基于Ipsec隧道協(xié)議的vpn解決方案研究7

計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)工程課程設(shè)計(jì)題目基于IPSEC的VPN解決方案研究學(xué)號(hào)000000姓名000000系部000000年級(jí)專業(yè)班級(jí)000000指導(dǎo)教師、職稱000000基于Ipsec隧道協(xié)議的vpn解決方案研究摘要[摘要]目前,TCP/IP幾乎是所有網(wǎng)絡(luò)通信的基礎(chǔ),而IP本身是沒有提供“安全”的,在傳輸過程中,IP包可以被偽造、篡改或者窺視。針對(duì)這些問題,IPSec可有效地保護(hù)IP數(shù)據(jù)報(bào)的安全,它提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制,可用它為IP及上層協(xié)議(如UDP和TCP)提供安全保證。目前許多電信運(yùn)營商采用IPSec隧道加密技術(shù),在寬帶業(yè)務(wù)的基礎(chǔ)上推出主要針對(duì)商用客戶的VPN新業(yè)務(wù),為商用客戶既提供了高帶寬低資費(fèi)的企業(yè)網(wǎng)絡(luò)聯(lián)網(wǎng)服務(wù),又提供了在公用網(wǎng)絡(luò)上擁有私有VPN網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全保障服務(wù),贏得了廣大商用客戶的青睞。本文將研究IPSec體系結(jié)構(gòu)、技術(shù)原理和VPN基本技術(shù),分析了IPSecVPN的主要實(shí)現(xiàn)方式.[關(guān)鍵詞]IPsecvpn加密隧道安全緒論 3第一章、vpn簡介 51、定義 52、分類 5（1）按VPN的協(xié)議分類 5（2）按VPN的應(yīng)用分類： 5（3）按所用的設(shè)備類型進(jìn)行分類： 5第二章、ipsecvpn 61、簡介 62、IPsecAH(認(rèn)證頭協(xié)議) 63、IPsecESP：封裝安全負(fù)載 74、IPsecIKE(密鑰交換協(xié)議) 85、IPsecISAKMP(安全連接和密鑰管理協(xié)議) 96、優(yōu)缺點(diǎn)： 106.1優(yōu)點(diǎn)（1）IPSec是與應(yīng)用無關(guān)的技術(shù)，因此IPSecVPN的客戶端支持所有IP層協(xié)議;（2）IPSec技術(shù)中，客戶端至站點(diǎn)（client-to-site）、站點(diǎn)對(duì)站點(diǎn)（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術(shù)是完全相同的;（3）IPSecVPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;6.2不足（1）IPSecVPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;（2）IPSecVPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（proxy）的影響;（3）IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復(fù)雜。 107、IPSEC的運(yùn)行模式 117.1隧道模式(TunnelingMode) 117.2傳送模式(TransportMode) 11基本協(xié)議模塊： 13第三章、ipsecvpn案例 14總結(jié) 15緒論隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

第一章、vpn簡介1、定義虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式〉、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。2、分類（1）按VPN的協(xié)議分類VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。（2）按VPN的應(yīng)用分類：1）AccessVPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量；2）IntranetVPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；3）ExtranetVPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接；（3）按所用的設(shè)備類型進(jìn)行分類：網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)，路由器，和防火墻1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)；3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型圖1虛擬專用網(wǎng)絡(luò)模型：第二章、ipsecvpn1、簡介Internet協(xié)議安全性(IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族實(shí)施IPSec是基于“Internet工程任務(wù)組(IETF)”IPSec工作組開發(fā)的標(biāo)準(zhǔn)。2、IPsecAH(認(rèn)證頭協(xié)議)IPsecAH（IPsecAH：IPsecAuthenticationHeader）認(rèn)證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議。（如圖1-3所示）它為IP數(shù)據(jù)報(bào)提供無連接完整性與數(shù)據(jù)源認(rèn)證，并提供保護(hù)以避免重播情況。一旦建立安全連接，接收方就可能會(huì)選擇后一種服務(wù)。AH盡可能為IP頭和上層協(xié)議數(shù)據(jù)提供足夠多的認(rèn)證。但是，在傳輸過程中某些IP頭字段會(huì)發(fā)生變化，且發(fā)送方無法預(yù)測(cè)當(dāng)數(shù)據(jù)包到達(dá)接受端時(shí)此字段的值。AH并不能保護(hù)這種字段值。因此，AH提供給IP頭的保護(hù)有些是零碎的。AH可被獨(dú)立使用，或與IP封裝安全負(fù)載（ESP）相結(jié)合使用，或通過使用隧道模式的嵌套方式。在通信主機(jī)與通信主機(jī)之間、通信安全網(wǎng)關(guān)與通信安全網(wǎng)關(guān)之間或安全網(wǎng)關(guān)與主機(jī)之間可以提供安全服務(wù)。ESP提供了相同的安全服務(wù)并提供了一種保密性（加密）服務(wù)，而ESP與AH各自提供的認(rèn)證其根本區(qū)別在于它們的覆蓋范圍。特別地，不是由ESP封裝的IP頭字段則不受ESP保護(hù)。通常，當(dāng)用與IPv6時(shí)，AH出現(xiàn)在IPv6逐跳路由頭之后IPv6目的選項(xiàng)之前。而用于IPv4時(shí)，AH跟隨主IPv4頭。圖2認(rèn)證頭協(xié)議示意圖：3、IPsecESP：封裝安全負(fù)載PsecESP（IPsecEncapsulatingSecurityPayload）封裝安全負(fù)載是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議，其主要設(shè)計(jì)來在IPv4和IPv6中提供安全服務(wù)的混合應(yīng)用。IPsecESP通過加密需要保護(hù)的數(shù)據(jù)以及在IPsecESP的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。根據(jù)用戶安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整個(gè)的IP數(shù)據(jù)報(bào)。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性ESP頭可以放置在IP頭之后、上層協(xié)議頭之前（傳送層），或者在被封裝的IP頭之前（隧道模式）。IANA分配給ESP一個(gè)協(xié)議數(shù)值50，在ESP頭前的協(xié)議頭總是在“nexthead”字段（IPv6）或“協(xié)議”（IPv4）字段里包含該值50。ESP包含一個(gè)非加密協(xié)議頭，后面是加密數(shù)據(jù)。該加密數(shù)據(jù)既包括了受保護(hù)的ESP頭字段也包括了受保護(hù)的用戶數(shù)據(jù)，這個(gè)用戶數(shù)據(jù)可以是整個(gè)IP數(shù)據(jù)報(bào)，也可以是IP的上層協(xié)議幀（如：TCP或UDP）。ESP提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無連接的完整性、抗重播服務(wù)（一種部分序列完整性的形式）和有限信息流機(jī)密性。所提供服務(wù)集由安全連接（SA）建立時(shí)選擇的選項(xiàng)和實(shí)施的布置來決定，機(jī)密性的選擇與所有其他服務(wù)相獨(dú)立。但是，使用機(jī)密性服務(wù)而不帶有完整性/認(rèn)證服務(wù)（在ESP或者單獨(dú)在AH中）可能使傳輸受到某種形式的攻擊以破壞機(jī)密性服務(wù)。數(shù)據(jù)源驗(yàn)證和無連接的完整性是相互關(guān)聯(lián)的服務(wù)，它們作為一個(gè)選項(xiàng)與機(jī)密性（可選擇的）結(jié)合提供給用戶。只有選擇數(shù)據(jù)源認(rèn)證時(shí)才可以選擇抗重播服務(wù)，由接收方單獨(dú)決定抗重播服務(wù)的選擇。4、IPsecIKE(密鑰交換協(xié)議)InternetIPsecIKE密鑰交換（IPsecIKE:InternetKeyExchangeProtocol）是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議（如圖1-4所示）。它是一種混合協(xié)議，使用部分Oakley和部分SKEME，并協(xié)同ISAKMP提供密鑰生成材料和其它安全連系，比如用于IPsecDOI的AH和ESP。圖3密鑰交換機(jī)制：IKE是一系列密鑰交換中的一種，稱為“模式”。IKE可用于協(xié)商虛擬專用網(wǎng)（VPN），也可用于遠(yuǎn)程用戶（其IP地址不需要事先知道）訪問安全主機(jī)或網(wǎng)絡(luò)，支持客戶端協(xié)商?？蛻舳四?，式即為協(xié)商方不是安全連接發(fā)起的終端點(diǎn)。當(dāng)使用客戶模式時(shí)，端點(diǎn)處身份是隱藏的。IKE的實(shí)施必須支持以下的屬性值：1.DES用在CBC模式，使用弱、半弱、密鑰檢查。2.MD5[MD5]和SHA[SHA]。3.通過預(yù)共享密鑰進(jìn)行認(rèn)證。4.缺省的組1上的MODP。另外，IKE的實(shí)現(xiàn)也支持3DES加密；用Tiger[TIGER]作為hash；數(shù)字簽名標(biāo)準(zhǔn)，RSA[RSA]，使用RSA公共密鑰加密的簽名和認(rèn)證；以及使用組2進(jìn)行MODP。IKE實(shí)現(xiàn)可以支持其它的加密算法，并且可以支持ECP和EC2N組。5、IPsecISAKMP(安全連接和密鑰管理協(xié)議)Interne安全連接和密鑰管理協(xié)議（ISAKMP）是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議。該協(xié)議結(jié)合認(rèn)證、密鑰管理和安全連接等概念來建立政府、商家和因特網(wǎng)上的私有通信所需要的安全。因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議（ISAKMP）定義了程序和信息包格式來建立，協(xié)商，修改和刪除安全連接（SA）。SA包括了各種網(wǎng)絡(luò)安全服務(wù)執(zhí)行所需的所有信息，這些安全服務(wù)包括IP層服務(wù)（如頭認(rèn)證和負(fù)載封裝）、傳輸或應(yīng)用層服務(wù)，以及協(xié)商流量的自我保護(hù)服務(wù)等。ISAKMP定義包括交換密鑰生成和認(rèn)證數(shù)據(jù)的有效載荷。這些格式為傳輸密鑰和認(rèn)證數(shù)據(jù)提供了統(tǒng)一框架，而它們與密鑰產(chǎn)生技術(shù)，加密算法和認(rèn)證機(jī)制相獨(dú)立。ISAKMP區(qū)別于密鑰交換協(xié)議是為了把安全連接管理的細(xì)節(jié)從密鑰交換的細(xì)節(jié)中徹底的分離出來。不同的密鑰交換協(xié)議中的安全屬性也是不同的。然而，需要一個(gè)通用的框架用于支持SA屬性格式，談判，修改與刪除SA，ISAKMP即可作為這種框架。把功能分離為三部分增加了一個(gè)完全的ISAKMP實(shí)施安全分析的復(fù)雜性。然而在有不同安全要求且需協(xié)同工作的系統(tǒng)之間這種分離是必需的，而且還應(yīng)該對(duì)ISAKMP服務(wù)器更深層次發(fā)展的分析簡單化。ISAKMP支持在所有網(wǎng)絡(luò)層的安全協(xié)議（如：IPSEC、TLS、TLSP、OSPF等等）的SA協(xié)商。ISAKMP通過集中管理SA減少了在每個(gè)安全協(xié)議中重復(fù)功能的數(shù)量。ISAKMP還能通過一次對(duì)整個(gè)棧協(xié)議的協(xié)商來減少建立連接的時(shí)間。ISAKMP中，解釋域（DOI）用來組合相關(guān)協(xié)議，通過使用ISAKMP協(xié)商安全連接。共享DOI的安全協(xié)議從公共的命名空間選擇安全協(xié)議和加密轉(zhuǎn)換方式，并共享密鑰交換協(xié)議標(biāo)識(shí)。同時(shí)它們還共享一個(gè)特定DOI的有效載荷數(shù)據(jù)目錄解釋，包括安全連接和有效載荷認(rèn)證。IPSec的工作原理(如圖1-2所示)類似于包過濾防火墻，可以看作是對(duì)包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。圖4Ipsec原理示意圖：圖5Ipsec體系結(jié)構(gòu)：6、優(yōu)缺點(diǎn)：6.1優(yōu)點(diǎn)

（1）IPSec是與應(yīng)用無關(guān)的技術(shù)，因此IPSecVPN的客戶端支持所有IP層協(xié)議;

（2）IPSec技術(shù)中，客戶端至站點(diǎn)（client-to-site）、站點(diǎn)對(duì)站點(diǎn)（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術(shù)是完全相同的;

（3）IPSecVPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

6.2不足

（1）IPSecVPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;

（2）IPSecVPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（proxy）的影響;

（3）IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復(fù)雜?；趇psec的vpn實(shí)現(xiàn)7、IPSEC的運(yùn)行模式7.1隧道模式(TunnelingMode)隧道模式(TunnelingMode)(如圖1-6所示)可以在兩個(gè)SecurityGateway間建立一個(gè)安全"隧道"，經(jīng)由這兩個(gè)GatewayProxy的傳送均在這個(gè)通道中進(jìn)行。通道模式下的IPSec報(bào)文要進(jìn)行分段和重組操作，并且可能要再經(jīng)過多個(gè)安全網(wǎng)關(guān)才能到達(dá)安全網(wǎng)關(guān)后面的目的主機(jī)。通道模式下，除了源主機(jī)和目的地主機(jī)之外，特殊的網(wǎng)關(guān)也將執(zhí)行密碼操作。在這種模式里，許多隧道在網(wǎng)關(guān)之間是以系列的形式生成的，從而可以實(shí)現(xiàn)網(wǎng)關(guān)對(duì)網(wǎng)關(guān)安全。通道模式可表示為：|新IP頭|IPsec頭|IP頭|TCP頭|數(shù)據(jù)|圖6隧道模式示意圖：7.2傳送模式(TransportMode)傳送模式(TransportMode)(如圖1-7所示)加密的部份較少，沒有額外的IP報(bào)頭，工作效率相對(duì)更好，但安全性相對(duì)于隧道模式會(huì)有所降低。傳送模式下，源主機(jī)和目的地主機(jī)必須直接執(zhí)行所有密碼操作。加密數(shù)據(jù)是通過使用L2TP（第二層隧道協(xié)議）而生成的單一隧道來發(fā)送的。數(shù)據(jù)（密碼文件）則是由源主機(jī)生成并由目的地主機(jī)檢索的。傳送模式可表示為：|IP頭|IPsec頭|TCP頭|數(shù)據(jù)|圖7傳輸模式示意圖圖6Ipsec總體設(shè)計(jì)框圖：網(wǎng)關(guān)送出的包即進(jìn)入隧道的包可能來自兩個(gè)方向：來自網(wǎng)關(guān)保護(hù)的內(nèi)部局域網(wǎng)的某臺(tái)主機(jī)或來自網(wǎng)關(guān)的應(yīng)用層。對(duì)于送出的數(shù)據(jù)，為了不改動(dòng)其它層協(xié)議和不增加其它層協(xié)議的負(fù)擔(dān)，即不讓傳輸層和網(wǎng)絡(luò)接口層區(qū)分這個(gè)包應(yīng)該交給IP協(xié)議處理還是交給IPSec處理，我們都將這些數(shù)據(jù)交給IP層作預(yù)處理。預(yù)處理做的工作就是對(duì)這個(gè)包是否應(yīng)實(shí)施IPSec作判斷，需要IPSec處理的包交給IPSec基本協(xié)議模塊，不需要的直接做IP層相應(yīng)的工作。IP層判斷數(shù)據(jù)是否要實(shí)施IPSec處理是通過與IPSec中SPD的接口進(jìn)行的，它將數(shù)據(jù)包的特征提取出來與SPD中的選擇符進(jìn)行對(duì)比，找到相應(yīng)的處理策略(丟棄、應(yīng)用IPSec、繞過IPSec)，如果需要進(jìn)行IPSec處理，在SPD中提取對(duì)應(yīng)的SADB中的信息(SAID)，并將數(shù)據(jù)交給IPSec基本協(xié)議模塊接口。IPSec基本協(xié)議模塊通過SAID找到SADB中對(duì)這個(gè)數(shù)據(jù)包的具體處理方法(安全協(xié)議、加密／認(rèn)證算法、密鑰等)對(duì)其進(jìn)行安全處理。對(duì)于需要加密或認(rèn)證的數(shù)據(jù)則交由加密認(rèn)證模塊處理后交回IPSec基本協(xié)議模塊對(duì)其添加外部IP頭后交給IP的后續(xù)模塊處理，而不是直接交給網(wǎng)絡(luò)接口層傳出。這樣做有兩個(gè)好處：1、網(wǎng)絡(luò)接口層不必區(qū)分是IP協(xié)議傳來的包還是IPSec傳來的包；2、有一些IP與IPSec重疊的工作(如對(duì)數(shù)據(jù)包的分段)就只有一個(gè)實(shí)現(xiàn)模塊，避免了重復(fù)。后網(wǎng)絡(luò)接口層將輸出的包傳給與外部相連的網(wǎng)卡。對(duì)于進(jìn)入的數(shù)據(jù)，鏈路層將它交給IP協(xié)議做進(jìn)入的預(yù)處理(如數(shù)據(jù)包的重組)，同時(shí)查看IP頭中下一協(xié)議頭字段是否為50(ESP)或51(AH)，如果是，將其交給IPSec處理模塊。當(dāng)IPSec處理完后將沒有出錯(cuò)的包交給IP協(xié)議做后續(xù)處理，IP層后續(xù)處理根據(jù)內(nèi)部IP頭中的目的地址將其交給傳輸層或?qū)⑵浣唤o網(wǎng)絡(luò)接口層再轉(zhuǎn)發(fā)給內(nèi)部主機(jī)?；緟f(xié)議模塊：IPSec的基本協(xié)議模塊主要實(shí)現(xiàn)AH和ESP的協(xié)議處理。由于網(wǎng)關(guān)上實(shí)現(xiàn)的隧道，隧道口的地址和真正通信的主機(jī)地址往往是不同的，因此我們需要添加一個(gè)外部IP頭，外部IP頭中的地址為網(wǎng)關(guān)的IP地址。因此系統(tǒng)必須采用隧道模式，即隧AH或隧道／E