（控制科学与工程专业论文）ipsec安全芯片的设计与实现.pdf

西北丁业大学硕士论文 摘要 摘要 i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) 可以有效的解决网络通信的安全问题， 防止非法入侵和攻击。随着网络传输速率不断提高，用传统的软件方式实现i p s e c 的各项安全功能会使系统的负荷和资源占用率增加，不能满足速度上的要求；虽 然目前已有不少i p s e c 的硬件实现，但是并没有综合考虑速度( 吞吐量) 、最大工 作频率、面积、功率消耗等性能指标的要求。 针对这些问题，本文研究了芯片级的i p s e c 实现方案即i p s e c 安全芯片。 第一，论文对i p s e c 的安全体系进行深入分析，重点研究了i p s e c 的两个安 全通信协议，以及对进入、外出数据包的处理流程。在此基础上，分析了工作模 式和安全协议的改进，研究了新的i p s e c 体系模型，它可以适应用户不同的安全 需求和安全参数的变化。设计了基于网卡应用的i p s e c 安全芯片的整体结构，以 及基于f p g a 技术的设计验证方案。 第二，论文重点研究了网络传输中消息和身份完整性认证的硬件实现方法。对 i p s e c 支持的单向散列函数s h a 2 从扩大消息分组长度、安全散列值计算、变换 原始逻辑函数和变换压缩函数逻辑结构进行了改进，改进的s h a 一2 算法比原算法 具有更高的安全性和运算效率，显著提高了i p s e c 协议的安全强度。同时在单芯 片上采用优化操作树、查找表存储常数、缩短关键路径等方法设计实现了s h a 一3 8 4 和s h a 一5 1 2 算法，不仅节省了硬件资源，还满足了不同的安全需求。在a l t e r a e p 2 0 k 2 0 0 e f c 4 8 4 2 x 芯片上进行了综合仿真验证，给出了综合、仿真的试验结果， 证明了设计的正确性和合理性，可以达到的最大处理速度为4 6 9 6 9 m b p s ，满足了 百兆网卡的要求。并且设计实现了与之对应的散列消息认证码h m a c s h a 一3 5 ，给出 了仿真验证的结果，其最小处理速度为2 5 2 4 8 m b p s ，在取i p 包的最大长度时，处 理速度可达到5 0 3 9 8 m b p s 。 第三，论文在现有散列算法硬件实现优化方法的基础上，综合考虑各个性能指 标，分析研究了展开并行化与流水线操作结合、降低数据宽度、输出模块优化和 高效加法器p c 四种新的优化方法。 关键词： i p 安全，现场可编程门阵列，s h a 一2 ，散列消息认证码，硬件优化 西北工业大学硕士论文 a b s t r a c t a b s t r a c t i n t e r a c tp r o t o c o ls e c u r i t y ( i p s e c ) i sw i d e l yu s e dt op r e v e n tt h en e t w o r k sf r o m a t t a c k sa n di n t r u s i o n s s o f t w a r e b a s e di m p l e m e n t a t i o no ft h ei p s e ep r o t o c o lc a l lb e v e r ys o p h i s t i c a t e d ，b e c a u s ei tw i l lt a k eag r e a tl o to ft i m et op e r f o r mc o m p l i c a t e d c r y p t o l o g i c a la l g o r i t h m s t h e s er e s u l t i nt h ep e r f o r m a n c ei s s u e a tp r e s e n t ，s o m e h a r d w a r e b a s e di m p l e m e n t a t i o no fi p s e ec a nn o ts a t i s f yt h ed e m a n d so fm a x i m u m o p e r a t i o nf r e q u e n c y , h i g hs p e e d ( t h r o u g h p u t ) ，c h i pa r e aa n dp o w e rd i s s i p a t i o n i nt h i sd i s s e r t a t i o n ，ac h i p b a s e dm e t h o do fd e s i g n i n ga n di m p l e m e n t i n gi p s e c p r o t o c o li sr e s e a r c h e dw h i c h i sa p p l i e dt on e t w o r ki n t e r f a c ec a r d f i r s t l y , t h es e c u r i t y a r c h i t e c t u r eo fi p s e ci s a n a l y z e d ，e m p h a s i z e d o n a u t h e n t i c a t i o nh e a d e r , e n c a p s u l a t i o ns e c u r i t yp a y l o a da n dp r o c e s s i n gf o ri n c o m i n g o ro u t g o i n gp a c k e t s f u r t h e r m o r e ，t h ei m p r o v e m e n t so fw o r km o d e sa n ds a n r i t y p r o t o c o l sa l es t u d r i e d t h en e w i p s e ca r c h i t e c t u r eh a se n o u g ha g i l i t yt oa d a p tt ou s e r d i f f e r e n tr e q u i r e m e n t s as c h e m eo fi m p l e m e n t i n g p s e cs e c u r i t yc h i pw h i c hi s f p g ab a s e di sp r e s e n t e di n c l u d i n gi t sw h o l ea r c h i t e c t u r e a n dt h e nas c h e m et o t e s t i n ga n dv a l i d a t i n ga l ld e s i g n si sd e s i g n e d s e c o n d l y ，t of u l f i l lf u n c t i o n sw h i c hi n c l u d ed a t aa n di d e n t i t yi n t e g r i t y , s h a - 2 a l g o r i t h mt h a ti si m p r o v e df r o mf o u ra s p e c t sh a sh i g h e rs e c u r i t ya n do p e r a t i o ns p e e d 1 m p l e m a t i o no fs h a - 3 8 4a n ds h a 一5 12o ns i n g l e c h i pu s i n ge p 2 0 k 2 0 0 e f c 4 8 4 2 x c h i pi sp r e s e n t e di nd e t a i l a n dt h e ns y n t h e s i s ，t i m i n gs i m u l a t i o na n dv a l i d a t i o nw i t h t e s t i n gs c h e m em e n t i o n e da b o v ea r em a d e e x p e r i m e n tr e s u l ta n ds a m p l e sa l eg i v e n t os u p p o r td e s i g n s v a l i d i t ya n dr a t i o n a l i t y t h em a x i m a lm a n a g i n gs p e e dc a na t t a i n 4 6 9 6 9 m b p s a n dc a na c h i e v e dg o a l se x p e c t e d h m a c - s h a 一2i si m p l e m e n t e da n d p r e s e n ts y n t h e s i s ，t i m i n gs i m u l a t i o n t h em i n i m u ms p e e dc a l la t t a i n2 5 2 4 8 m b p sa n d t h em a n a g i n gs p e e dc a na t t a i n 5 0 3 9 8 m b p sw h e ni pp a c k a g ei si nm a x i m a ll e n g t h t h i r d l y , b a s e d0 1 1e x i s t i n go p t i m i z e dt e c h n i q u e s ，t a k i n gi n t o a c c o u n tv a r i o u s p e r f o r m a n c et a r g e t s ，r e s e a r c hn e wf o u rt e c h n i q u e so fr e d u c e dw o r dl e n g t h ，c o m b i n e d u n r o l l e d - p i p e l i n e d ，o u t p u tm o d u l eo p t i m i z e da n dp a r a l l e lc o u n t e r s k e y w o r d s ： i n t e m e tp r o t o c o ls e c u r i t y , f i e l dp r o g r a m m a b l eg a t ea r r a y , s e c u r eh a s h a l g o r i t h m2 ，t h ek e y e d h a s hm e s s a g ea u t h e n t i c a t i o nc o d e ，h a r d w a r do p t i m i z i n g u 西北工业大学业 学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定即：研究生在校攻读学位期间论文工作 的知识产权单位属于西北工业大学。学校有权保留并向国家有关部门或机构送交论文的复 印件和电子版。本人允许论文被查阅和借阅。学校可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 同时本人保证。毕业后结合学位论文研究课题再撰写的文章一律注明作者单位为西北工业 大学。 保密论文待解密后适用本声明。 学位论文作者签名：j 2 1 1 i ：鏊 指导教师签名 泖年3 月侈日 o7 年5 月f 妒 西北工业大学 学位论文原创性声明 秉承学校严谨的学风和优良的科学道德，本人郑重声明：所呈交的学位论文，是 本人在导师的指导下进行研究工作所取得的成果。尽我所知，除文中已经注明引用的 内容和致谢的地方外，本论文不包含任何其他个人或集体己经公开发表或撰写过的研 究成果，不包含本人或其他已申请学位或其他用途使用过的成果。对本文的研究做, q t 重要贡献的个人和集体，均已在文中以明确方式表明。 本人学位论文与资料若有不实，愿意承担一切相关的法律责任。 学位论文作者签名：避 参呻年月哆日 两北l ：业人学硕十论文 第一章绪论 第一章绪论 1 1 网络安全及其现状 2 0 世纪9 0 年代以来，计算机网络技术进入了前所未有的快速发展时期， 极大地推动了社会信息化的发展进程。在很多领域里，人们已经逐渐放弃传统 的通信方式，转而通过计算机网络实现信息发布、电子邮件、电子购物、电子 交易、休闲娱乐等等。政府、企业、军事、科研院所等部门也逐渐将计算机网 络作为政府决策、商业经济、股票证券、科研数掘等重要信息的存储和传输平 台，其中很多是敏感信息，甚至是国家机密。 i n t e r n e t 的最大优势之是它的自由与共享性，但是从安全的角度看，这 又正是i n t e r n e t 的最大缺点：过分自由的网络用户和网络应用给i n t e r n e t 带 来严重的安全隐患。数据信息在处理、存储、传输和使用时，容易被窃取、篡 改和冒充，还有可能受到网络病毒的感染。因此，i n t e r a c t 上数据的完整性、机 密性和可用性成为人们关注的焦点问题。电子商务的持续快速发展，又使得与 商业交易有关的信息安全问题日益突出，例如用户的身份认证、敏感信息的传 输保护、交易的不可否认性等。 2 0 0 5 全国网络与信息安全技术研讨会指出中国的网络用户数量已经达到 1 0 3 0 0 万人，其中宽带上网的人数达到了5 3 0 0 万人，上网计算机数量达到4 5 6 0 万台，均仅次于美国，位居世界第二，而互联网的安全闯题也日益突出并引起 了极大的关注。s y m a n t e c 第九期互联网安全威胁报告b 1 分析了2 0 0 5 年下半 年全球的安全事件，在攻击来源国家排名中，中国整体的增加量非常迅速，较 上半年增长1 5 3 ，比全球平均增长高出7 2 个百分点，成为仅次于美国的高攻 击源国家。而且中国受僵尸网络( b o t ) 控制的计算机数量增加最多，成长率高 达3 7 ，比全球平均成长率高出2 4 个百分点。据瑞星全球反病毒检测网 3 统计 数掘显示，2 0 0 4 年上半年，瑞星截获新病毒11 8 3 5 个，2 0 0 5 年同期新病毒数为 2 6 9 2 7 个，而2 0 0 6 年上半年，新截获的病毒数据飙升到了11 9 4 0 2 个。相当于过 去几年截获病毒数据量的综合。仅2 0 0 6 年5 、6 两月，瑞星全球反病毒检测网 检测到被黑客攻击“挂马”的网站就多达十个。 同时，i n t e r n e t 越来越成为各国信息战的战略目标。窃密与反窃密、破坏 与反破坏的斗争是全方位的。因此，网络安全技术不但是国家战略防卫力量的 重要组成部分，也是衡量国家综合实力的一项重要指标。因此，我们必须掌握 关键的计算机及网络技术，构造出自己的安全内核。全面发展民族的网络安全 体系。 西北工业大学硕士论文第一章绪论 1 2i p s e c 安全芯片的项目背景 网络中的各个计算机和服务器都是通过网络接口卡进行数据的收发。由于 在计算机网络发展初期，并没有考虑信息安全的问题，所以传统的网络接口卡 和其它网络设备为主机和服务器之间提供了一种开放的网络数据传输方法，允 许传输的数据被防火墙内部的任何人进行在线全程监听，这就造成了极大的安 全威胁。因此，i n t e r n e t 工程任务组( i e t f ) 在i n t e r n e t 标准( 草案r f c ) 中 定义了网络i p 层上的安全体系结构一一i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) ， 可以在不改变用户应用程序的情况下，提供对网络数据的保密和认证服务，实 现网络信息的安全传输，特别是对于来自内部局域网的监听和攻击具有较强的 抗攻击能力。 对于i p s e c 的实现大致可以分为以下三种方案1 4 ： ( 1 ) 纯软件方案：这种方案是将整个i p s e c 用软件实现，用主机或服务器 上的c p u 来完成协议处理、密钥管理、安全策略管理、数据加密、消息认证等 全部操作。优点是简单易行、开发周期短；缺点是使网络设备负载明显提高， 导致服务器、网关或交换机等关键网络设备的处理性能大大降低，在速度和实 时性上不能满足要求，特别是千兆网络的普及和应用。 ( 2 ) 软硬件协同方案：这种方案是将i p s e c 中涉及到加密、认证等高位数 据的复杂运算交由专门设计的加密协处理器执行，而将协议处理、密钥管理、 安全策略管理等操作交由主机或服务器上的c p u 来执行。由于加密、认证等交 由专用的协处理器执行，因而对主机或服务器的c p u 性能影响较小，但是由于 协议处理、密钥管理等模块还需要在主机上运行，因而黑客或者入侵者可以通 过跟踪或修改这些程序，来达到侵入系统的目的，存在安全隐患。 ( 3 ) 纯硬件方案：这种方案是将整个的i p s e c 交由硬件实现，包括协议处 理、密钥管理、安全策略管理这些操作复杂的处理。由于整个都采用硬件来实 现，因而在速度上可以满足百兆甚至千兆的传输要求，并且具有高速、低延时、 与操作系统无关、对用户透明、安全性好、方便升级更新等优点。纯硬件方案 虽然在实现上较为困难，需要的开发周期长，但是从速度和安全这两个长远的 角度来看，i p s e c 的纯硬件实现是i p s e c 实现的必然趋势。目前已知的国外各大 公司、研究机构的i p s e c 产品和原型卡都采用了这种方案。 本论文根据上述的第三种方案设计了“i p s e c 安全芯片”，将i p s e c 提供的 全部安全功能用一个专门设计的芯片实现，它是网络安全技术的硬化实现方法， 分两个阶段完成。第一个阶段在对i p s e c 安全体系分析的基础上，将它所涉及 到的认证、加密等各种复杂的密码学算法用f p g a ( f i e l dp r o g r a m m a b i eg a t e 2 两北工业人学硕士论文 第一章绪论 a r r a y ) 实现。第二个阶段是在第一个阶段研究的基础上，将协议处理、密钥管 理、安全策略管理等功能也集成到芯片中，使之成为真正意义上的i p s e c 安全 芯片。 1 3 国内外研究发展动态 鉴于i p s e c 安全芯片及其相关产品能够适应高速网络的需求，提供高强度 的安全性能等特点，它已经成为网络信息安全领域中的一项关键技术。国内外 相关的公司、研究机构都已经在这个领域进行了研究工作，并且已经推出了相 关的产品或原型卡。 美国h if n 公司和杭州安塞信息技术有限公司在2 0 0 6 共同推出针对千兆以 太网应用的一款新的f l o w t h r o u g h 安全处理器h i p pi i i8 4 5 0e ”。它支持最新的 加密和验证算法：d e s 、3 d e s 、a e s 、s h a l 、s h a 一2 5 6 、m d 5 和a e s x c b c 一姒c ： 支持两个全双工千兆以太网接口和i p s e c 、i p c o m p 、i 雌c s e c 、s r t p 协议，能够 对大数据报进行4 g b s 的连续处理；支持新的以太网接口：r m i i 、r t b i 、g m i i 、 t b i 、s e r d e s 和s g m i i 。 威盛2 0 0 5 年推出c t - m 最新版p a d l o c k 安全引擎陋1 ，包含了五大核心功能： 安全高效加密术s h a 一1 和s h a - 2 5 6 ：以5 g b 秒的速度加密信息；a e s 加密术：以 高达2 5 g b 秒的速度加密信息；蒙哥马利乘法器：一种进行大量复杂不规则运算 的重要工具：n xe x e c u t e 保护：在系统存储器内设置一道虚拟的屏障，能阻止 大多数蠕虫病毒的扩散：随机数字生成：双量子随机数字信号发生器以每秒钟 1 2 0 0 万个的速率产生大量不可预测的随机数字信号。 国外很多公司早在2 1 世纪初就已经推出了i p s e c 安全芯片及相关产品，如 i n t e l 公司集成i p s e c 安全芯片的i n t e lp r o 1 0 0 系列网卡，美国3 c o m 公司推 出的含有一个加密微处理器3 x p 的网卡3 c r 9 9 0 一t x 一9 5 等，而国内公司在最近几 年才相继推出了自己的产品。国外的产品在安全性、可扩展性、使用简单和性 能价格比、协议实现的完整性等许多方面都要成熟和优于国内产品。 散列算法贯穿整个i p s e c 协议体系。是i p s e c 的一个重要组成部分，它可 以确认消息的来源和消息的完整性。自从流行的国际通用密码m d 5 、s h a l 被破 解州后，n i s t 计划在2 0 1 0 年以前将改用先进的s h a 一2 的密码系统哺l ，所以国内 外各研究机构已争先开始致力于s h a - 2 算法的芯片级实现。 2 0 0 6 年希腊佩特雷大学电子计算机工程学院设计了一个可以实现s h a 一2 5 6 、 s h a 一3 8 4 和s h a 一5 1 2 的v l s i 通用结构 9 1 ，在单芯片上实现了三算法，采用x i l i n x v i r t e xv 2 0 0 p q 2 4 0 芯片进行了综合仿真验证，该通用结构占用了2 3 8 4c l b s 、4 1 0 3 f g s 、3 9 1 2d f f s 和8 0 x 6 4r o m ，最大工作频率名。可以达到7 4 m h z 。 西北工业大学硕士论文第一章绪论 2 0 0 6 年卡尔加里大学电子计算机工程学院和数学统计学院提出一种多模式 结构”，既可以实现一个6 4 位的散列算法，也可以同时实现两个3 2 位的散列 算法。在v i r t e x2 0 0 4 0 0 x c v 芯片上进行了综合仿真验证，多模式结构占用2 9 5 1 s l i c e s ，最大工作频率为5 0 m h z ，最大吞吐量可达到4 0 0 6 4 0 m b p s 。吞吐量和面 积之比为0 1 3 6 0 1 0 8 。 虽然国内很多公司也已经开始研究s h a 一2 算法的芯片级实现，但相对来说 实现模式比较单一。散列算法硬件实现及优化的关键技术还是主要由国外研究 机构控制，而这对国内使用相关技术及产品的用户存在着巨大的安全隐患。 1 4 论文的研究内容和章节安排 本论文主要做了下面这些研究工作：分析了i p s e c 安全协议体系，对改进后 的i p s e c 体系模型进行了研究；设计出可扩展的基于安全网卡应用的i p s e c 安 全芯片结构；重点研究了i p s e c 协议中的消息认证机制，并对它支持的s l a 一2 算法及h m a c - s h a 一2 进行了改进、f p g a 设计实现和验证；最后在现有散列函数优 化方法的基础上，分析了四种新的优化方法。 论文的具体章节安排如下： 第一章着重论述了i p s e c 安全芯片的项目背景以及国内外的研究发展动态。 第二章对i p s e c 安全体系结构进行分析，重点研究了它的两个安全通信协 议，以及对进入、外出数据包的处理流程。在此基础上，分析了i p s e c 工作模 式和安全协议的改进以及新的i p s e c 体系模型，并设计了基于f p g a 技术的i p s e c 安全芯片的体系结构及其验证方案。 第三章从单向散列函数和消息认证码入手，对i p s e c 的认证机制进行深入 研究，并对i p s e c 支持的单向散列函数s h a - 2 ，以及与之对应的消息认证码 h m a c s 姒一2 的具体过程进行了深入的分析和改进。 第四章根据自项而下的设计原则，分别对s h a 一3 5 和h m a c s h a 一3 5 的f p g a 实现过程作了深入细致的论述，并给出了仿真和验证的试验结果。 第五章在现有散列算法硬件实现优化方法的基础上，综合考虑速度( 吞吐 量) 、最大工作频率、面积、功率消耗等性能指标，分析研究了四种新的优化方 法。 第六章是对全文工作的总结与展望。 4 西北1 = 业大学硕士论文 第二章 p s e c 安全芯片的结构设计 第二章i p s e c 安全芯片的结构设计 2 1i p s e c 安全体系 i n t e r n e t 工程任务组( i e t f ) 制定了基于i p 层的安全体系- - i p s e c ( i p s e c u r i t y ) ，可以提供数据源认证、无连接的数据完整性验证、数据机密性、抗 重播保护以及有限的数据流机密性保证 1 i l ，并且发送方、接收方、网关可以根 据本地的安全策略对不同的数据包采用不同的安全措施n 2 j - - i l p 安全粒度可控。 由于i p s e c 安全服务是在网络层提供的，任何上层协议如t c p 、u d p 、i c m p 、i g m p ， 或者任何应用层协议都可以使用这些服务。 i p s e c 对传输的i p 包提供的安全服务如下： 数掘源验证：数据是否来自i p 头内的源地址： 数据的完整性：数据在传输过程中是否被篡改： 包重播：是否是一个恶意的重播包( r e p l a yp a c k e t ) ； 保密性：数据在传输过程中是否被未授权的第三方窥视。 i p s e c 的这些安全功能是通过认证头( a h ，a u t h e n t i c a t i o nh e a d e r ) 协议、 封装安全载荷( e s p ，e n c a p s u l a t i o ns e c u r i t yp a y l o a d ) 协议和i n t e r n e t 密 钥交换( i k e ，i n t e r n e tk e ye x c h a n g e ) 协议实现的，并且其具体的使用方式 是由用户、应用程序、站点、组织对系统的安全需求来决定的。当使用这些安 全机制时，要求不能对不使用这些安全机制的用户、主机、网关等造成负面的 影响。 图2 - 1 是i p s e c 安全体系的各组件及其交互方式”。其中： 1 ) a h 协议提供数据源认证、无连接的完整性，以及个可选的抗重放服务。 2 ) e s p 协议提供数据保密性、有限的数据流保密性、数据源认证、无连接 的完整性，以及抗重放服务。 3 ) i k e 协议用于协商a h 和e s p 协议所使用的密码算法，并将密码算法所使 用的密钥放到合适的位置。 4 ) 解释域( d o i ，d o m a i no fi n t e r p r e t a t i o n ) 是为了使通信双方保持对 通信消息具有相同解释而规定的一些约束。 5 ) 安全策略是i p s e c 安全体系中一个非常重要的组件，它定义了两个通信 实体之间的安全通信特性；定义了在什么模式下使用什么协议；还定义了如何 对待i p 包。对于所有的i p s e c 实施方案都会建立一个安全策略数据库( s p d ， s e c u r i t yp o l i c yd a t a b a s e ) ，通过源地址、目的地址、用户名字、协议、上层 端口这些选择符来对s p d 进行检索，确定采用哪些安全策略。 西北工业人学硕士论文第二章i p s e c 安全芯片的结构设计 6 ) i p s e c 定义了一套默认的、强制实施的加密和认证算法，包括d e s 、3 d e s 、 a e s 、h m a c - m d 5 、h m a c s h a l 、d i f f i e - h e l l m a n 密钥交换等，以确保不同的实施 方案相互间可以共通。假若想增加新的算法，如h m a c s h a 一2 ，其过程也是非常 简单的，不会对共通性造成破坏。 图2 1i p s e c 安全体系 i p s e c 的安全服务粒度是通过安全联盟( s a ，s e c u r i t ya s s o c i a t i o n ) 来控 制。s a 是对通信对等方之间某些要素的一种协定，主要包括i p s e c 协议的操作 模式、密码算法、密钥以及用于保护通信双方间数据流的密钥的生存期等协定。 任何i p s e c 实施方案都会构建安全联盟数据库( s a d b ，s e c u r i t ya s s o c i a t i o n d a t a b a s e ) ，由它来维护安全联盟s a 。一个安全关联是一个单向的连接，为了 确保两台主机或两台安全网关之问双向的通信安全，需要建立两个安全关联( 发 送和接收方各自拥有一个独立的安全关联) 。通过使用安全参数索引( s p i ) 、 目的i p 地址、安全协议( a n 或e s p ) 标识符可以唯一地标识出一个安全关联， 而这些参数将存储在安全关联数据库中。s a 主要利用i p 层的网络协议来实现， 同时也利用了诸如i n t e r n e t 密钥交换协议i k e 和i n t e r n e t 安全关联和密钥管 理协议来实现。 i p s e c 的a h 协议和e s p 协议都有两种操作模式：传输模式和隧道模式。两 者的最大区别是传输模式保护上层协议，而隧道模式保护整个i p 数据报。传输 模式主要是在网络终端上实现，而隧道模式可以在终端或安全网关上实现，并 且在网关上实现时，必须采用隧道模式。在隧道模式下，a h 可以用一种嵌套的 方式使用，也可以与e s p 组合一起使用。 6 西北r 业大学硕十论文第一二章i p s e c 安全芯片的结构设计 2 i i 认证头协议( a h ) a h 协议是在r f c 2 4 0 2 中定义的安全协议，可以为i p 包提供下列的安全服务： 数据源认证和完整性验证：通过在被保护数据后面添加消息认证码 ( m a c ，m e s s a g ea u t h e n t i c a t i o nc o d e ) 来实现： 抗重播保护：通过序列号和消息认证码来确认所接收到的是新包还是一 个重放包。 图2 2 一a 和图2 2 一b 分别是传输模式和隧道模式下进行a h 保护之后i p 包 的数据格式，其中a h 协议头由5 个固定长度的域和1 个变长的认证数据域组成 ”，各个数据域的长度和定义方式如下： 0 7 1 1 5b 33 1071 1 5b 33 1 i p 头新i p 头 下一个头 载荷长度 保留 1 下一个头载荷长度保留 安全参数索引( s p i ) ，至 安全参数索引( s p i ) 序列号 呈平 序列号 ( q 认证数据 1 l 认证数据f 原始i p 头 载荷 载荷 a 传输模式 b 隧道模式 图2 - 2 两种t 作模式下a h 保护后的i p 包格式 下一个头：是一个8 位字段，标识载荷域的协议类型。例如，如果a h 后面是一个e s p 载荷，这个域将包含值5 0 1 如果在a h 之后是另一个a h ， 这个域将包含值5 1 。 载荷长度：表示a h 头的长度，随使用的密码算法和参数而变化。 保留位：这个1 6 位数据域保留将来使用，必须设为0 。 安全参数索引：s p i 是个的3 2 位整数，与外部i p 头中的目的地址一起， 用于识别对这个包进行身份认证的安全联盟s a 。0 保留用于本地和具体 实现，1 2 5 5 的s p 值保留为将来应用，即目前有效的s p i 值为2 5 6 到2 ”一l 。 序列号：是一个单向递增的计数器，能提供抗重播服务。当s a 建立时， 发送者和接收者的序列号值被初始化为0 ，每发送一个数据包序列号加 l ，因此在一个s a 发送的数据包个数达到2 ”时，通信双方必须重新协 商s a 。由于消息认证码的计算包括序列号，因此任何对序列号域的修 两北丁业大学硕十论文第二章| p s e e 安全芯片的结构没计 改都可以被检测出来。 认证数据：包含整个i p 包的消息认证码，用于防止对数据包的非法篡 改。由于消息认证码的计算是带有密钥的，中间的攻击者不知道通信双 方的共享密钥，因而不能对修改后的数据包计算出正确的消息认证码。 载荷：包含上层协议( 例如t c p 、u d p 或者是嵌套使用时的其它协议) 的数据。 在传输模式下，如图2 2 一a 所示，a h 头插在i p 头和上层协议( t c p 、u d p ) 之间，此时，a h 认证整个i p 包( 包括i p 头) 。传输模式下a h 协议有一定的局 限性，当i p 数掘包需要通过网关或防火墙时，为了保护局域网内部的i p 地址， 网关将会对i p 数据包的源地址或目的地址进行修改，a h 头原有的认证数据不再 正确，此时必须使用另一种操作模式一一隧道模式。 在隧道模式下，a h 将插在原始的i p 头之前，另外重新生成一个新的i p 头 放在a h 头之前，如图2 - 2 - b 示。此时，a h 将计算整个i p 包的消息认证码( 包 括新的i p 头) 。为了将数据包发往目的地址，路由器可以访问外部的新i p 头， 而内部的i p 头是受到保护的。 2 1 2 封装安全载荷协议( e s p ) e s p 协议可以为i p 包提供以下这些安全服务： 机密性：通过对载荷数据( 传输模式) 或整个i p 包( 隧道模式) 进行 加密来实现； 数据源认证以及抗重播保护：通过消息认证码和序列号实现； 图2 3 一a 和图2 - 3 - b 分别是传输模式和隧道模式下进行e s p 保护之后的i p 包，其中e s p 协议头( 与尾) 由4 个固定长度域和3 个变长域组成“”，其中安 全参数索引、序列号、下一个头、载荷这四个域与a h 协议相同，其余数据域的 长度和定义方式如下： 初始化向量：有些密码算法要求使用初始化向量( i v ，i n i t i a l i z a t i o n v e c t o r ) ，在每个i p 包中加入初始化向量，可以使得每个包的处理相互 独立。 填充项：某些密码算法要求输入数据长度是一定长度的整数倍( 例如 1 6 位或3 2 位) ，填充项就是用来完成这个任务的，并且填充的内容与 密码算法有关，填充长度在0 2 5 5 字节之间。 填充长度：表明填充域中填充比特的长度，接收端可以根据这个来恢复 载荷数据的真实长度。该字段是硬性规定的，即使没有填充，填充长度 仍要用0 表示出来。 两北工业大学硕士论文第二章i p s e c 安全芯片的结构设计 认证数据：该字段包含着消息认证码，它通过对除认证数据以外的e s p 包进行计算获得。认证数据域的长度取决于使用的认证算法，且是可选 的。 o， 1 1 5 。 3 1 i p 头 f 安全参数索引( s p i ) 2 序列号 置 r 初始化向量 载荷fl r - -呈 填充项融 i ， 口填充长度下一个头 如 认证数据 - a 传输模式 07 | 1 5b 3 3 1 新i p 头 l 安全参数索引( s p i ) 罨序列号 f 初始化向量 原始i p 头 n 载荷 詈 t 填充项 l ， 填充长度下一个头 ? 认证数据 b 隧道模式 图2 - 3 两种工作模式f 受e s p 保护的i p 包格式 在传输模式下，如图2 - 3 - a 所示，e s p 头插在i p 头和上层协议( t c p 、u d p ) 之间，e s p 尾附加在载荷数据后面。此时，e s p 先是对载荷数据进行加密，完成 加密后对除i p 头以外的全部数据进行认证。同样，在传输模式下e s p 协议有一 定的局限性，当数据需要通过网关或防火墙时，为了保护局域网的内部i p 地址， 网关将会对i p 数据包的源地址或目的地址进行修改，e s p 头原有的认证数据不 再正确，此时必须使用隧道模式。 在隧道模式下，e s p 头插在原始i p 头之前，e s p 尾附加在载荷数据后面， 并且重新生成一个新的i p 头放在e s p 头之前，如图2 - 3 - b 示。此时，e s p 将对 整个原始的i p 包进行加密，加密后对除新i p 头以外的全部数据进行认证。为 了将数据包发往目的地址，路由器可以访问外部的新i p 头，而内部的i p 头是 受到保护的。 2 1 3 数据包的处理流程 1 、外出数据包的处理流程 数据包的外出处理，也就是主机发送数据的过程。应用层的数据经传输层打 包流进i p 层，然后在i p 层使用相应的选择符( 包括目的i p 地址、上层端口、 传输协议) 对安全策略数据库s p d 进行检索，根据检索的结果来确定需要对这 9 西北i = 业大学硕七论文 第二章l p s e c 安全芯片的结构设计 个数据包提供哪些安全服务，有以下几种可能： 钆a h 协议处理流程 b ，e s p 协议处理流程 图2 4 外出l p 包的a h 协议和e s p 协议处理流程 丢弃数据包：此时数据包不会得到处理，只是简单的丢掉。 绕过安全服务：执行i p 层原有的处理过程，给数据添加i p 头，然后分 发i p 包，传给下一层的协议。 应用安全服务：在这种情况下，如果已经建立了一个安全联盟s a ，则返 回该s a 的指针；如果尚未建立s a ，就会调用i k e ，建立一个新的安全 联盟。并将建立的s a 添加到s a d b 数据库中，为其分配一个单独的s p i ， 将序列号计数器初始化为0 ，在利用这个s a 构建i p s e c 头之前，计数器 需要开始递增，以确保每个i p s e c 头中的序列号都是一个唯一的、单向 递增的整数。s a 建立结束后，检索的输出返回s p d 内指向这个s a 的指 针。s a 中包含所有必要的信息，并已排好顺序，启动a h 或e s p 处理模 块后，按顺序对包进行一系列处理。 l o 两北工业大学硕士论文 第二章i p s e c 安全芯片的结构设计 图2 4 一a 和图2 4 一b 分别是对外出i p 包的a h 协议和e s p 协议的处理流程 1 4 1 1 6 ，其中t h i s i p 是发送端所属局域网的网关i p ，t u n n e l e n d i p 是接收端所 属局域网网关i p 。在计算数据包的完整性校验值之前，需要将i p 头中的可变字 段调成o 。可变字段包括：服务类型( t o s ，t y p eo fs e r v i c e ) 、旗标( f l a g s ) 、 分段偏移( f r a g m e n to f f s e t ) 、存活时间( t t l ，t i m et ol i v e ) 以及头校验和 ( h e a d e rc h e c k s u m ) 。e s p 比a h 多了一个加密处理，因而可以提供数据机密性 功能。 2 、进入数据包的处理流程 进入处理与外出处理不同。收到i p 包后，对i p 头中的“协议”字段进行 检查，以此来判断数据包中是否包含i p s e c 头。 假如包内没有包含i p s e c 头，那么就通过选择符字段来检索s p d 数据库， 根据检索结果来判断应当如何处理这个包，包括以下三种情况： a a h 协议处理流程 b e s p 协议处理流程 图2 - 5 进入i p 包的a h 协议和e s p 协议的处理流程 丢弃：数据包会被丢弃。 绕过安全处理：将i p 数掘包送入上一层的协议中进行数据包的进一步 西北工业大学硕士论文 第二章i p s e c 安全芯片的结构设计 处理。 应用i p s e c 安全处理：如果没有找到相应的s a ，说明原本应该受到i p s e c 协议保护的数据包没受到保护，应该丢弃。 如果i p 包中包含了i p s e c 头，就会调用i p s e c 安全模块对这个包进行处理。 i p s e c 会从i p 包中提取出s p i 、源地址、目的地址、协议字段，通过这些选择 符来对s a d b 进行捡索，根据结果来决定是采用a h 协议还是e s p 协议，以及相 应的认证、解密操作。协议处理完毕后，需要验证s a 使用的正确性，如果s a 使用不正确，则丢弃该包。完成这些操作后，会将i p s e c 头剥离下来，并将数 据包传递到上一层协议。 图2 5 一a 和图2 - 5 一b 分别是进入i p 包的a h 协议和e s p 协议的处理流程【”。 其中，在对数据进行认证检验时，如果认证结果与认证数据域中的数据相同。 则通过了验证，否则认证失败，丢弃该包。解密是否成功是通过检查填充项来 判断的，因为填充内容要么是从l 开始单向递增的数，要么由加密算法决定， 所以对填充内容进行验证可以判断出数据包是否已被成功的解密。另外，如果 收到的数据包设置了m f 位，这表明还有其他的分段没有到达。i p s e c 将等待直 至一个有着相同的序列号，但m f 位未设置的分段到达，并将所有分段重新组合， 否则会导致数据完整性校验失败。 2 2 i p s e c 安全协议与模式的改进 i p s e c 协议作为一个新兴的网络安全标准，其自身体系结构还不完善，不仅 某些概念过于复杂，而且在实际应用中更存在一些安全漏洞。本文在分析i p s e c 体系结构和安全性能的基础上，研究了一种改进的i p s e c 协议模型 1 7 1 ，它在简 化了原有协议体系一些复杂概念的同时，也使得协议的安全性能有了很大程度 的提高。 2 2 1 工作模式的简化 i p s e c 提供的传输模式适用于端主机，两个主机经过i k e 协商s a ，使双方传 输的i p 分组受到e s p ( 或a h ) 的安全保护，其优势在于： 1 ) 即使内网中的其他用户，也不能理解传输于两个端主机之间的数据内容。 2 ) 分担了i p s e c 处理负荷，避免了i p s e c 处理的瓶颈问题。 传输