基于IPSEC協議的網絡安全技術應用分析

王歡

【摘要】 IPSEC協議為一組網絡安全協議集合，具有更高靈活性、透明性以及安全性特點，能夠為網絡上所傳輸的各項信息提供保護，實現IP數據運行使用的安全性。本文對IPSEC協議在網絡安全技術中的應用進行了簡要分析。

【關鍵詞】 IPSEC協議 網絡安全 密鑰

面對網絡信息安全問題，針對IP網絡通信安全性與保密性，可以基于IPSEC協議進行研究，其為安全協議的集合，可以提供對傳送、接收端數據認證，以及完整性檢查，對提高網絡安全具有重要意義。

一、IPSEC協議工作原理分析

IPSEC協議工作原理與包過濾防火墻運行相似，在獲得一個IP數據包以后，利用包過濾防火墻頭部實施匹配處理，將此數據包放置在規格表內。再次找到一個規則且可以與該數據包進行匹配，則以制定規則的基本原則為依據，對前面獲得數據包進行丟棄或轉發操作。對于IPSEC協議來說，運行時主要是通過查詢SD相關信息，并將查詢到的結果作為處理數據包的依據，與包過濾防火墻處理相比，IPSEC對數據包的處理，除了丟棄與轉發兩種操作外，還具有第三種處理方式，即IPSEC操作[2]。

二、基于IPSEC協議安全技術應用分析

2.1系統設計目標

系統內要保證數據加、解密流程以及算法的獨立性，且可以實現用戶自己對加密、認證算法的擴展。對于AH協議與ESP協議間要保持相互獨立，可以結合實際需求選擇獨立或者聯合運行方式。還需要保證加密流程與解密流程的獨立性、秘鑰管理流程以及IPSEC流程的獨立性。同時，系統應同時支持軟件與硬件加密技術要求，且預留出擴展加密/認證算法阿玉硬件加密方式接口。為提高數據傳輸效率，應支持對報文先進行壓縮后加密傳輸方式。用戶在實際應用中，能夠根據自身需求來選擇是否選擇應用安全訪問服務，以及安全協議與加密/認證算法等。

2.2系統結構框架

IPSEC安全系統主要包括IEK模塊、接口模塊、用戶配置管理模塊、ASD數據庫、SA管理模塊、IPSEC處理模塊等，對于不同模塊其所具有的功能不同。其中，IPSEC處理模塊主要完成ESP協議與AH協議的實施，可以對外出包增加一個或者多個IPSEC頭，且對于隧道模式與傳送模式下的數據包進行有效處理，且可以根據IPSEC包荷載類型，將其傳送到與操作系統相對應的內核處理程序。

2.3系統模塊功能

1、IKE模塊。此模塊主要負責通信雙方間SA的建立，確保能夠實現與SADB和IPSEC基本協議的交互，且用戶可以手動啟動IKE協商。IKE模塊為用戶級進程，其與內核空間交互較少，只需要在IPSEC SA建立時啟動，且作為后臺守護程序運行。

2、接口模塊。用戶管理配置模塊與IKE模塊為系統應用層，SA管理模塊在系統核心層，且通過接口模塊來實現之間的交互，采用IPSEC協議規定的PE-KEY協議接口通信，其為PF-ROUTE協議衍生而來的Socket協議，進程只需要調用接口建立一個Socket即收發消息，并不使用任何Socket地址。

3、用戶配置管理模塊。此模塊可以顯示系統運行狀態，且為用戶提供狀態設置服務，為IKE模塊守護進程的正常運行提供所有所需參數。其中，狀態設置服務包括協商隧道的啟閉，以及協商和刪除SA，系統運行所需參數包括用戶自身以及對方身份信息、協商策略、秘鑰信息、協商時機等。在用戶實際應用中可以通過此模塊來傳達各項指令

4、SAD模塊。主機系統進入或外出的數據包，均需要搜索相應的SAD，查詢數據包頭中解析出相匹配的條目，查詢到后對該SA參數與AH或者ESP頭中相關參數進行對比，如果對比結果一致，選擇處理操作，否則丟棄該數據包。如果未從SAD中查詢到相匹配條目，如果進入的為數據包，則將其丟棄；如果輸出的為數據包，則由IKE模塊來創建SA，且將其輸入到SAD內。

2.4實現驅動引擎

一方面，接受包進行處理，如果鏈路層數據達到網卡，將其傳輸給內核標準IP處理程序，通過IP分片重組處理，調用IPSEC進入到處理模塊。經過IPSEC處理后，對IP包進行重新組裝，并將其發送到內核標準IP處理入口。再次IP處理后，最終到達傳輸層進行處理。另一方面，發送包處理。在接收到傳輸層數據后，首先將其傳輸給內核標準IP處理程序，經過IP分片外出包處理后，調用IPSEC外出處理模塊。然后經過IPSEC外出處理，將數據包發送到內核標準IP層外出處理入口。最后進行IP分片以及層外處理，重新路由后將其發送到鏈路層并進入網卡。此種處理方式中，IPSEC處理模塊于內核處理來說為一個完全獨立的部分，IPSEC處理程序在運行時基本上不會對內核內容進行修改。

結束語：IPSEC協議為安全協議的集合，對提高數據包傳輸安全性具有重要意義。將其應用到安全技術中，在研究時需要基于其所具有的技術特點，以滿足實際運行需求為目的，詳細分析不同模塊功能，建立安全運行系統。

參 考 文 獻

[1] 王妍.基于IPSec的VPN系統設計與實現[D].電子科技大學，2013.

[2] 劉幫濤.基于IPSec網絡安全協議的研究及實現[D].電子科技大學，2010.