基于IPSEC安全協(xié)議的INTERNET通信安全

目前的INTERNET通信協(xié)議TCP/IP存在諸多安全缺陷，無法滿足越來越高的INTERNET
通信安全要求，本文針對IPV4協(xié)議的通信安全問題，論述在網(wǎng)絡(luò)層實施IPSEC安全協(xié)議以解決目前INTERNET通信的部分安全問題，主要包括：對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)完整性和保密、重播數(shù)據(jù)包的監(jiān)測和拒絕（抗重播），并對IPSEC的實施方案進行探討和設(shè)計。
關(guān) 鍵 詞：IPSEC ；AH ；ESP ；MAC
隨著INTERNET在全世界范圍內(nèi)的迅速擴展，人們越來越依賴它進行方便、快捷的信息交流，INTERNET使用TCP/IP協(xié)議將各種信息封裝成IP包在網(wǎng)絡(luò)上傳遞，然而，目前流行的TCP/IP（IPV4）協(xié)議在設(shè)計之初側(cè)重于效率而忽略信息的保密、認證等安全性問題，網(wǎng)上傳送的信息可能被偷看（無法保密），可能被篡改（無法保證完整性），人們對接收到的信息無法驗證它是否真的來自于可信任的發(fā)送者（無身份驗證），人們也無法限制非法或未授權(quán)用戶侵入自己的主機等等。TCP/IP的安全缺陷讓網(wǎng)絡(luò)黑客有可乘之機發(fā)動各種攻擊（比如地址欺騙攻擊、拒絕服務(wù)攻擊等）[1]，同時也無法滿足人們對網(wǎng)絡(luò)傳送信息越來越高的安全要求（比如個人電子郵件、信用卡號的保密，電子商務(wù)活動中商家、客戶及銀行的各種敏感信息的安全，分散辦公的企業(yè)內(nèi)部信息的保密和安全訪問控制等）。為了彌補TCP/IP的安全缺陷，人們制定了各種安全措施，有的在應(yīng)用層實施（如EMAIL客戶端使用PGP來保障電子郵件安全），有的在傳輸層實施（如WWW目前使用TLS協(xié)議在TCP頂端提供身份驗證、完整性校驗和保密性安全服務(wù)。IPSEC則是在網(wǎng)絡(luò)層針對IP包提供數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)源認證和抗重播的安全服務(wù)，由于INTERNET上所有信息都通過IP包傳送，因此IPSEC是目前唯一一種能為任何形式的INTERNET通信提供安全保障的協(xié)議，任何上層應(yīng)用協(xié)議和傳輸層協(xié)議可以不用修改“無縫”地從網(wǎng)絡(luò)層獲得安全保障，共享IPSEC提供的安全服務(wù)，實施IPSEC可以實現(xiàn)端到端安全、虛擬專用網(wǎng)VPN，滿足人們對INTERNET傳送信息的安全要求。