两者。 IPSec的运行速度必须足够快，和现有的公开密钥技术（如RSA或DSS）的速度不够快，以至于无法顺利进行，逐个数据包进行加密操作。目前，公钥技术仍局限在密钥交换过程中完成了一些初步的验证工作。

1.2 IPSec现状

IPSec协议包括：AH（认证报头），ESP（封装安全载荷），IKE（Internet密钥交换），ISAKMP/Oakley的和转码。为了能够更轻松理解、实行和使用IPSec，必须要了解这些组件的关系。IPSec发展规定了IPSec部件之间的交互方式。

剩余内容已隐藏，请支付后下载全文，论文总字数：18958字