基于IPSEC協(xié)議的網(wǎng)絡(luò)安全技術(shù)應(yīng)用分析

王歡

【摘要】 IPSEC協(xié)議為一組網(wǎng)絡(luò)安全協(xié)議集合，具有更高靈活性、透明性以及安全性特點(diǎn)，能夠?yàn)榫W(wǎng)絡(luò)上所傳輸?shù)母黜?xiàng)信息提供保護(hù)，實(shí)現(xiàn)IP數(shù)據(jù)運(yùn)行使用的安全性。本文對(duì)IPSEC協(xié)議在網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用進(jìn)行了簡(jiǎn)要分析。

【關(guān)鍵詞】 IPSEC協(xié)議 網(wǎng)絡(luò)安全 密鑰

面對(duì)網(wǎng)絡(luò)信息安全問題，針對(duì)IP網(wǎng)絡(luò)通信安全性與保密性，可以基于IPSEC協(xié)議進(jìn)行研究，其為安全協(xié)議的集合，可以提供對(duì)傳送、接收端數(shù)據(jù)認(rèn)證，以及完整性檢查，對(duì)提高網(wǎng)絡(luò)安全具有重要意義。

一、IPSEC協(xié)議工作原理分析

IPSEC協(xié)議工作原理與包過濾防火墻運(yùn)行相似，在獲得一個(gè)IP數(shù)據(jù)包以后，利用包過濾防火墻頭部實(shí)施匹配處理，將此數(shù)據(jù)包放置在規(guī)格表內(nèi)。再次找到一個(gè)規(guī)則且可以與該數(shù)據(jù)包進(jìn)行匹配，則以制定規(guī)則的基本原則為依據(jù)，對(duì)前面獲得數(shù)據(jù)包進(jìn)行丟棄或轉(zhuǎn)發(fā)操作。對(duì)于IPSEC協(xié)議來說，運(yùn)行時(shí)主要是通過查詢SD相關(guān)信息，并將查詢到的結(jié)果作為處理數(shù)據(jù)包的依據(jù)，與包過濾防火墻處理相比，IPSEC對(duì)數(shù)據(jù)包的處理，除了丟棄與轉(zhuǎn)發(fā)兩種操作外，還具有第三種處理方式，即IPSEC操作[2]。

二、基于IPSEC協(xié)議安全技術(shù)應(yīng)用分析

2.1系統(tǒng)設(shè)計(jì)目標(biāo)

系統(tǒng)內(nèi)要保證數(shù)據(jù)加、解密流程以及算法的獨(dú)立性，且可以實(shí)現(xiàn)用戶自己對(duì)加密、認(rèn)證算法的擴(kuò)展。對(duì)于AH協(xié)議與ESP協(xié)議間要保持相互獨(dú)立，可以結(jié)合實(shí)際需求選擇獨(dú)立或者聯(lián)合運(yùn)行方式。還需要保證加密流程與解密流程的獨(dú)立性、秘鑰管理流程以及IPSEC流程的獨(dú)立性。同時(shí)，系統(tǒng)應(yīng)同時(shí)支持軟件與硬件加密技術(shù)要求，且預(yù)留出擴(kuò)展加密/認(rèn)證算法阿玉硬件加密方式接口。為提高數(shù)據(jù)傳輸效率，應(yīng)支持對(duì)報(bào)文先進(jìn)行壓縮后加密傳輸方式。用戶在實(shí)際應(yīng)用中，能夠根據(jù)自身需求來選擇是否選擇應(yīng)用安全訪問服務(wù)，以及安全協(xié)議與加密/認(rèn)證算法等。

2.2系統(tǒng)結(jié)構(gòu)框架

IPSEC安全系統(tǒng)主要包括IEK模塊、接口模塊、用戶配置管理模塊、ASD數(shù)據(jù)庫(kù)、SA管理模塊、IPSEC處理模塊等，對(duì)于不同模塊其所具有的功能不同。其中，IPSEC處理模塊主要完成ESP協(xié)議與AH協(xié)議的實(shí)施，可以對(duì)外出包增加一個(gè)或者多個(gè)IPSEC頭，且對(duì)于隧道模式與傳送模式下的數(shù)據(jù)包進(jìn)行有效處理，且可以根據(jù)IPSEC包荷載類型，將其傳送到與操作系統(tǒng)相對(duì)應(yīng)的內(nèi)核處理程序。

2.3系統(tǒng)模塊功能

1、IKE模塊。此模塊主要負(fù)責(zé)通信雙方間SA的建立，確保能夠?qū)崿F(xiàn)與SADB和IPSEC基本協(xié)議的交互，且用戶可以手動(dòng)啟動(dòng)IKE協(xié)商。IKE模塊為用戶級(jí)進(jìn)程，其與內(nèi)核空間交互較少，只需要在IPSEC SA建立時(shí)啟動(dòng)，且作為后臺(tái)守護(hù)程序運(yùn)行。

2、接口模塊。用戶管理配置模塊與IKE模塊為系統(tǒng)應(yīng)用層，SA管理模塊在系統(tǒng)核心層，且通過接口模塊來實(shí)現(xiàn)之間的交互，采用IPSEC協(xié)議規(guī)定的PE-KEY協(xié)議接口通信，其為PF-ROUTE協(xié)議衍生而來的Socket協(xié)議，進(jìn)程只需要調(diào)用接口建立一個(gè)Socket即收發(fā)消息，并不使用任何Socket地址。

3、用戶配置管理模塊。此模塊可以顯示系統(tǒng)運(yùn)行狀態(tài)，且為用戶提供狀態(tài)設(shè)置服務(wù)，為IKE模塊守護(hù)進(jìn)程的正常運(yùn)行提供所有所需參數(shù)。其中，狀態(tài)設(shè)置服務(wù)包括協(xié)商隧道的啟閉，以及協(xié)商和刪除SA，系統(tǒng)運(yùn)行所需參數(shù)包括用戶自身以及對(duì)方身份信息、協(xié)商策略、秘鑰信息、協(xié)商時(shí)機(jī)等。在用戶實(shí)際應(yīng)用中可以通過此模塊來傳達(dá)各項(xiàng)指令

4、SAD模塊。主機(jī)系統(tǒng)進(jìn)入或外出的數(shù)據(jù)包，均需要搜索相應(yīng)的SAD，查詢數(shù)據(jù)包頭中解析出相匹配的條目，查詢到后對(duì)該SA參數(shù)與AH或者ESP頭中相關(guān)參數(shù)進(jìn)行對(duì)比，如果對(duì)比結(jié)果一致，選擇處理操作，否則丟棄該數(shù)據(jù)包。如果未從SAD中查詢到相匹配條目，如果進(jìn)入的為數(shù)據(jù)包，則將其丟棄；如果輸出的為數(shù)據(jù)包，則由IKE模塊來創(chuàng)建SA，且將其輸入到SAD內(nèi)。

2.4實(shí)現(xiàn)驅(qū)動(dòng)引擎

一方面，接受包進(jìn)行處理，如果鏈路層數(shù)據(jù)達(dá)到網(wǎng)卡，將其傳輸給內(nèi)核標(biāo)準(zhǔn)IP處理程序，通過IP分片重組處理，調(diào)用IPSEC進(jìn)入到處理模塊。經(jīng)過IPSEC處理后，對(duì)IP包進(jìn)行重新組裝，并將其發(fā)送到內(nèi)核標(biāo)準(zhǔn)IP處理入口。再次IP處理后，最終到達(dá)傳輸層進(jìn)行處理。另一方面，發(fā)送包處理。在接收到傳輸層數(shù)據(jù)后，首先將其傳輸給內(nèi)核標(biāo)準(zhǔn)IP處理程序，經(jīng)過IP分片外出包處理后，調(diào)用IPSEC外出處理模塊。然后經(jīng)過IPSEC外出處理，將數(shù)據(jù)包發(fā)送到內(nèi)核標(biāo)準(zhǔn)IP層外出處理入口。最后進(jìn)行IP分片以及層外處理，重新路由后將其發(fā)送到鏈路層并進(jìn)入網(wǎng)卡。此種處理方式中，IPSEC處理模塊于內(nèi)核處理來說為一個(gè)完全獨(dú)立的部分，IPSEC處理程序在運(yùn)行時(shí)基本上不會(huì)對(duì)內(nèi)核內(nèi)容進(jìn)行修改。

結(jié)束語：IPSEC協(xié)議為安全協(xié)議的集合，對(duì)提高數(shù)據(jù)包傳輸安全性具有重要意義。將其應(yīng)用到安全技術(shù)中，在研究時(shí)需要基于其所具有的技術(shù)特點(diǎn)，以滿足實(shí)際運(yùn)行需求為目的，詳細(xì)分析不同模塊功能，建立安全運(yùn)行系統(tǒng)。

參 考 文 獻(xiàn)

[1] 王妍.基于IPSec的VPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2013.

[2] 劉幫濤.基于IPSec網(wǎng)絡(luò)安全協(xié)議的研究及實(shí)現(xiàn)[D].電子科技大學(xué)，2010.