目前的INTERNET通信協(xié)議TCP/IP存在諸多安全缺陷，無(wú)法滿足越來(lái)越高的INTERNET
通信安全要求，本文針對(duì)IPV4協(xié)議的通信安全問(wèn)題，論述在網(wǎng)絡(luò)層實(shí)施IPSEC安全協(xié)議以解決目前INTERNET通信的部分安全問(wèn)題，主要包括：對(duì)網(wǎng)絡(luò)單元的訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和保密、重播數(shù)據(jù)包的監(jiān)測(cè)和拒絕（抗重播），并對(duì)IPSEC的實(shí)施方案進(jìn)行探討和設(shè)計(jì)。
關(guān) 鍵 詞：IPSEC ；AH ；ESP ；MAC
隨著INTERNET在全世界范圍內(nèi)的迅速擴(kuò)展，人們?cè)絹?lái)越依賴它進(jìn)行方便、快捷的信息交流，INTERNET使用TCP/IP協(xié)議將各種信息封裝成IP包在網(wǎng)絡(luò)上傳遞，然而，目前流行的TCP/IP（IPV4）協(xié)議在設(shè)計(jì)之初側(cè)重于效率而忽略信息的保密、認(rèn)證等安全性問(wèn)題，網(wǎng)上傳送的信息可能被偷看（無(wú)法保密），可能被篡改（無(wú)法保證完整性），人們對(duì)接收到的信息無(wú)法驗(yàn)證它是否真的來(lái)自于可信任的發(fā)送者（無(wú)身份驗(yàn)證），人們也無(wú)法限制非法或未授權(quán)用戶侵入自己的主機(jī)等等。TCP/IP的安全缺陷讓網(wǎng)絡(luò)黑客有可乘之機(jī)發(fā)動(dòng)各種攻擊（比如地址欺騙攻擊、拒絕服務(wù)攻擊等）[1]，同時(shí)也無(wú)法滿足人們對(duì)網(wǎng)絡(luò)傳送信息越來(lái)越高的安全要求（比如個(gè)人電子郵件、信用卡號(hào)的保密，電子商務(wù)活動(dòng)中商家、客戶及銀行的各種敏感信息的安全，分散辦公的企業(yè)內(nèi)部信息的保密和安全訪問(wèn)控制等）。為了彌補(bǔ)TCP/IP的安全缺陷，人們制定了各種安全措施，有的在應(yīng)用層實(shí)施（如EMAIL客戶端使用PGP來(lái)保障電子郵件安全），有的在傳輸層實(shí)施（如WWW目前使用TLS協(xié)議在TCP頂端提供身份驗(yàn)證、完整性校驗(yàn)和保密性安全服務(wù)。IPSEC則是在網(wǎng)絡(luò)層針對(duì)IP包提供數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重播的安全服務(wù)，由于INTERNET上所有信息都通過(guò)IP包傳送，因此IPSEC是目前唯一一種能為任何形式的INTERNET通信提供安全保障的協(xié)議，任何上層應(yīng)用協(xié)議和傳輸層協(xié)議可以不用修改“無(wú)縫”地從網(wǎng)絡(luò)層獲得安全保障，共享IPSEC提供的安全服務(wù)，實(shí)施IPSEC可以實(shí)現(xiàn)端到端安全、虛擬專用網(wǎng)VPN，滿足人們對(duì)INTERNET傳送信息的安全要求。