基于IPSEC协议的网络安全技术应用分析
2016-03-16王欢
王欢
【摘要】 IPSEC协议为一组网络安全协议集合,具有更高灵活性、透明性以及安全性特点,能够为网络上所传输的各项信息提供保护,实现IP数据运行使用的安全性。本文对IPSEC协议在网络安全技术中的应用进行了简要分析。
【关键词】 IPSEC协议 网络安全 密钥
面对网络信息安全问题,针对IP网络通信安全性与保密性,可以基于IPSEC协议进行研究,其为安全协议的集合,可以提供对传送、接收端数据认证,以及完整性检查,对提高网络安全具有重要意义。
一、IPSEC协议工作原理分析
IPSEC协议工作原理与包过滤防火墙运行相似,在获得一个IP数据包以后,利用包过滤防火墙头部实施匹配处理,将此数据包放置在规格表内。再次找到一个规则且可以与该数据包进行匹配,则以制定规则的基本原则为依据,对前面获得数据包进行丢弃或转发操作。对于IPSEC协议来说,运行时主要是通过查询SD相关信息,并将查询到的结果作为处理数据包的依据,与包过滤防火墙处理相比,IPSEC对数据包的处理,除了丢弃与转发两种操作外,还具有第三种处理方式,即IPSEC操作[2]。
二、基于IPSEC协议安全技术应用分析
2.1系统设计目标
系统内要保证数据加、解密流程以及算法的独立性,且可以实现用户自己对加密、认证算法的扩展。对于AH协议与ESP协议间要保持相互独立,可以结合实际需求选择独立或者联合运行方式。还需要保证加密流程与解密流程的独立性、秘钥管理流程以及IPSEC流程的独立性。同时,系统应同时支持软件与硬件加密技术要求,且预留出扩展加密/认证算法阿玉硬件加密方式接口。为提高数据传输效率,应支持对报文先进行压缩后加密传输方式。用户在实际应用中,能够根据自身需求来选择是否选择应用安全访问服务,以及安全协议与加密/认证算法等。
2.2系统结构框架
IPSEC安全系统主要包括IEK模块、接口模块、用户配置管理模块、ASD数据库、SA管理模块、IPSEC处理模块等,对于不同模块其所具有的功能不同。其中,IPSEC处理模块主要完成ESP协议与AH协议的实施,可以对外出包增加一个或者多个IPSEC头,且对于隧道模式与传送模式下的数据包进行有效处理,且可以根据IPSEC包荷载类型,将其传送到与操作系统相对应的内核处理程序。
2.3系统模块功能
1、IKE模块。此模块主要负责通信双方间SA的建立,确保能够实现与SADB和IPSEC基本协议的交互,且用户可以手动启动IKE协商。IKE模块为用户级进程,其与内核空间交互较少,只需要在IPSEC SA建立时启动,且作为后台守护程序运行。
2、接口模块。用户管理配置模块与IKE模块为系统应用层,SA管理模块在系统核心层,且通过接口模块来实现之间的交互,采用IPSEC协议规定的PE-KEY协议接口通信,其为PF-ROUTE协议衍生而来的Socket协议,进程只需要调用接口建立一个Socket即收发消息,并不使用任何Socket地址。
3、用户配置管理模块。此模块可以显示系统运行状态,且为用户提供状态设置服务,为IKE模块守护进程的正常运行提供所有所需参数。其中,状态设置服务包括协商隧道的启闭,以及协商和删除SA,系统运行所需参数包括用户自身以及对方身份信息、协商策略、秘钥信息、协商时机等。在用户实际应用中可以通过此模块来传达各项指令
4、SAD模块。主机系统进入或外出的数据包,均需要搜索相应的SAD,查询数据包头中解析出相匹配的条目,查询到后对该SA参数与AH或者ESP头中相关参数进行对比,如果对比结果一致,选择处理操作,否则丢弃该数据包。如果未从SAD中查询到相匹配条目,如果进入的为数据包,则将其丢弃;如果输出的为数据包,则由IKE模块来创建SA,且将其输入到SAD内。
2.4实现驱动引擎
一方面,接受包进行处理,如果链路层数据达到网卡,将其传输给内核标准IP处理程序,通过IP分片重组处理,调用IPSEC进入到处理模块。经过IPSEC处理后,对IP包进行重新组装,并将其发送到内核标准IP处理入口。再次IP处理后,最终到达传输层进行处理。另一方面,发送包处理。在接收到传输层数据后,首先将其传输给内核标准IP处理程序,经过IP分片外出包处理后,调用IPSEC外出处理模块。然后经过IPSEC外出处理,将数据包发送到内核标准IP层外出处理入口。最后进行IP分片以及层外处理,重新路由后将其发送到链路层并进入网卡。此种处理方式中,IPSEC处理模块于内核处理来说为一个完全独立的部分,IPSEC处理程序在运行时基本上不会对内核内容进行修改。
结束语:IPSEC协议为安全协议的集合,对提高数据包传输安全性具有重要意义。将其应用到安全技术中,在研究时需要基于其所具有的技术特点,以满足实际运行需求为目的,详细分析不同模块功能,建立安全运行系统。
参 考 文 献
[1] 王妍.基于IPSec的VPN系统设计与实现[D].电子科技大学,2013.
[2] 刘帮涛.基于IPSec网络安全协议的研究及实现[D].电子科技大学,2010.