基于下一代互联网的IPSec安全网关系统设计设计论文.pdf

1 9 6 网络新技术与应用研讨会论文集 2 0 0 5 基于下一代互联网的I P S e c 安全网关系统设计 E 冒 I 7 1 炅仞 北京交通大学计算机与信息技术学院1 0 0 0 4 4 摘要 本文简要论述了P 层安全协议I P S e c 的体系结构 对其关键技术作出分析 提出和实 现了一个I P S e c 安全网关应用系统 在远程客户需要并发出安全服务请求的情况下 安全网关给 予响应 动态地生成安全策略S P 及其协商S A 在客户主机与安全网关之间建立I P S e c 安全通道 保护远程主机对安全网关背后受保护子网的安全访问 关键字 I P S e c I P V 6 安全网关 W i n d o w s2 0 0 0 D e s i g no fI P S e cS e c u r i t yG a t e w a yB a s e do nN e x t G e n e r a t i o nN e t X i a Y a n gJ i a Z h u o s h e n g S c h o o lo fC o m p u t e ra n dI n f o r m a t i o nT e c h n o l o g yo fB e i ji n gJ i a o t o n gU n i v e r s i t y10 0 0 4 4 A b s t r a c t T h i sp a p e rb r i e f l yd e s c r i b e st h ea r c h i t e c t u r eo fl PS e c u r i t y a n da n a l y s e st h ek e y t e c h n o l o g yo fI P S e cp r o t o c 0 1 p u t sf o r w a r da n di m p l e m e n t s 卸I P s e cs e c u r i t yg a t e w a ya p p l i c a t i o n s y s t e m w h i c hh a st h ef u n c t i o nt h a tw h e nt h er e m o t ec l i e n ta s k sf o rt h es e c u r i t ys e r v i c e as e c u r i t y m u t e w a yw i l lb es e tu pb e t w e e n t h er e m o t eh o s ta n dt h es e c u r i t yg a t e w a yt op r o t e c tt h ea c c e s sf r o m t h er e m o t eh o s tt ot h ep r o t e c t e ds e c u r i t ys u b n e tb e h i n dt h eg a t e w a y K e y w o r d s I P S e c I P V 6 S e c u r i t yG a t e w a y W i n d o w s2 0 0 0 一 引言 随着互联网的迅速发展 网络安全已成为一个日益突出的问题 网络安全的目标是确保网络 信息的安全 包括传输信息的安全和存储信息的安全 传输信息的安全是指信息在网络上动态 传输过程中的安全 存储信息的安全是指网络上存储的静态信息不被非法读取 修改和删除 针对网络安全问题 目前I P S e c 网际协议安全 被认为是抵御内部 专用及外部网络攻击 的关键协议 并作为安全网络的长期方向 I P S e c 是由一系列协议组合而成的能够实现网络安全 的保护服务和安全协议的协议簇 作为下一代互联网中的重要协议I P v 6 设计充分体现了安全 性的考虑 致使I P S e c 成为I P v 6 实现的一部分 I P S e c 在I P v 4 和I P v 6 中都可以实现 在I P v 6 中是强制 协议 二 I P S e c 协议体系 在R F C 2 4 0 1 中 由I E T F 的I P 安全协议工作组正式定义并且实施了I P S e c 协议 它的主要设计 理念是通过非对称的公钥一私钥对来对数据进行安全保护 简单来说 I P S e c 主要提供两种措施 一种是认证 一种是加密 I P s e c 协议体系包括了两大部分 包括了包处理部分 验证 加密 夏杨 1 9 8 2 女 硕士研究生 m m a x i a 2 6 1 6 3 g o m 信息安全 1 9 7 和密钥交换部分 其中 I P s e c 基于I P s e c 的安全策略 S P 和安全联盟 S A 来对数据包处理 S P 指出了哪些进出的包应该用I P s e c 策略 是忽略还是丢弃该包 当s P 指出一个数据包要应用 I P s e c 时 I P s e c 的协议栈就使用S A 中的参数来处理数据包 S A 由目的地址 I P s e c 协议和安全参 数索引 S P I 唯一标识 S A 包括了它的标识号 算法 密钥 反重传计数器 生存时间等等 参数 S A 存储在I P s e c 协议安全联盟数据库 S A D 中 S P 存储在I P s e c 安全策略数据库 S P D 中 每个启用安全措施的接口都必须具有这两个数据库 S P A 和S P D 换言之 实施T I P s e c 协 议的主机都应该有这两个数据库 I P s e c 体系有两种模式 一种为传输模式 一种为隧道模式 传输模式是用来进行端点到端 点的通信 而隧道模式是用来从安全网关到安全网管的通信 认证头 A H 协议的目的是用 来增加I P 数据报的完整性 即防止数据报被撰改 A H 用于为I P 提供数据无连接的完整性 数据 源身份验证和抗重播服务 它并不加密所验证的数据包 而只是为I P 数据流提供高强度的密码 验证 以确保被修改过的数据包可以被检查出来 A H 使用消息认证码 M A C 对I P 进行认证 M A C 是一个需要密钥来对消息进行散列生成消息摘要的方法 因此对数据的完整性认证可靠性 高 另外 除了要提供数据报的完整性 还要提供数据报的安全性 即防止数据报被第三方窃听 I P s e c 中也提供了对数据包加密的办法 即封装安全载荷 E S P E S P 提供数据保密 数据源 认证 无连接完整性 抗重播服务和有限的数据流保密 保密服务通过使用密码算法加密I P 数 据报和相关部分实现 E S P 中使用对称密钥密码算法加密数据报 在R F C 2 4 0 6 中规定了每个I P s e c 要强制实现的算法 加密算法是C B C 模式的D E S 和空加密算法 认证算法是H M A C M D 5 H M A C S H A 1 和空认证算法 其中的空加密和空认证是指不进行加密盒认证服务 但是这两项 不能同时生效 R P E S P 中既不能不加密也不能不认证 三 I P S e c 安全访问 I P S e c 的实现可以放置在网络中的路由器 网关 防火墙或主机不同的地方 在端到端的 网络安全通信中 I P 数据包的I P S e c 安全处理是由发送主机和接收主机来实现的 在网关到网关 的网络安全通信中 两个网关之间的I P 数据包的I P S e c 安全处理是由网关来实现的 还有第三种 也就是将要在下面的安全网关系统设计中将要用的主机到网关之间的网络安全通信 这种应用 形式下的主机多是漫游主机且支持I P S e c 能够对外出I P 数据包进行安全保护 保证其在抵达目 的网关的过程中是安全的 也能够对经过目的网关做过安全处理的进入的I P 数据包验证它们的 安全性 允许主机跟受保护网络之间展开远程安全通信 通信中 主机方既是通信方 又是I P S e c 端点 而安全网关 是把I P S e c 实现的安全服务提供给一个网络实体 四 I P S e c 安全网关的设计 随着I P V 6 网络的发展 I P V 6 网络和P v 4 的网络间的信息交互将不断的增加 许多局域网都 陆续的使用I P V 6 网络 某远程漫游主机 它想要通过不安全的I n t e m e t 互联网络访问学校或单位 内部的安全子网 获取机密或敏感的数据信息 为保护这些数据信息 需要在安全网关与远程主 机之间建立起I P S e c 安全通道 保护远程主机与安全子网内所有主机的数据信息 安全网关和远 程主机之间的安全通道不是事先和恒久建立的 只是在需要时由远程主机发起安全访问请求 由安全网关给予响应 动态的生成安全策略S P 及其协商S A 建立起可用的I P S e c 安全通道 安 全网关系统的模拟物理模型如图l 所示 网关的设计在安全网关一方 能够实现I P V 4 I P V 6 数据包的转换 封装 路由转发和I P S e c q 9 8 一 网络新技术与应用研讨绒文集 2 咝L 协议的实现 j 安全两关接受处理远程芏机的墼隶或建立或辙漕安奎通遭请求 i 对发起请求台哼用 户实施认证 只有合法的用户才能够被允许与安全网关建立妥喹通遭 魂供安全访向服务 爱 全网关需要对注册I P s e c 安全应用的用户进行管理 j 毪用户 秀相户圭机同样是伊 c 协议实现 的主机 用户发起建立 撤销安全遗道的请求 用户首先要向安全网关提交用用户帐号和密码 接受安全网美的认证 之后与两关交互瓠 甲 甲 工髂 c 安全通道 J1 D 懵安全子网 r p l 网络 远程主机 I P s t c 安全网关 图1 安全网关系统的模拟物理模型 安全网关采用双协议栈和隧道技术进行I P V 4 和I P V 6 数据包的转发处理 I P V 4 和I P V 6 是功 能相近的网络层协议 两者基于相同的物理平台 而且加载于其上的传输层协议T C P 和U D P 又 没有什么区别 如图2 所示 应用程序 T C P U D P I P V 6 协议I F V 4 协议 物理网络 图2I P V 4 I P V 6 双协议栈协议结构 I P v 6 的报文封装在I P V 4 的报文中 在I P V 4 的网络上传输 隧道的两端是两个双协议的节点 发送端节点将I P v 6 报文作为其I P v 4 报文的数据段进行封装 当然还要做相应的分段 计算校验 和等工作 然后向接收端的I P V 4 地址发送 接收端在收到报文后做相应的合段等工作 通过I P V 4 的协议类型字段发现其中封装的是I P V 6 报文 将作为数据段传输的I P V 6 报文交由其I P V 6 的协议 栈处理 隧道是单项的 所以要实现通信必须在两个方向都建立隧道 由图2 可以看出 如果一台主机同时支持I P V 6 和I P V 4 两种协议 那么该主机既能够与支持 I P V 4 协议的主机通信 又能够与支持I P V 6 协议的主机通信 这个安全网关系统实际上是一个C S 模式的网络应用 需要客户端进程与服务器端进程的 通信与协作 安全网关开启I P S e c 后台服务进程 等待并响应来自远程主机进程发起的建立I P S e c 安全通道的请求 客户进程向安全网关发起建立安全网关的请求 同时提交帐号和密码 网关进程接收到服 务请求 对用户身盼信息进行验证 若通过验证 则允许与客户主机建立I P S e c 安全通道 网关 服务器端生成S A st oc 送到客户端 客户端收至I J S A st oc 即获得S A c i n 然后客户端生成S A c t os 送到网关服务器端 网关服务器端收到S A ct os 即获知S A s o u t 会话结束 网关和主机 已经互知了对方的r P 地址 一二者之间的S P 此时可以确立 网关和客户主机再分别面向操作系统 写入S P S A 配置 则m S e c 安全通道建立 若身份验证没有被通过 则拒绝用户请求 系统采用 R S A 非对称密钥加密机制来保证建立安全通道的协商会话过程的安全性 信息安全 1 9 9 五 系统的实现 安全网关系统的实现主要由两个主要部分组成 一个是用户管理模块的实现 另一部分就是 安全通道服务的实现 按照系统需求分析 安全网关只对那些被授权的合法用户提供安全服务 因此 需要一个 用户管理功能模块 负责注册用户的管理工作 如给用户生成会话密钥对 添加 删除用户和 修改用户信息 该模块使用C 面向对象技术实现 定义一个用户类 对用户管理的所有操作 封装于类中 安全通道服务的实现主要是通过在W i n d o w s2 0 0 0 中配置I P 安全策略来实现 网关和客户 主机均使用W i n d o w s2 0 0 0 操作系统 W i n d o w s2 0 0 0 使用策略而非应用程序或操作系统来配置 I P S e e 网络安全管理员可以配置多种I P S e c 策略 W i n d o w s2 0 0 0 提供集中管理控制台 I P 安全 策略管理来定义和管理I P S e c 策略 在具体配置使用W i n d o w s 2 0 0 0 的I P 安全功能时 需考虑的几 个方面是 决定使用哪种I P S e c 协议 决定使用I P S e c 的哪种工作模式 设计I P S e c 筛选器以识别哪 些数据包需用I P S e c 进行保护 确定在数据包满足I P S e c 筛选器的情况下应该发生的动作 确定如 果数据包满足I P S e c 筛选器标准 应该使用哪种加密级 设计计算机如何使用I P S e c 保护相互间的 身份验证 无论是安全网关还是客户主机我们均采用服务器 请求安全设置 安全策略 如果采用这条 策略 表示这台计算机与其他计算机进行通信时 首先要求进行安全通信 如果对方计算机不 支持安全通信 这台计算机也可以与对方计算机进行通信 但这一通信是不可靠的 身份验证 我们采用预共享密钥方法 采用这种方法时 通信双方用一个事先认定的字符串来进行身份验 证 在广域网中 在不同的域中进行通信 都可以采用这种方法 传输数据选择加密算法3 D E S 这是最安全的方法 采用3 个5 6 位二进制的密钥 对每一个数据块处理3 次 每一次都利用特有 的密钥 I P S e c 的工作模式应选择隧道工作模式进行信息的传送 对于由I P S e c 保护的主机而言 筛选器是最重要的部分 可触发I P S e c 安全关联的建立 如果 不在客户和服务器策略中指定适当的筛选器 或者在I P 地址改变之后没有更新策略的筛选器 将无法提供安全性 I P 筛选器列表触发建立在与源 目标及I P 传输类型匹配的基础上的安全协 商 I P S e c 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器 入站筛选器适用于 传入的通讯 并允许接收端的计算机响应安全通讯请求 或者按照I P 筛选器列表匹配通讯 出站 筛选器适用于传出的通讯 并触发一个在通讯发送之前进行的安全协商 使用t P S e c 的隧道模式 即双方都必须同时建立出站和入站两个筛选器列表 每个都包含一个单向筛选器 需要指定一个 隧道 每个筛选器列表指定一个通讯方