基于IPSEC协议的网络安全技术应用分析

来源 :中国新通信 | 被引量 : 0次 | 上传用户:l040685
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】 IPSEC协议为一组网络安全协议集合,具有更高灵活性、透明性以及安全性特点,能够为网络上所传输的各项信息提供保护,实现IP数据运行使用的安全性。本文对IPSEC协议在网络安全技术中的应用进行了简要分析。
  【关键词】 IPSEC协议 网络安全 密钥
  面对网络信息安全问题,针对IP网络通信安全性与保密性,可以基于IPSEC协议进行研究,其为安全协议的集合,可以提供对传送、接收端数据认证,以及完整性检查,对提高网络安全具有重要意义。
  一、IPSEC协议工作原理分析
  IPSEC协议工作原理与包过滤防火墙运行相似,在获得一个IP数据包以后,利用包过滤防火墙头部实施匹配处理,将此数据包放置在规格表内。再次找到一个规则且可以与该数据包进行匹配,则以制定规则的基本原则为依据,对前面获得数据包进行丢弃或转发操作。对于IPSEC协议来说,运行时主要是通过查询SD相关信息,并将查询到的结果作为处理数据包的依据,与包过滤防火墙处理相比,IPSEC对数据包的处理,除了丢弃与转发两种操作外,还具有第三种处理方式,即IPSEC操作[2]。
  二、基于IPSEC协议安全技术应用分析
  2.1系统设计目标
  系统内要保证数据加、解密流程以及算法的独立性,且可以实现用户自己对加密、认证算法的扩展。对于AH协议与ESP协议间要保持相互独立,可以结合实际需求选择独立或者联合运行方式。还需要保证加密流程与解密流程的独立性、秘钥管理流程以及IPSEC流程的独立性。同时,系统应同时支持软件与硬件加密技术要求,且预留出扩展加密/认证算法阿玉硬件加密方式接口。为提高数据传输效率,应支持对报文先进行压缩后加密传输方式。用户在实际应用中,能够根据自身需求来选择是否选择应用安全访问服务,以及安全协议与加密/认证算法等。
  2.2系统结构框架
  IPSEC安全系统主要包括IEK模块、接口模块、用户配置管理模块、ASD数据库、SA管理模块、IPSEC处理模块等,对于不同模块其所具有的功能不同。其中,IPSEC处理模块主要完成ESP协议与AH协议的实施,可以对外出包增加一个或者多个IPSEC头,且对于隧道模式与传送模式下的数据包进行有效处理,且可以根据IPSEC包荷载类型,将其传送到与操作系统相对应的内核处理程序。
  2.3系统模块功能
  1、IKE模块。此模块主要负责通信双方间SA的建立,确保能够实现与SADB和IPSEC基本协议的交互,且用户可以手动启动IKE协商。IKE模块为用户级进程,其与内核空间交互较少,只需要在IPSEC SA建立时启动,且作为后台守护程序运行。
  2、接口模块。用户管理配置模块与IKE模块为系统应用层,SA管理模块在系统核心层,且通过接口模块来实现之间的交互,采用IPSEC协议规定的PE-KEY协议接口通信,其为PF-ROUTE协议衍生而来的Socket协议,进程只需要调用接口建立一个Socket即收发消息,并不使用任何Socket地址。
  3、用户配置管理模块。此模块可以显示系统运行状态,且为用户提供状态设置服务,为IKE模块守护进程的正常运行提供所有所需参数。其中,状态设置服务包括协商隧道的启闭,以及协商和删除SA,系统运行所需参数包括用户自身以及对方身份信息、协商策略、秘钥信息、协商时机等。在用户实际应用中可以通过此模块来传达各项指令
  4、SAD模块。主机系统进入或外出的数据包,均需要搜索相应的SAD,查询数据包头中解析出相匹配的条目,查询到后对该SA参数与AH或者ESP头中相关参数进行对比,如果对比结果一致,选择处理操作,否则丢弃该数据包。如果未从SAD中查询到相匹配条目,如果进入的为数据包,则将其丢弃;如果输出的为数据包,则由IKE模块来创建SA,且将其输入到SAD内。
  2.4实现驱动引擎
  一方面,接受包进行处理,如果链路层数据达到网卡,将其传输给内核标准IP处理程序,通过IP分片重组处理,调用IPSEC进入到处理模块。经过IPSEC处理后,对IP包进行重新组装,并将其发送到内核标准IP处理入口。再次IP处理后,最终到达传输层进行处理。另一方面,发送包处理。在接收到传输层数据后,首先将其传输给内核标准IP处理程序,经过IP分片外出包处理后,调用IPSEC外出处理模块。然后经过IPSEC外出处理,将数据包发送到内核标准IP层外出处理入口。最后进行IP分片以及层外处理,重新路由后将其发送到链路层并进入网卡。此种处理方式中,IPSEC处理模块于内核处理来说为一个完全独立的部分,IPSEC处理程序在运行时基本上不会对内核内容进行修改。
  结束语:IPSEC协议为安全协议的集合,对提高数据包传输安全性具有重要意义。将其应用到安全技术中,在研究时需要基于其所具有的技术特点,以满足实际运行需求为目的,详细分析不同模块功能,建立安全运行系统。
  参 考 文 献
  [1] 王妍.基于IPSec的VPN系统设计与实现[D].电子科技大学,2013.
  [2] 刘帮涛.基于IPSec网络安全协议的研究及实现[D].电子科技大学,2010.
其他文献
【摘要】 公共区域无线网络和监控作为智慧城市基础设施的重要组成部分,将承载政务服务、公共服务、社会治理、文化信息传播等多种应用。广电运营商利用自由资源与政府合作建设公共区域无线网络和监控系统基础设施,减轻政府一次性投资压力,实现无线网和监控点位的规模覆盖,达到政府满意、信息惠民的目标。  【关键词】 WLAN 无线 监控 广电 覆盖  引言  “宽带中国”战略提出无线局域网基本实现城市重要公共区域
新时期,文化成了热词,企业有企业文化,旅游有旅游文化,饮食有文化,服装有文化,总之,各行各业都有文化。借鉴各领域文化的启示,许多图书馆欲通过文化的视角研究管理问题,在管
应随科技的发展,计算机已经逐渐应用于社会的各行各业,广泛成为工作、生活的必须工具。作为致力于培养社会急需的非学术型实用性人才的高职院校,其培养的学生恰恰就是人类社会生
为测定薄荷中杀螨活性物质的毒力,分离鉴定该物质的分子结构,利用甲醇、氯仿和石油醚3种溶剂在常温下进行提取后,用液-液萃取法萃取,并用硅胶层析和薄层层析(TLC)结合碘显色法
本文以获奖图书《宇宙能源—聚变》的出版为例,就引进图书在各个环节应注意的细节做了详细记录和说明。并对画册类图书与黑白图书在排版制作以及校对等方面的经验进行了总结,
陈昀在长沙的街边开了一个小店子,专卖居家生活用品。她说,时至今日,经营几十平方米的小店铺,没几个好点子,就是晚上不睡觉也难以捣腾出“欣欣向荣”的景象。
近几年来,随着我国计算机技术的快速发展,我国的国民总体生活水平也得到了明显的提升,并且,在我国人民物质生活变的丰富起来的基础上,计算机数据信息的安全问题也成为了现如
物联网的崛起、3G业务的快速发展、三网融合的稳步推进为两岸合作提供了新的契机,双方的互补优势则为合作奠定了坚实的基础。
【摘要】 随着素质教育的不断深入推进,在教育过程中实施创新教育是提高教育质量的一个重要措施。计算机教学过程中,小组合作学习是一种全新的教学方法,本文就加强计算机教学过程中小组合作学习模式的应用策略进行分析和探讨,旨在提高计算机教学效率。  【关键词】 计算机教学 小组合作教学 教学方法 合作  在计算机教学过程中应该要不断实施创新教育、素质教育,是在当前的时代背景下对传统教育模式进行改革的一种重要
随着数字化的发展,图书馆电子阅览室管理系统逐渐变为医院图书馆的重要管理手段,但是,我国许多医院的电子阅览室在管理中有许多不足。而良好的管理模式不但能降低工作人员的