試析IPsec在計(jì)算機(jī)網(wǎng)絡(luò)通信中的應(yīng)用

摘 要：我國的信息技術(shù)產(chǎn)業(yè)隨著加入世界貿(mào)易組織的時(shí)間越來越長而有了跨越性的發(fā)展，其中計(jì)算機(jī)產(chǎn)業(yè)是發(fā)展猶為迅速的產(chǎn)業(yè)之一。在發(fā)展的同時(shí)網(wǎng)絡(luò)安全隱患也逐漸顯現(xiàn)，這時(shí)IPsec的作用就得以展現(xiàn)。IPsec已經(jīng)發(fā)現(xiàn)成為一種較為完善的安全保護(hù)技術(shù)，運(yùn)用了IPsec技術(shù)的一些軟件被廣泛的作用在了網(wǎng)絡(luò)安全保護(hù)工作上，擔(dān)任了重要的角色。比如Linux中的Frees/WAN，這些是比較成熟的產(chǎn)品，Microsoft操作系統(tǒng)以及UNIX系列上也有運(yùn)用了IPsec技術(shù)的軟件供用戶使用。本文主要是從IPsec和NET協(xié)同合作的問題上著手研究IPsec技術(shù)對數(shù)據(jù)包的加密和數(shù)字簽名等等的一系列操作和IPsec在計(jì)算機(jī)網(wǎng)絡(luò)通信中的應(yīng)用 這兩個(gè)方面來主要描述。

關(guān)鍵詞：信息技術(shù)；IPsec；網(wǎng)絡(luò)通信；應(yīng)用

1 IPSsec協(xié)議簡介

IPsec是指IETF公布的一組以RFC形式描述的IP協(xié)議集，實(shí)在IP包級時(shí)為現(xiàn)有的IP業(yè)務(wù)提供的安全協(xié)議標(biāo)準(zhǔn)。IPsec的基本目的技術(shù)把安全機(jī)制和TCP/IP相結(jié)合，并且通過現(xiàn)代的高科技技術(shù)進(jìn)行加密使其更加具有機(jī)密性和認(rèn)證性。使用的用戶可以通過選擇來確定是使用的安全服務(wù)，并且可以達(dá)到期望的效果。IPsec協(xié)議主要是包括AH、ESP、IKE和IPsec。

IPsec的主要存在優(yōu)點(diǎn)：IPsec定義了一整套用于認(rèn)證和保護(hù)完整性、私有性的標(biāo)準(zhǔn)協(xié)議，IPsec支持一系列的加密算法例如DES、3DES、AES等，運(yùn)用了IPsec技術(shù)來檢查傳輸?shù)陌欠窬哂邪踩院痛_保數(shù)據(jù)包內(nèi)的數(shù)據(jù)沒有被修改。IPsec被廣泛的應(yīng)用在許多場合，大至保護(hù)國家機(jī)關(guān)的網(wǎng)關(guān)機(jī)與用戶之間的協(xié)議小至保護(hù)用戶與用戶之間傳輸?shù)奈募?、?shù)據(jù)。

2 IPsec和NET間的協(xié)作

與大多數(shù)的包交換網(wǎng)絡(luò)一樣，因特網(wǎng)也是建立在IP協(xié)議之上的傳輸。IP是使用一個(gè)16Byte的頭校驗(yàn)和來確定數(shù)據(jù)是否完整，但是IP本身確實(shí)不安全的，在傳輸?shù)倪^程中IP及其容易被捕獲、攔截、重放、修改。這時(shí)IPsec就解決了IP在網(wǎng)絡(luò)層的傳輸問題，IPsec的加密機(jī)制為Internet上數(shù)據(jù)的傳輸提供了保障。不僅如此，IPsec還可以為其IP層以上的高層協(xié)議提供安全保護(hù)，并且IPsec也是一種比較簡單易懂很容易進(jìn)行推廣的安全網(wǎng)絡(luò)基礎(chǔ)方案。我們現(xiàn)在就以IPV4或者IPV6下的IPsec與防火墻協(xié)同問題研究為主要研究課題來進(jìn)行探討IPsec與NET之間的合作。

IPsec和防火墻是計(jì)算機(jī)通信中最常見的兩種安全保護(hù)技術(shù)。IPsec主要是對特定的連接的認(rèn)證機(jī)制和加密機(jī)制進(jìn)行保護(hù)，在傳輸過程中IPsec會最大限度的屏蔽數(shù)據(jù)包的內(nèi)容才能達(dá)到保護(hù)的作用防止數(shù)據(jù)包內(nèi)數(shù)據(jù)被攻擊。相反防火墻則是關(guān)注網(wǎng)絡(luò)間連接種類比較多，它會根據(jù)上層的協(xié)議進(jìn)行包過濾來阻止非法想要進(jìn)入主機(jī)的入侵者。以上可以看出兩者之間具有互補(bǔ)性，但是事物的好壞具有相對性，有利必有弊防火墻和IPSsec同樣也存在以下幾方面的不兼容問題。

（1）由于防火墻不能看到數(shù)據(jù)包的內(nèi)容所以很難運(yùn)行安全策略，因此防火墻對內(nèi)部網(wǎng)絡(luò)的保護(hù)能力被削弱。同時(shí)防火墻保護(hù)了主機(jī)中的配置，但卻也很容易使這些中間節(jié)點(diǎn)與外界建立連接，從而降低了保密性和私有性使數(shù)據(jù)包的加密不再有意義。

（2）無論是防火墻與防火墻還是防火墻與主機(jī)之間的聯(lián)系都能被內(nèi)網(wǎng)的主機(jī)嗅到，這就加大了IPsec與防火墻的安全隱患。

綜上所述，我們應(yīng)該加強(qiáng)IPsec與防火墻的協(xié)同工作。

IPsec與防火墻的沖突在于防火墻要對數(shù)據(jù)包的報(bào)頭部分進(jìn)行檢測以確保數(shù)據(jù)包的安全性，但是IPsec協(xié)議卻又在保護(hù)整個(gè)數(shù)據(jù)包的安全性和保密性使得防火墻無法完成工作，從而產(chǎn)生沖突。所以將數(shù)據(jù)包的報(bào)頭部分和數(shù)據(jù)部分分開操作是不可避免的。

接收端和發(fā)送端會對數(shù)據(jù)包的數(shù)據(jù)部分進(jìn)行接收和處理，達(dá)到從一個(gè)網(wǎng)絡(luò)到達(dá)另一個(gè)網(wǎng)絡(luò)并且進(jìn)行有利的保護(hù)的目的。而防火墻和主機(jī)之間用于對IP報(bào)文的協(xié)議頭進(jìn)行處理，這時(shí)由防火墻的內(nèi)部主機(jī)來扮演通道這一角色，即在傳輸中間加入IPsec的加密步驟并且結(jié)合IDS達(dá)到不被外界攻擊和修改的目的。

3 IPsec在計(jì)算機(jī)網(wǎng)絡(luò)通信中的應(yīng)用

3.1 IPsec中的SA

IPsec中的安全聯(lián)盟（SA）是能夠構(gòu)成IPsec的主要基礎(chǔ)。SA是兩個(gè)IPsec經(jīng)過協(xié)商后簡歷起的一種共同的協(xié)定：規(guī)定了傳輸?shù)碾p方應(yīng)該用什么IPsc來保護(hù)數(shù)據(jù)的安全性、加密、認(rèn)證的密鑰獲取和安全認(rèn)證密鑰的生存周期等等的一系列問題。

一個(gè)SA主要是由安全協(xié)議標(biāo)示符、安全參數(shù)索引（SPI）和目的IP地址確定的，SPI一般是一個(gè)32位的數(shù)字由目的端點(diǎn)來選擇，安全協(xié)議標(biāo)識符則是針對（50）（51）兩個(gè)端口的協(xié)議號。由于SA是單工的所以想要實(shí)現(xiàn)兩個(gè)實(shí)體對IPsec的雙向使用就要兩個(gè)SA，一個(gè)SA負(fù)責(zé)一個(gè)方向。SA通過一種類似于IKE的密鑰管理通信協(xié)議在通信雙方建立對等協(xié)議，當(dāng)SA協(xié)商完成后兩個(gè)對等雙方都在他們各自的安全聯(lián)盟數(shù)據(jù)庫中存儲了該SA的數(shù)據(jù)參數(shù)。

3.2 IPsec中的安全數(shù)據(jù)庫（SAD）

為了方便IPsec數(shù)據(jù)流的處理，IPsec中定義了兩個(gè)數(shù)據(jù)庫那就是：安全聯(lián)盟數(shù)據(jù)庫SAD和安全策略數(shù)據(jù)庫SPD。簡單地說就是SPD進(jìn)行指定到達(dá)特定主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)策劃流而SAD則是用于存儲SA的相關(guān)數(shù)據(jù)。

SPD是一個(gè)用于保護(hù)IP報(bào)文安全的策略數(shù)據(jù)表，IPsec通常在數(shù)據(jù)包內(nèi)提取的選擇字符段有：源IP地址、目的IP地址、源或者目的端口、傳輸層協(xié)議、數(shù)據(jù)敏感級別。一個(gè)IP報(bào)文的傳輸和接收一共是有三個(gè)可以選擇的操作：應(yīng)用IPsec安全服務(wù)、允許IP報(bào)文通過IPsec和不允許IP報(bào)文通過IPsec協(xié)議。當(dāng)在SPD中沒有尋找到相匹配的條目時(shí)句選擇它的默認(rèn)策略：丟棄IP報(bào)文即不允許通過IPsec協(xié)議。

SAD是SA相關(guān)參數(shù)的集合，每一個(gè)SA在SAD里面都有一個(gè)條目，這個(gè)條目包含以下幾個(gè)域：

安全參數(shù)索引、協(xié)議的運(yùn)行模式、抗重播窗口、安全聯(lián)盟的目的IP和源IP、加密算法以及加密秘鑰、安全聯(lián)盟的生命周期、身份驗(yàn)證和加密秘鑰的生命周期、驗(yàn)證算法和驗(yàn)證密鑰、最大傳送單元路徑、序列號計(jì)數(shù)器和用于安全聯(lián)盟的協(xié)議。

IP報(bào)文分為出站和入站兩種，入站時(shí)通過IPsec協(xié)議和IP報(bào)文內(nèi)容還有SPI在SAD里面查找是否有相匹配的SA。若找到了則按照安全服務(wù)來進(jìn)行處理這個(gè)報(bào)文，該報(bào)文服從SPD的規(guī)則。若沒有找到則不允許入站。相反的出站時(shí)先查找SPD中有沒有相匹配的策略若是有則檢索SAD中是否已經(jīng)建立安全聯(lián)盟條目并根據(jù)該條目對其進(jìn)行出站處理。若是沒有則將新的SA和這個(gè)IP報(bào)文一同存入SAD中。

4 IPsec與NAT之間存在的兼容性問題

IPsec與NAT之間的不兼容性主要是表現(xiàn)在IKE和NAT之間的不兼容和AH及ESP和NAT之間的不兼容性。下面我們進(jìn)行分別得探討：

4.1 IKE和NAT之間的不兼容

現(xiàn)有的IKE不支持和NAT之間的協(xié)同工作時(shí)是無法完成通信的，只有當(dāng)雙方都支持穿越NAT的功能才能進(jìn)行通信。因此我們應(yīng)該探測雙方主機(jī)是否有NAT穿越功能。

IEK雙方能否感知到NAT的存在也是一個(gè)不容忽視的問題，當(dāng)傳輸雙方其中一方不能感受到NAT那么通信雙方之間是不能建立起協(xié)同工作的。只有通過更改IP數(shù)據(jù)包內(nèi)的相應(yīng)IP端口號來工作。具體實(shí)現(xiàn)方法為：利用發(fā)送方的IP地址端口號進(jìn)行HASH的運(yùn)算并將結(jié)果傳送到對方主機(jī)，接收方也進(jìn)行相同的HASH運(yùn)算要是得到的結(jié)果不相同則代表有NAT相反的，若是結(jié)果不相同則代表NAT是相同的不能進(jìn)行傳輸。

4.2 傳輸模式中ESP與NAT不兼容的問題

當(dāng)源端口的IP地址被NAT改變了的時(shí)候同時(shí)也會改變IP頭和TCP/UDP的校驗(yàn)和。ESP傳輸模式在經(jīng)過NAT的時(shí)候TCP/UDP校驗(yàn)和還處于加密的狀態(tài)，NAT不能進(jìn)行新的校驗(yàn)和的產(chǎn)生，當(dāng)TCP/UDP經(jīng)過NAT包需要解密時(shí)由于原來的TCP/UDP已經(jīng)被改變所以無法產(chǎn)生原有的解密密鑰，這個(gè)數(shù)據(jù)包就不會通過校驗(yàn)也就是無法被接受。

在隧道模式中卻不同，因?yàn)樗淼滥Ｊ街贿\(yùn)用了內(nèi)部的IP包，而內(nèi)部的IP包是不會被改變的，所以不會存在這種問題。

5 結(jié)束語

根據(jù)以上論述我們可以看出IPsec在實(shí)際應(yīng)用上還是不夠完善，有很大的提高空間。本文只是提供了一個(gè)大致的方向，具體的施行方法有許多，應(yīng)該按照具體的狀況來進(jìn)行選擇。時(shí)代在進(jìn)步，人們越來越多的使用網(wǎng)絡(luò)來進(jìn)行交流，這就使網(wǎng)絡(luò)的安全性成為了人們關(guān)注的一大焦點(diǎn)，IPsec作為一個(gè)重要的安全通信協(xié)議在網(wǎng)絡(luò)通信中很多產(chǎn)品都是以其為基礎(chǔ)進(jìn)行制造和改進(jìn)的。本文主要討論了IPsec的新的環(huán)境下的應(yīng)用，主要是從NAT網(wǎng)絡(luò)環(huán)境下和移動IP環(huán)境下兩方面進(jìn)行深入的了解并對IPsec與NAT的不和諧的地方進(jìn)行了仔細(xì)的分析和修改。在移動IP環(huán)境中在內(nèi)核中尋找SA的條件，通過這個(gè)條件我們可使IPsec與IKE協(xié)商的次數(shù)大大減少。針對以上的兩個(gè)問題我們也給出了相應(yīng)的解決方案，但是這只是一個(gè)初步的解決方案僅供參考還需提高和改進(jìn)。

參考文獻(xiàn)

[1]趙志峰，鄭少仁.移動IP的優(yōu)化[A].開創(chuàng)世紀(jì)的通信技術(shù)-第七屆全國青年通信學(xué)術(shù)會議論文集，2001.

[2]黃卿，黃智，王文東.具有VPN功能防火墻的設(shè)計(jì)與實(shí)現(xiàn)[A].開創(chuàng)世紀(jì)的通信技術(shù)-第七屆全國青年通信學(xué)術(shù)會議論文集，2001.

[3]元杰.數(shù)據(jù)加密[J].電腦報(bào)，2000.

[4]郭永艷，段林茂，陳德清.IPsec與防火墻兼容問題研究[J].浙江大學(xué)學(xué)報(bào)，2005.

[5]鄒瑩.基于Linux主機(jī)的IPV6防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識與技術(shù)教育論壇，2006.

[6]楊豐瑞，李方偉等.移動IP[M].北京：北京人民郵電出版社，2003.9.PP：22-34.

[7]William Stallings Cryptography and Network Security： Principles and Practice （second edition）[M].北京清華大學(xué)出版社，2002.PP：421-440.

[8]蔣韜，劉積仁.一種虛擬私有網(wǎng)絡(luò)模型的設(shè)計(jì)與實(shí)現(xiàn)[J].東北大學(xué)學(xué)報(bào)，2000，21（2）：136-139.