王歡
【摘要】 IPSEC協(xié)議為一組網(wǎng)絡(luò)安全協(xié)議集合,具有更高靈活性、透明性以及安全性特點,能夠為網(wǎng)絡(luò)上所傳輸?shù)母黜椥畔⑻峁┍Wo,實現(xiàn)IP數(shù)據(jù)運行使用的安全性。本文對IPSEC協(xié)議在網(wǎng)絡(luò)安全技術(shù)中的應用進行了簡要分析。
【關(guān)鍵詞】 IPSEC協(xié)議 網(wǎng)絡(luò)安全 密鑰
面對網(wǎng)絡(luò)信息安全問題,針對IP網(wǎng)絡(luò)通信安全性與保密性,可以基于IPSEC協(xié)議進行研究,其為安全協(xié)議的集合,可以提供對傳送、接收端數(shù)據(jù)認證,以及完整性檢查,對提高網(wǎng)絡(luò)安全具有重要意義。
一、IPSEC協(xié)議工作原理分析
IPSEC協(xié)議工作原理與包過濾防火墻運行相似,在獲得一個IP數(shù)據(jù)包以后,利用包過濾防火墻頭部實施匹配處理,將此數(shù)據(jù)包放置在規(guī)格表內(nèi)。再次找到一個規(guī)則且可以與該數(shù)據(jù)包進行匹配,則以制定規(guī)則的基本原則為依據(jù),對前面獲得數(shù)據(jù)包進行丟棄或轉(zhuǎn)發(fā)操作。對于IPSEC協(xié)議來說,運行時主要是通過查詢SD相關(guān)信息,并將查詢到的結(jié)果作為處理數(shù)據(jù)包的依據(jù),與包過濾防火墻處理相比,IPSEC對數(shù)據(jù)包的處理,除了丟棄與轉(zhuǎn)發(fā)兩種操作外,還具有第三種處理方式,即IPSEC操作[2]。
二、基于IPSEC協(xié)議安全技術(shù)應用分析
2.1系統(tǒng)設(shè)計目標
系統(tǒng)內(nèi)要保證數(shù)據(jù)加、解密流程以及算法的獨立性,且可以實現(xiàn)用戶自己對加密、認證算法的擴展。對于AH協(xié)議與ESP協(xié)議間要保持相互獨立,可以結(jié)合實際需求選擇獨立或者聯(lián)合運行方式。還需要保證加密流程與解密流程的獨立性、秘鑰管理流程以及IPSEC流程的獨立性。同時,系統(tǒng)應同時支持軟件與硬件加密技術(shù)要求,且預留出擴展加密/認證算法阿玉硬件加密方式接口。為提高數(shù)據(jù)傳輸效率,應支持對報文先進行壓縮后加密傳輸方式。用戶在實際應用中,能夠根據(jù)自身需求來選擇是否選擇應用安全訪問服務(wù),以及安全協(xié)議與加密/認證算法等。
2.2系統(tǒng)結(jié)構(gòu)框架
IPSEC安全系統(tǒng)主要包括IEK模塊、接口模塊、用戶配置管理模塊、ASD數(shù)據(jù)庫、SA管理模塊、IPSEC處理模塊等,對于不同模塊其所具有的功能不同。其中,IPSEC處理模塊主要完成ESP協(xié)議與AH協(xié)議的實施,可以對外出包增加一個或者多個IPSEC頭,且對于隧道模式與傳送模式下的數(shù)據(jù)包進行有效處理,且可以根據(jù)IPSEC包荷載類型,將其傳送到與操作系統(tǒng)相對應的內(nèi)核處理程序。
2.3系統(tǒng)模塊功能
1、IKE模塊。此模塊主要負責通信雙方間SA的建立,確保能夠?qū)崿F(xiàn)與SADB和IPSEC基本協(xié)議的交互,且用戶可以手動啟動IKE協(xié)商。IKE模塊為用戶級進程,其與內(nèi)核空間交互較少,只需要在IPSEC SA建立時啟動,且作為后臺守護程序運行。
2、接口模塊。用戶管理配置模塊與IKE模塊為系統(tǒng)應用層,SA管理模塊在系統(tǒng)核心層,且通過接口模塊來實現(xiàn)之間的交互,采用IPSEC協(xié)議規(guī)定的PE-KEY協(xié)議接口通信,其為PF-ROUTE協(xié)議衍生而來的Socket協(xié)議,進程只需要調(diào)用接口建立一個Socket即收發(fā)消息,并不使用任何Socket地址。
3、用戶配置管理模塊。此模塊可以顯示系統(tǒng)運行狀態(tài),且為用戶提供狀態(tài)設(shè)置服務(wù),為IKE模塊守護進程的正常運行提供所有所需參數(shù)。其中,狀態(tài)設(shè)置服務(wù)包括協(xié)商隧道的啟閉,以及協(xié)商和刪除SA,系統(tǒng)運行所需參數(shù)包括用戶自身以及對方身份信息、協(xié)商策略、秘鑰信息、協(xié)商時機等。在用戶實際應用中可以通過此模塊來傳達各項指令
4、SAD模塊。主機系統(tǒng)進入或外出的數(shù)據(jù)包,均需要搜索相應的SAD,查詢數(shù)據(jù)包頭中解析出相匹配的條目,查詢到后對該SA參數(shù)與AH或者ESP頭中相關(guān)參數(shù)進行對比,如果對比結(jié)果一致,選擇處理操作,否則丟棄該數(shù)據(jù)包。如果未從SAD中查詢到相匹配條目,如果進入的為數(shù)據(jù)包,則將其丟棄;如果輸出的為數(shù)據(jù)包,則由IKE模塊來創(chuàng)建SA,且將其輸入到SAD內(nèi)。
2.4實現(xiàn)驅(qū)動引擎
一方面,接受包進行處理,如果鏈路層數(shù)據(jù)達到網(wǎng)卡,將其傳輸給內(nèi)核標準IP處理程序,通過IP分片重組處理,調(diào)用IPSEC進入到處理模塊。經(jīng)過IPSEC處理后,對IP包進行重新組裝,并將其發(fā)送到內(nèi)核標準IP處理入口。再次IP處理后,最終到達傳輸層進行處理。另一方面,發(fā)送包處理。在接收到傳輸層數(shù)據(jù)后,首先將其傳輸給內(nèi)核標準IP處理程序,經(jīng)過IP分片外出包處理后,調(diào)用IPSEC外出處理模塊。然后經(jīng)過IPSEC外出處理,將數(shù)據(jù)包發(fā)送到內(nèi)核標準IP層外出處理入口。最后進行IP分片以及層外處理,重新路由后將其發(fā)送到鏈路層并進入網(wǎng)卡。此種處理方式中,IPSEC處理模塊于內(nèi)核處理來說為一個完全獨立的部分,IPSEC處理程序在運行時基本上不會對內(nèi)核內(nèi)容進行修改。
結(jié)束語:IPSEC協(xié)議為安全協(xié)議的集合,對提高數(shù)據(jù)包傳輸安全性具有重要意義。將其應用到安全技術(shù)中,在研究時需要基于其所具有的技術(shù)特點,以滿足實際運行需求為目的,詳細分析不同模塊功能,建立安全運行系統(tǒng)。
參 考 文 獻
[1] 王妍.基于IPSec的VPN系統(tǒng)設(shè)計與實現(xiàn)[D].電子科技大學,2013.
[2] 劉幫濤.基于IPSec網(wǎng)絡(luò)安全協(xié)議的研究及實現(xiàn)[D].電子科技大學,2010.