王歡

【摘要】 IPSEC協(xié)議為一組網(wǎng)絡(luò)安全協(xié)議集合，具有更高靈活性、透明性以及安全性特點，能夠為網(wǎng)絡(luò)上所傳輸?shù)母黜椥畔⑻峁┍Ｗo，實現(xiàn)IP數(shù)據(jù)運行使用的安全性。本文對IPSEC協(xié)議在網(wǎng)絡(luò)安全技術(shù)中的應用進行了簡要分析。

【關(guān)鍵詞】 IPSEC協(xié)議 網(wǎng)絡(luò)安全 密鑰

面對網(wǎng)絡(luò)信息安全問題，針對IP網(wǎng)絡(luò)通信安全性與保密性，可以基于IPSEC協(xié)議進行研究，其為安全協(xié)議的集合，可以提供對傳送、接收端數(shù)據(jù)認證，以及完整性檢查，對提高網(wǎng)絡(luò)安全具有重要意義。

一、IPSEC協(xié)議工作原理分析

IPSEC協(xié)議工作原理與包過濾防火墻運行相似，在獲得一個IP數(shù)據(jù)包以后，利用包過濾防火墻頭部實施匹配處理，將此數(shù)據(jù)包放置在規(guī)格表內(nèi)。再次找到一個規(guī)則且可以與該數(shù)據(jù)包進行匹配，則以制定規(guī)則的基本原則為依據(jù)，對前面獲得數(shù)據(jù)包進行丟棄或轉(zhuǎn)發(fā)操作。對于IPSEC協(xié)議來說，運行時主要是通過查詢SD相關(guān)信息，并將查詢到的結(jié)果作為處理數(shù)據(jù)包的依據(jù)，與包過濾防火墻處理相比，IPSEC對數(shù)據(jù)包的處理，除了丟棄與轉(zhuǎn)發(fā)兩種操作外，還具有第三種處理方式，即IPSEC操作[2]。

二、基于IPSEC協(xié)議安全技術(shù)應用分析

2.1系統(tǒng)設(shè)計目標

系統(tǒng)內(nèi)要保證數(shù)據(jù)加、解密流程以及算法的獨立性，且可以實現(xiàn)用戶自己對加密、認證算法的擴展。對于AH協(xié)議與ESP協(xié)議間要保持相互獨立，可以結(jié)合實際需求選擇獨立或者聯(lián)合運行方式。還需要保證加密流程與解密流程的獨立性、秘鑰管理流程以及IPSEC流程的獨立性。同時，系統(tǒng)應同時支持軟件與硬件加密技術(shù)要求，且預留出擴展加密/認證算法阿玉硬件加密方式接口。為提高數(shù)據(jù)傳輸效率，應支持對報文先進行壓縮后加密傳輸方式。用戶在實際應用中，能夠根據(jù)自身需求來選擇是否選擇應用安全訪問服務(wù)，以及安全協(xié)議與加密/認證算法等。

2.2系統(tǒng)結(jié)構(gòu)框架

IPSEC安全系統(tǒng)主要包括IEK模塊、接口模塊、用戶配置管理模塊、ASD數(shù)據(jù)庫、SA管理模塊、IPSEC處理模塊等，對于不同模塊其所具有的功能不同。其中，IPSEC處理模塊主要完成ESP協(xié)議與AH協(xié)議的實施，可以對外出包增加一個或者多個IPSEC頭，且對于隧道模式與傳送模式下的數(shù)據(jù)包進行有效處理，且可以根據(jù)IPSEC包荷載類型，將其傳送到與操作系統(tǒng)相對應的內(nèi)核處理程序。

2.3系統(tǒng)模塊功能

1、IKE模塊。此模塊主要負責通信雙方間SA的建立，確保能夠?qū)崿F(xiàn)與SADB和IPSEC基本協(xié)議的交互，且用戶可以手動啟動IKE協(xié)商。IKE模塊為用戶級進程，其與內(nèi)核空間交互較少，只需要在IPSEC SA建立時啟動，且作為后臺守護程序運行。

2、接口模塊。用戶管理配置模塊與IKE模塊為系統(tǒng)應用層，SA管理模塊在系統(tǒng)核心層，且通過接口模塊來實現(xiàn)之間的交互，采用IPSEC協(xié)議規(guī)定的PE-KEY協(xié)議接口通信，其為PF-ROUTE協(xié)議衍生而來的Socket協(xié)議，進程只需要調(diào)用接口建立一個Socket即收發(fā)消息，并不使用任何Socket地址。

3、用戶配置管理模塊。此模塊可以顯示系統(tǒng)運行狀態(tài)，且為用戶提供狀態(tài)設(shè)置服務(wù)，為IKE模塊守護進程的正常運行提供所有所需參數(shù)。其中，狀態(tài)設(shè)置服務(wù)包括協(xié)商隧道的啟閉，以及協(xié)商和刪除SA，系統(tǒng)運行所需參數(shù)包括用戶自身以及對方身份信息、協(xié)商策略、秘鑰信息、協(xié)商時機等。在用戶實際應用中可以通過此模塊來傳達各項指令

4、SAD模塊。主機系統(tǒng)進入或外出的數(shù)據(jù)包，均需要搜索相應的SAD，查詢數(shù)據(jù)包頭中解析出相匹配的條目，查詢到后對該SA參數(shù)與AH或者ESP頭中相關(guān)參數(shù)進行對比，如果對比結(jié)果一致，選擇處理操作，否則丟棄該數(shù)據(jù)包。如果未從SAD中查詢到相匹配條目，如果進入的為數(shù)據(jù)包，則將其丟棄；如果輸出的為數(shù)據(jù)包，則由IKE模塊來創(chuàng)建SA，且將其輸入到SAD內(nèi)。

2.4實現(xiàn)驅(qū)動引擎

一方面，接受包進行處理，如果鏈路層數(shù)據(jù)達到網(wǎng)卡，將其傳輸給內(nèi)核標準IP處理程序，通過IP分片重組處理，調(diào)用IPSEC進入到處理模塊。經(jīng)過IPSEC處理后，對IP包進行重新組裝，并將其發(fā)送到內(nèi)核標準IP處理入口。再次IP處理后，最終到達傳輸層進行處理。另一方面，發(fā)送包處理。在接收到傳輸層數(shù)據(jù)后，首先將其傳輸給內(nèi)核標準IP處理程序，經(jīng)過IP分片外出包處理后，調(diào)用IPSEC外出處理模塊。然后經(jīng)過IPSEC外出處理，將數(shù)據(jù)包發(fā)送到內(nèi)核標準IP層外出處理入口。最后進行IP分片以及層外處理，重新路由后將其發(fā)送到鏈路層并進入網(wǎng)卡。此種處理方式中，IPSEC處理模塊于內(nèi)核處理來說為一個完全獨立的部分，IPSEC處理程序在運行時基本上不會對內(nèi)核內(nèi)容進行修改。

結(jié)束語：IPSEC協(xié)議為安全協(xié)議的集合，對提高數(shù)據(jù)包傳輸安全性具有重要意義。將其應用到安全技術(shù)中，在研究時需要基于其所具有的技術(shù)特點，以滿足實際運行需求為目的，詳細分析不同模塊功能，建立安全運行系統(tǒng)。

參 考 文 獻

[1] 王妍.基于IPSec的VPN系統(tǒng)設(shè)計與實現(xiàn)[D].電子科技大學，2013.

[2] 劉幫濤.基于IPSec網(wǎng)絡(luò)安全協(xié)議的研究及實現(xiàn)[D].電子科技大學，2010.