试析IPsec在计算机网络通信中的应用

试析ipsec在计算机网络通信中的应用

1 ipssec协议简介

ipsec是指ietf公布的一组以rfc形式描述的ip协议集，实在ip包级时为现有的ip业务提供的安全协议标准。ipsec的基本目的技术把安全机制和tcp/ip相结合，并且通过现代的高科技技术进行加密使其更加具有机密性和认证性。使用的用户可以通过选择来确定是使用的安全服务，并且可以达到期望的效果。ipsec协议主要是包括ah、esp、ike和ipsec。

ipsec的主要存在优点：ipsec定义了一整套用于认证和保护完整性、私有性的标准协议，ipsec支持一系列的加密算法例如des、3des、aes等，运用了ipsec技术来检查传输的包是否具有安全性和确保数据包内的数据没有被修改。ipsec被广泛的应用在许多场合，大至保护国家机关的网关机与用户之间的协议小至保护用户与用户之间传输的文件、数据。

2 ipsec和net间的协作

与大多数的本文由论文联盟收集整理包交换网络一样，因特网也是建立在ip协议之上的传输。ip是使用一个16byte的头校验和来确定数据是否完整，但是ip本身确实不安全的，在传输的过程中ip及其容易被捕获、拦截、重放、修改。这时ipsec就解决了ip在网络层的传输问题，ipsec的加密机制为internet上数据的传输提供了保障。不仅如此，ipsec还可以为其ip层以上的高层协议提供安全保护，并且ipsec也是一种比较简单易懂很容易进行推广的安全网络基础方案。我们现在就以ipv4或者ipv6下的ipsec与防火墙协同问题研究为主要研究课题来进行探讨ipsec与net之间的合作。

ipsec和防火墙是计算机通信中最常见的两种安全保护技术。ipsec主要是对特定的连接的认证机制和加密机制进行保护，在传输过程中ipsec会最大限度的屏蔽数据包的内容才能达到保护的作用防止数据包内数据被攻击。相反防火墙则是关注网络间连接种类比较多，它会根据上层的协议进行包过滤来阻止非法想要进入主机的入侵者。以上可以看出两者之间具有互补性，但是事物的好坏具有相对性，有利必有弊防火墙和ipssec同样也存在以下几方面的不兼容问题。

（1）由于防火墙不能看到数据包的内容所以很难运行安全策略，因此防火墙对内部网络的保护能力被削弱。同时防火墙保护了主机中的配置，但却也很容易使这些中间节点与外界建立连接，从而降低了保密性和私有性使数据包的加密不再有意义。

（2）无论是防火墙与防火墙还是防火墙与主机之间的联系都能被内网的主机嗅到，这就加大了ipsec与防火墙的安全隐患。

综上所述，我们应该加强ipsec与防火墙的协同工作。

ipsec与防火墙的冲突在于防火墙要对数据包的报头部分进行检测以确保数据包的安全性，但是ipsec协议却又在保护整个数据包的安全性和保密性使得防火墙无法完成工作，从而产生冲突。所以将数据包的报头部分和数据部分分开操作是不可避免的。

接收端和发送端会对数据包的数据部分进行接收和处理，达到从一个网络到达另一个网络并且进行有利的保护的目的。而防火墙和主机之间用于对ip报文的协议头进行处理，这时由防火墙的内部主机来扮演通道这一角色，即在传输中间加入ipsec的加密步骤并且结合ids达到不被外界攻击和修改的目的。

3 ipsec在计算机网络通信中的应用

3.1 ipsec中的sa

ipsec中的安全联盟（sa）是能够构成ipsec的主要基础。sa是两个ipsec经过协商后简历起的一种共同的协定：规定了传输的双方应该用什么ipsc来保护数据的安全性、加密、认证的密钥获取和安全认证密钥的生存周期等等的一系列问题。

一个sa主要是由安全协议标示符、安全参数索引（spi）和目的ip地址确定的，spi一般是一个32位的数字由目的端点来选择，安全协议标识符则是针对（50）（51）两个端口的协议号。由于sa是单工的所以想要实现两个实体对ipsec的双向使用就要两个sa，一个sa负责一个方向。sa通过一种类似于ike的密钥管理通信协议在通信双方建立对等协议，当sa协商完成后两个对等双方都在他们各自的安全联盟数据库中存储了该sa的数据参数。

3.2 ipsec中的安全数据库（sad）

为了方便ipsec数据流的处理，ipsec中定义了两个数据库那就是：安全联盟数据库sad和安全策略数据库spd。简单地说就是spd进行指定到达特定主机或者网络的数据策划流而sad则是用于存储sa的相关数据。

spd是一个用于保护ip报文安全的策略数据表，ipsec通常在数据包内提取的选择字符段有：源ip地址、目的ip地址、源或者目的端口、传输层协议、数据敏感级别。一个ip报文的传输和接收一共是有三个可以选择的操作：应用ipsec安全服务、允许ip报文通过ipsec和不允许ip报文通过ipsec协议。当在spd中没有寻找到相匹配的条目时句选择它的默认策略：丢弃ip报文即不允许通过ipsec协议。

sad是sa相关参数的集合，每一个sa在sad里面都有一个条目，这个条目包含以下几个域：

安全参数索引、协议的运行模式、抗重播窗口、安全联盟的目的ip和源ip、加密算法以及加密秘钥、安全联盟的生命周期、身份验证和加密秘钥的生命周期、验证算法和验证密钥、最大传送单元路径、序列号计数器和用于安全联盟的协议。

ip报文分为出站和入站两种，入站时通过ipsec协议和ip报文内容还有spi在sad里面查找是否有相匹配的sa。若找到了则按照安全服务来进行处理这个报文，该报文服从spd的规则。若没有找到则不允许入站。相反的出站时先查找spd中有没有相匹配的策略若是有则检索sad中是否已经建立安全联盟条目并根据该条目对其进行出站处理。若是没有则将新的sa和这个ip报文一同存入sad中。

4 ipsec与nat之间存在的兼容性问题

ipsec与nat之间的不兼容性主要是表现在ike和nat之间的不兼容和ah及esp和nat之间的不兼容性。下面我们进行分别得探讨：

4.1 ike和nat之间的不兼容

现有的ike不支持和nat之间的协同工作时是无法完成通信的，只有当双方都支持穿越nat的功能才能进行通信。因此我们应该探测双方主机是否有nat穿越功能。

iek双方能否感知到nat的存在也是一个不容忽视的问题，当传输双方其中一方不能感受到nat那么通信双方之间是不能建立起协同工作的。只有通过更改ip数据包内的相应ip端口号来工作。具体实现方法为：利用发送方的ip地址端口号进行hash的运算并将结果传送到对方主机，接收方也进行相同的hash运算要是得到的结果不相同则代表有nat相反的，若是结果不相同则代表nat是相同的不能进行传输。

4.2 传输模式中esp与nat不兼容的问题

当源端口的ip地址被nat改变了的时候同时也会改变ip头和tcp/udp的校验和。esp传输模式在经过nat的时候tcp/udp校验和还处于加密的状态，nat不能进行新的校验和的产生，当tcp/udp经过nat包需要解密时由于原来的tcp/udp已经被改变所以无法产生原有的解密密钥，这个数据包就不会通过校验也就是无法被接受。

在隧道模式中却不同，因为隧道模式只运用了内部的ip包，而内部的ip包是不会被改变的，所以不会存在这种问题。

5 结束语

根据以上论述我们可以看出ipsec在实际应用上还是不够完善，有很大的提高空间。本文只是提供了一个大致的方向，具体的施行方法有许多，应该按照具体的状况来进行选择。时代在进步，人们越来越多的使用网络来进行交流，这就使网络的安全性成为了人们关注的一大焦点，ipsec作为一个重要的安全通信协议在网络通信中很多产品都是以其为基础进行制造和改进的。本文主要讨论了ipsec的新的环境下的应用，主要是从nat网络环境下和移动ip环境下两方面进行深入的了解并对ipsec与nat的不和谐的地方进行了仔细的分析和修改。在移动ip环境中在内核中寻找sa的条件，通过这个条件我们可使ipsec与ike协商的次数大大减少。针对以上的两个问题我们也给出了相应的解决方案，但是这只是一个初步的解决方案仅供参考还需提高和改进。