基于IPSEC安全协议的INTERNET通信安全

目前的INTERNET通信协议TCP/IP存在诸多安全缺陷，无法满足越来越高的INTERNET
通信安全要求，本文针对IPV4协议的通信安全问题，论述在网络层实施IPSEC安全协议以解决目前INTERNET通信的部分安全问题，主要包括：对网络单元的访问控制、数据源认证、数据完整性和保密、重播数据包的监测和拒绝（抗重播），并对IPSEC的实施方案进行探讨和设计。
关 键 词：IPSEC ；AH ；ESP ；MAC
随着INTERNET在全世界范围内的迅速扩展，人们越来越依赖它进行方便、快捷的信息交流，INTERNET使用TCP/IP协议将各种信息封装成IP包在网络上传递，然而，目前流行的TCP/IP（IPV4）协议在设计之初侧重于效率而忽略信息的保密、认证等安全性问题，网上传送的信息可能被偷看（无法保密），可能被篡改（无法保证完整性），人们对接收到的信息无法验证它是否真的来自于可信任的发送者（无身份验证），人们也无法限制非法或未授权用户侵入自己的主机等等。TCP/IP的安全缺陷让网络黑客有可乘之机发动各种攻击（比如地址欺骗攻击、拒绝服务攻击等）[1]，同时也无法满足人们对网络传送信息越来越高的安全要求（比如个人电子邮件、信用卡号的保密，电子商务活动中商家、客户及银行的各种敏感信息的安全，分散办公的企业内部信息的保密和安全访问控制等）。为了弥补TCP/IP的安全缺陷，人们制定了各种安全措施，有的在应用层实施（如EMAIL客户端使用PGP来保障电子邮件安全），有的在传输层实施（如WWW目前使用TLS协议在TCP顶端提供身份验证、完整性校验和保密性安全服务。IPSEC则是在网络层针对IP包提供数据保密性、数据完整性、数据源认证和抗重播的安全服务，由于INTERNET上所有信息都通过IP包传送，因此IPSEC是目前唯一一种能为任何形式的INTERNET通信提供安全保障的协议，任何上层应用协议和传输层协议可以不用修改“无缝”地从网络层获得安全保障，共享IPSEC提供的安全服务，实施IPSEC可以实现端到端安全、虚拟专用网VPN，满足人们对INTERNET传送信息的安全要求。