（通信與信息系統(tǒng)專(zhuān)業(yè)論文）路由器中ipsec的研究與實(shí)現(xiàn).pdf

北京交通大學(xué)碩士學(xué)位論文摘要 摘要 隨著i n t e rn e t 在全世界的普及， 在加強(qiáng)人們溝通的同時(shí)， 也暴露出了 嚴(yán)重的安全隱患，于是網(wǎng)絡(luò)安全也就自 然越來(lái)越引起人們的關(guān)注。而現(xiàn) 在廣泛使用的i p v 4 協(xié)議， 最初并沒(méi)有考慮到安全性， 隨著安全問(wèn)題的日 益突出， 新一代網(wǎng) 絡(luò)安全標(biāo)準(zhǔn)i p s e c ( i p s e c u r i t y ) 應(yīng)運(yùn)而生。 i p s e c 是i e t f為保證i p 層機(jī)密性、 完整性、 可認(rèn)證性而制定的一個(gè) 開(kāi)放的安全標(biāo)準(zhǔn)框架， 它是一組網(wǎng)絡(luò)安全協(xié)議的 集合。文中 對(duì)i p s e c 協(xié) 議體系進(jìn)行了闡述。 路由器作為i p網(wǎng)絡(luò)的核心設(shè)備，在網(wǎng)絡(luò)互聯(lián)中的地位舉足輕重。要 想保護(hù)網(wǎng)絡(luò)安全。就必須把好路由器這一關(guān)。因此，路由器的安全措施 勢(shì)在必行。 經(jīng)過(guò)幾年的研究與實(shí)踐， 2 0 0 2 年5 月， 實(shí)驗(yàn)室正式啟動(dòng)國(guó)家 8 6 3 ”重點(diǎn)項(xiàng)目 一“ 高性能i m 路由 器協(xié)議棧軟件” 。 i p s e c 作為網(wǎng) 絡(luò) 層的安全協(xié)議， 成為路由 器協(xié)議棧軟件中的一分子。在自 主開(kāi)發(fā)的路由 器協(xié)議棧軟件上實(shí)現(xiàn)i p s e c ，正是本論文構(gòu)建的基礎(chǔ)。 我們?cè)谡撐闹薪o出了路由器的軟件功能結(jié)構(gòu)，提出將 i p s e c作為一 個(gè)協(xié)議功能軟件來(lái)實(shí)現(xiàn)的設(shè)計(jì)思想， 并選擇實(shí)時(shí)嵌入式操作系統(tǒng)作為路 由器實(shí)施的軟件平臺(tái);推出了基于i p s e c 協(xié)議的安全路由器構(gòu)架，針對(duì) v x w o r k s 和實(shí)時(shí)l i n u x 這兩種操作系統(tǒng)，分別給出在i p v 4 和i m 雙協(xié) 議棧下i p s e c 的具體實(shí)施方案， 并分模塊重點(diǎn)介紹了v x w o r k s 下i p s e c 實(shí) 現(xiàn)的細(xì)節(jié)問(wèn) 題。 最后是對(duì)所實(shí)現(xiàn)系統(tǒng)的調(diào)試與測(cè)試結(jié)果， 針對(duì)路由 器中 i p s e c 實(shí)現(xiàn)的不足之處，給出改進(jìn)建議并提出發(fā)展方向。 關(guān)鍵詞:i p s e c 路由 器實(shí)時(shí)嵌入式操作系統(tǒng) 北y 父通人學(xué)f a ll 士學(xué)位論文 ab s t r a c t wi t h t h e p r e v a l e n c e o f i n t e rn e t o v e r t h e wo r l d , it s t r e n g t h e n s t h e c o m m u n i c a t i o n o f p e o p l e b u t a l s o e x p o s e s s e r i o u s s e c u re h i d d e n t r o u b le . s o t h e p r o b l e m o f n e t w o r k s e c u r ity a t t r a c t s m o re a n d m o r e a t t e n t i o n o f p e o p l e . b u t i p v 4 w h i c h is p o p u l a r l y a p p l ie d n o w i s a p ro t o c o l w i t h n o c o n s i d e r a t i o n o f s e c u r i ty . w i t h i n c r e a s i n g p ro m i n e n c e o f s e c u r i ty p r o b l e m , i p s e c - t h e n e w s e c u r i ty s t a n d a r d f o r i n t e rn e t , w a s b o rn w i t h t i m e . i p s e c i s a o p e n s t a n d a r d s e c u r i ty fr a m e c o n s t i t u t e d b y i e t f f o r i p l a y e r s c o n f i d e n t i a l i ty , i n t e g r a l i ty a n d a u t h e n t i c a t i o n . i t i s a s u i t o f n e t w o r k s e c u r i t y p r o t o c o l s . we e x p a t ia t e o n i p s e c p ro t o c o l a r c h i t e c t u r e i n t h i s p a p e r . a s t h e c o r e d e v i c e o f i p n e t w o r k , r o u t e r s s t a t u s h o l d s t h e b a l a n c e i n n e t w o r k s i n t e r l i n k a g e . i n o r d e r t o e n s u re n e t w o r k s e c u r i t y , r o u t e r m u s t b e w e l l s a f e g u a r d e d . s o , s e c u r i ty m e a s u r e s s h o u l d b e i m p l e m e n t e d o n r o u t e r . a ft e r a l o t o f r e s e a r c h a n d p r a c t i c e , t h e 8 6 3 p r o g r a m ， 一 “ t h e p r o t o c o l s u it e s o f t w a r e o f h i g h p e r f o r m a n c e o f i p v 6 r o u t e r w a s s t a r t e d u p i n o u r l a b o r a t o r y , m a y 2 0 0 2 . a s n e t w o r k s e c u r i ty p ro t o c o l , i p s e c b e c o m e s m e m b e r o f t h e r o u t e r s p r o t o c o l s u i t e . r e a l i z a t i o n o f i p s e c o n t h e r o u t e r s p r o t o c o l s u i t e w h i c h i s d e v e l o p e d b y o u r s e l v e s i s t h e b a s e o f t h i s p a p e r . w e g iv e o u t l o w e n d r o u t e r s a r c h i t e c t u r e o f it s s o f t w a r e f u n c t i o n , a n d b r i n g f o r w a r d t h e d e s i g n t h o u g h t t h a t r e a li z e i p s e c a s a p r o t o c o l s f u n c t i o n a l s o ft w a r e , w h a t s m o r e , s e l e c t r e a l - t i m e e m b e d d e d o p e r a t i o n s y s t e m a s t h e p l a t f o r m o f r o u t e r s s o ft w a r e . wh a t s m o r e , w e p u t f o r w a r d s e c u r e r o u t e r s a r c h i t e c t u r e b a s e d o n i p s e c , g i v e o u t t h e c o n c r e t e l y i m p l e m e n t i n g s c h e m e a i m i n g a t v x wo r k s a n d r e a l - t i m e l i n u x o p e r a t i o n s y s t e m s , e m p h a s i z e t h e d e t a i l e d p r o b l e m s o f i p s e c re a li z a t i o n u n d e r v x w o r k s .t h e l a s t p a r t is t h e d e b u g g i n g a n d t e s t i n g r e s u l t s o f t h e s y s t e m . f i n a l l y , w e p o i n t o u t t h e d e f i c i e n c y o f i p s e c r e a l i z a t i o n a n d c o m e t o s o m e i m p r o v e d m e a s u r e s a n d d e v e l o p i n g d i r e c t i o n i n t h e f u t u r e . : i p s e c ( i p s e c u t i ty ) r o u t e r r t e m b e d d e d o s y5 $ 5 3 9 1 獨(dú) 創(chuàng) 性 說(shuō) 明 本人聲明所呈交的論文是我個(gè)人在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作 及取得的研究成果。 盡我所知， 除了文中特別加以標(biāo)注和致謝的地方外， 論文中不包含其他人已 經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果，也不包含為獲得北 京交通大學(xué)或其他教育機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。與我一同工 作的同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說(shuō)明并表 示了謝意。 簽 名:日 期: 關(guān)于論文使用授權(quán)的說(shuō)明 本人完全了解北京交通大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定，即: 學(xué)校有權(quán)保留送交論文的復(fù)印件，允許論文被查閱和借閱;學(xué)校可以公 布論文的全部或部分內(nèi) 容，可以 采用影印、 縮印或其他復(fù)制手段保存論 文。 論文中所有創(chuàng)新和成果歸北京交通大學(xué)i p網(wǎng) 絡(luò)實(shí)驗(yàn)室所有。 未經(jīng)許 可，任何單位和個(gè)人不得拷貝。版權(quán)所有，違者必究。 簽 名:導(dǎo)師簽名 期 : 拼 例譯 .， 了t , 7 . 7 - ri、 v 卿ia j 瓜 之 文 公布 北京交通大學(xué)碩士學(xué)位論文第一章緒論 第一章緒 論 1 . 1 選 題背景 及意 義 1 . 1 . 1 i n t e r n e t 安全 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展， 全球信息化己成為人類(lèi)發(fā)展的大趨勢(shì)。 但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi) 放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌 的攻擊。在i n t e rn e t 所受到的攻擊中，最嚴(yán)重的包括i p 哄騙 ( 入侵者偽 造假的i p 地址，并對(duì)基于i p 認(rèn)證的 應(yīng)用程序進(jìn)行哄騙) 和各種的 竊聽(tīng) 和嗅探網(wǎng)包 ( 攻擊者在信息傳輸過(guò)程中非法截取如登錄口 令或數(shù)據(jù)庫(kù)內(nèi) 容一類(lèi)的敏感信息) . 所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn) 題。對(duì)于軍用的自 動(dòng)化指揮網(wǎng)絡(luò)、 c 3 1 系統(tǒng)和銀行等傳輸敏感數(shù)據(jù)的計(jì) 算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú) 用、 甚至?xí)＜皣?guó)家安全的網(wǎng) 絡(luò)。 但是無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中， 都存在著自 然和人為等諸多因素的 脆弱性和潛在威脅.故此，網(wǎng)絡(luò)的安 全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng) 絡(luò)信息的保密性、完整性和可用性。 1 . 1 .2 i p s e c 提出 我們可以 在i n t e rn e t 上使用許多機(jī)制來(lái)提供安全， 具體使用何種機(jī)制 依賴(lài)許多決定因素， 這些決定因素大致上可以 分為三類(lèi) i o n : 威脅原型， 即什么人會(huì)使用什么機(jī)制來(lái)攻擊什么資 源;保護(hù)粒度，即具體保護(hù)的對(duì) 象:實(shí)現(xiàn)層，即安全機(jī)制的實(shí)現(xiàn)層次。一般來(lái)說(shuō)，如果安全機(jī)制能和協(xié) 北京交通人學(xué)碩士學(xué)位論文第一章緒論 議結(jié)合嚴(yán)謹(jǐn)，就是安全的、清晰的、有效的設(shè)計(jì)方案，并且安全機(jī)制實(shí) 現(xiàn)的層次越低，能夠保護(hù)的協(xié)議就越多，對(duì)實(shí)現(xiàn)該安全機(jī)制的系統(tǒng)的修 改也就越小，而隨著 i n t e rn e t 的發(fā)展，i p協(xié)議的重要性越來(lái)越突出，i p 協(xié)議將是未來(lái)各種網(wǎng)絡(luò)交換的中 心， 大部分的網(wǎng) 絡(luò)技術(shù)都將是基于i p 協(xié) 議的。而且，通常一個(gè)系統(tǒng)的安全并不僅僅是基于單獨(dú)一個(gè)單元，而是 一些單元綜合作用的結(jié)果。在用來(lái)阻止較低層次的攻擊來(lái)說(shuō)， i p 層次確 實(shí)是一個(gè)正確的層次，這些攻擊如上所述，由于簡(jiǎn)單易行，它們?cè)谒?的網(wǎng)絡(luò)攻擊中占有非常大的比 例. 所以， 在i p 層實(shí)現(xiàn)的安全機(jī)制才能更 好的滿(mǎn)足當(dāng)前的安全需要，而現(xiàn)有的互聯(lián)網(wǎng)協(xié)議標(biāo)準(zhǔn) ( i p v 4 )未提供任 何的安全特性， i p 數(shù)據(jù)包本質(zhì)上是不安全的， 很容易被攔截、 篡改、 偽 造或重播。 為此， i e t f 專(zhuān)門(mén)制訂了新一代的網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)一i p s e c ( i p s e c u r i ty ) . 早在 1 9 9 4 年，互聯(lián)網(wǎng)體系機(jī)構(gòu)理事會(huì) ( i n t e rne t a r c h i t e c t u r e b o a r d , i a b )曾發(fā)表了一篇關(guān)于 互聯(lián)網(wǎng)體系結(jié)構(gòu)中的安全問(wèn)題 ( r f c 1 6 3 6 ) ) 的報(bào)告。 報(bào)告中陳述了 人們對(duì)安全的渴望，并闡述了安全機(jī)制的關(guān)鍵技 術(shù)，其中包括保護(hù)網(wǎng)絡(luò)構(gòu)架免受非法監(jiān)視及控制，以及保證終端用戶(hù)之 間使用認(rèn)證和加密技術(shù)進(jìn)行安全交易等。 由 此， i n t e rn e t 工程任務(wù)組i e t f 于 1 9 9 4年開(kāi)始了一項(xiàng) i p安全工程， 專(zhuān)門(mén)成立了 i p安全協(xié)議工作組 i p s e c ，來(lái)制定和推動(dòng)一套稱(chēng)為i p s e c 的i p 安全協(xié)議標(biāo)準(zhǔn)。其目 標(biāo)就是 把安全集成到i p 層， 以 便對(duì)i n t e rn e t 的安全業(yè)務(wù)提供低層支持。 從1 9 9 5 年開(kāi)始， i e t f 著手研究制定一套用于保護(hù)i t , 通信的i p 安全協(xié)議， 并于 1 9 9 5 年8 月公布了一系列關(guān)于i p s e c 的 建議標(biāo)準(zhǔn)。 如今i p s e 。 協(xié)議已 成為新一代i n t e rn e t 的安全標(biāo)準(zhǔn)，它可以“ 無(wú)縫” 地為i p 引入安全特性， 并對(duì)數(shù)據(jù)源提供身份驗(yàn)證， 數(shù)據(jù)安全完整性檢查 以及機(jī)密性保證機(jī)制，可以防范數(shù)據(jù)收到來(lái)路不明地攻擊.由于是處于 北京交通大學(xué)碩士學(xué)位論義 第一 章緒 論 網(wǎng)絡(luò)層地安全協(xié)議，i p s e c協(xié)議可被上層地任何協(xié)議所使用，如 t c p , u d p , i c mp , b g p 等等。i p s e 。 的設(shè)計(jì)既適用于i p a 又適用于i p m 它在i p v 4 中作為一個(gè)建議的可選服務(wù)， 對(duì)i p v 6 是一項(xiàng)必需支持的功能: 作為目 前唯一能為任何形式的 i n t e rn e t 通信提供安全保障的協(xié)議， i p s e c的問(wèn)世立即受到了全世界的矚目，井被業(yè)界普遍接受和應(yīng)用。各 種應(yīng)用程序可以享用i p 層提供的安全服務(wù)和密鑰管理， 而不必設(shè)計(jì)和實(shí) 現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開(kāi)銷(xiāo)，也降低了產(chǎn)生安全漏洞 的可能性。 i p s e c可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信 鏈路上配置， 實(shí)現(xiàn)端到端安全、 虛擬專(zhuān)用網(wǎng)絡(luò) ( v p n ) 和安全隧道技術(shù)。 而且， i p s e c 技術(shù)的出 現(xiàn)為v p n的實(shí) 現(xiàn)提供了 一種優(yōu)越的 途徑， 它己 經(jīng) 成為構(gòu)建虛擬專(zhuān)用網(wǎng)的基礎(chǔ)。 1 . 1 .3 t c p i i p 各層安 全機(jī) 制比 較 由于t c p / i p協(xié)議本身不具備安全功能， 人們就根據(jù)實(shí)際應(yīng)用需求對(duì) t c p / i p 協(xié)議各層逐步進(jìn)行安全增強(qiáng)，開(kāi)發(fā)了多種安全協(xié)議和機(jī)制: 1 、防火墻 ( f i r e w a l l ) 防火墻是建立在內(nèi)部網(wǎng) 和外部網(wǎng)之間的安全監(jiān)控系統(tǒng)，是系統(tǒng)的第 一 道防線(xiàn)， 用于實(shí) 現(xiàn) 訪問(wèn) 控制，即 阻 止 外部入 侵 者進(jìn)入內(nèi) 部網(wǎng)， _ 而 允 許 內(nèi)部網(wǎng)用戶(hù)訪問(wèn)外部網(wǎng)絡(luò)， 從而防止互聯(lián)網(wǎng)的損壞( 如病毒或資源盔 用) 波及內(nèi)部網(wǎng)絡(luò)。防火墻按照系統(tǒng)管理員預(yù)先定義好的規(guī)則來(lái)控制數(shù)據(jù)包 的進(jìn)出，它具有以下特點(diǎn): 1 )內(nèi)部網(wǎng)與外部網(wǎng)交流的所有信息都必須通過(guò)它; 2 )只有經(jīng)過(guò)授權(quán)許可的通信業(yè)務(wù)才被允許通過(guò); 3 )防火墻自 身對(duì)外部具有一定的抗入侵能力。 設(shè)計(jì)防火墻的目的有四點(diǎn): 北京交通大學(xué)碩士學(xué)位論文第一章緒論 i )它限制訪問(wèn)者進(jìn)入一個(gè)被嚴(yán)格控制的點(diǎn); 2 ) 它防止進(jìn)攻者接近防御設(shè)備; 3 )它限制訪問(wèn)者離開(kāi)一個(gè)被嚴(yán)格控制的點(diǎn); 4 ) 檢查、 篩選、 過(guò)濾和屏蔽 信息流中的 有害服務(wù)， 防止對(duì)計(jì)算機(jī)系 統(tǒng)進(jìn)行蓄意破壞。 當(dāng)前實(shí)現(xiàn) “ 防火墻”功能的主要技術(shù)有:數(shù)據(jù)包過(guò)濾、應(yīng)用網(wǎng)關(guān)和 代理服務(wù)器等。 i n t e rn e t 的“ 防火墻” 技術(shù)目 前己經(jīng)比較成熟， 簡(jiǎn)單的防 火墻技術(shù)可在路由器上直接實(shí)現(xiàn)，而專(zhuān)用的防火墻提供更加可靠的網(wǎng)絡(luò) 安全控制方法。 2 , i p 包過(guò)濾 ( i p p a c k e t f i l t e r i n g ) 包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇，選擇的依據(jù)是系 統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，稱(chēng)為訪問(wèn)控制列表。通過(guò)檢查數(shù)據(jù)流中的每一個(gè) 數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素，或它們的 組合來(lái)確定是否允許數(shù)據(jù)包通過(guò)。 3 、網(wǎng)絡(luò)地址轉(zhuǎn)換 ( n a t ) 網(wǎng)絡(luò)地址轉(zhuǎn)換可以 動(dòng)態(tài)的改變 i p報(bào)文中的源 i p地址和 ( 或)目的 i p 地址，以達(dá)到地址重用或地址隱藏的目的。 4 , i p 安全體系結(jié)構(gòu) ( i p s e c ) i p s e c 協(xié)議是為i p v 4 和i p v 6 提供可互操作的、 高質(zhì)量的基于密碼的 安全性。提供的安全服務(wù)系列包括接入控制、無(wú)連接完整性、數(shù)據(jù)源驗(yàn) 證、抗重播保護(hù)、機(jī)密性 ( 加密) 、有限通信流機(jī)密性。這些服務(wù)在 i p 層提供，保護(hù) i p和/ 或上層協(xié)議。這些目 標(biāo)通過(guò)使用兩種通信安全協(xié)議 ( 即a h和e s p ) 和密鑰管理程序及協(xié)議來(lái)實(shí)現(xiàn)。 5 , s oc ks 是一個(gè)需要認(rèn)證的防火墻協(xié)議。 s o c k s 協(xié)議的優(yōu)勢(shì)在于訪問(wèn)控制， 北京交通大學(xué)碩士學(xué)位論文第一章緒論 因此適合用于安全性較高的v p n s o c k s v 5 在o s i 模型的會(huì)話(huà)層控制 數(shù)據(jù)流，它定義了非常詳細(xì)的訪問(wèn)控制，在客戶(hù)機(jī)和主機(jī)之間建立一條 虛電路，可由 此對(duì)用戶(hù)的認(rèn)證進(jìn)行監(jiān)視和訪問(wèn)控制。用 s o c k s v 5的代 理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)。如果s o c k v s 同防火墻結(jié)合起來(lái)使用， 數(shù)據(jù)包經(jīng)一個(gè)唯一的防火墻端口到代理服務(wù)器，代理服務(wù)器然后過(guò)濾發(fā) 往目的計(jì)算機(jī)的數(shù)據(jù)，這樣可以防止防火墻上存在的漏洞。因?yàn)?s o c k s v s 通過(guò)代理服務(wù)器來(lái)增加一層安全性， 因此其性能往往比低層協(xié) 議差。 6 ,安全套接字層 ( s s l ) s s l是在i n t e r n e t 基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。 它能使 客戶(hù)/ 服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽(tīng)， 并且始終對(duì)服務(wù)器進(jìn)行認(rèn) 證，還可選擇對(duì)客戶(hù)進(jìn)行認(rèn)證。s s l 協(xié)議要求建立在可靠的傳輸層協(xié)議 之上，s s l協(xié)議的優(yōu)勢(shì)在于它是與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)的。高層的應(yīng)用 層協(xié)議能透明的建立于s s l協(xié)議之上。 s s l協(xié)議在應(yīng)用層協(xié)議通信之前 就己經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后 應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密， 從而保證通信的私密性。 7 、應(yīng)用層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì) 特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯規(guī)則，并在過(guò)濾的同 時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì)，形成報(bào)告。 8 , a a a認(rèn)證技術(shù) a a a即 u t h e n t i c a t io n ( 認(rèn)證) 、 a u t h o r i z t i o n ( 授權(quán)) 、 a c c o u n t i n g ( 記 帳)的縮寫(xiě) 。 a a a認(rèn)證技術(shù)是設(shè)計(jì)用來(lái)動(dòng)態(tài)配置遠(yuǎn)程用戶(hù)的每條線(xiàn)路 或每項(xiàng)服務(wù)的認(rèn)證、授權(quán)、記帳模型，通過(guò)創(chuàng)建訪問(wèn)控制列表來(lái)定義認(rèn) 證、 授權(quán)和記帳的類(lèi)型， 然后把這些方法列表應(yīng)用到具體服務(wù)或接口上。 北京交 通大學(xué)碩 _ 學(xué)位論文第 一章緒論 a a a認(rèn)證技術(shù)應(yīng)用于內(nèi)部網(wǎng)絡(luò)， 在內(nèi)部網(wǎng)絡(luò)中設(shè)置撥號(hào)服務(wù)器或網(wǎng)絡(luò)訪 問(wèn)服務(wù)器向遠(yuǎn)程用戶(hù)提供撥號(hào)訪問(wèn)服務(wù)，通過(guò)在撥號(hào)服務(wù)器或網(wǎng)絡(luò)訪問(wèn) 服務(wù)器及內(nèi)部網(wǎng)的安全服務(wù)器上運(yùn)行的a a a認(rèn)證軟件對(duì) 瑟 程撥號(hào)用戶(hù) 進(jìn)行身份認(rèn)證、授權(quán)及記帳，抵御通過(guò)電話(huà)線(xiàn)繞過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的 攻擊。 各種安全機(jī)制的安全性比較如表 1 - 1 所示: r 訪問(wèn) 控制 加密認(rèn)證完整性 檢查 p f s地址 隱藏 會(huì)話(huà) 監(jiān)控 i p 包過(guò)濾 ynnnnnn n戶(hù) 門(mén) ，ynnnnyy ( 連 接) i p s e cyy( 包) y( 包)y( 包)yyn s oc ksyny ( 客 戶(hù)) nnn y ( 連 接) s s lyy ( 數(shù) 據(jù)) y ( 系 統(tǒng)) ynny 應(yīng)用網(wǎng)關(guān) y通常 沒(méi)有 y ( 用 戶(hù)) y 通常 沒(méi)有 y y( 連接 / 數(shù)據(jù)) aaa 服務(wù)器 y ( 用 戶(hù)) ny ( 用 戶(hù)) nnnn 表i - i t c p / i p 各種安全機(jī)制的比 較110 1 從上面地比較中，可以 發(fā)現(xiàn) i p s e c具備地安全功能最多，是一個(gè)比 較好地網(wǎng)絡(luò)安全解決方案。 目前.組律丈型信息網(wǎng)絡(luò)的關(guān)鍵技術(shù)是 t c p / i p網(wǎng)絡(luò)互聯(lián)和路由技 北京交通大學(xué)碩士學(xué)位論文 第一章緒論 術(shù)，特別是在 i n t e rn e t 中，路由器起著重要的作用。而在網(wǎng)絡(luò)安全日 益 重要的今天， “ 安全路由器”成為保證互聯(lián)網(wǎng) ( 同時(shí)也包括 i n t r a n e t 和 e x t r a n e r )信息安全的關(guān)鍵設(shè)備之一。由于信息安全的特殊性和重要性， 出 幾 對(duì)國(guó)外安全產(chǎn)品可能留有 “ 陷門(mén)”的考慮，國(guó)家要求關(guān)鍵部門(mén)使用 的安全路由產(chǎn)品必須有自 主版權(quán)。因此，自 主開(kāi)發(fā)集常規(guī)路由和安全加 密功能于一體的“ 安全路由器， ， 有極其重要的意義。 我們選擇i p s e c 作 為路由器上實(shí)現(xiàn)安全措施的協(xié)議，即在完成普通路由器功能的基礎(chǔ)上實(shí) 施i p s e c 協(xié)議簇，它可以:防止虛假路由信息的接收:防止路由器的非 法接入; 對(duì)路由信息和i p 數(shù)據(jù)包進(jìn)行加密保護(hù); 對(duì)復(fù)雜網(wǎng)絡(luò)加密的正確 性和系統(tǒng)的可用性進(jìn)行檢查。 1 . 2 國(guó)內(nèi)外i p s e c 研究現(xiàn)狀 從 1 9 9 3年初 i e t f成立了i p s e c 工作組開(kāi)始進(jìn)行研究與探討 i p s e c 到現(xiàn)在已近 1 1 年，在這 1 1 年中間，i p s e c由最初的雛形發(fā)展到現(xiàn)在形 成了較為完善的體系方案:1 9 9 8年 i 1月 i p s e c工作組公布了 r f c 2 4 0 1 - r f c 2 4 1 2 , 不 僅 將i s a k m p 和o a k l e y 制 定 成 為 標(biāo)準(zhǔn)， 并且 修改 了r f c 1 8 2 5 - r f c 1 8 2 9 做為新的r f c公布， 以r f c 2 4 0 i 為基礎(chǔ)的這一系 列文檔成為i p s e c 協(xié)議較為完整的文檔。并且從9 8 年末開(kāi)始， 對(duì)i p s e c 開(kāi)始逐步完善， 這些完善工作包括: 定義、 修改和完善s a . i k e協(xié)議及 所用 到的 加密 和鑒 定 算 法; 新 成 立i p s p ( i p s e c u r i ty p o li c y ) 工 作組 來(lái) 解決 i p s e c策略管理機(jī)制及其協(xié)議的修改、完善和標(biāo)準(zhǔn)化工作等等。并且還 在繼續(xù)完善過(guò)程中。 作為網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)， i p s e c 一經(jīng)提出， 就引起計(jì)算機(jī)網(wǎng)絡(luò)界的注 意，幾乎世界上所有的 計(jì)算機(jī)公司都宣布支持這個(gè)標(biāo)準(zhǔn)，并且不斷推出 北京交通大學(xué)碩士學(xué)位論文第一章緒論 自己的應(yīng)用產(chǎn)品。目 前，國(guó)外個(gè)別公司己 做成了 產(chǎn)品，但基本都是針對(duì) i p v 4 的， 且都與操作系統(tǒng)緊密捆綁:一類(lèi)是操作系統(tǒng)型， 作為主機(jī)操作 系統(tǒng)的部分被實(shí)現(xiàn)。目前很多大家所熟知的操作系統(tǒng)，如自由操作系 統(tǒng) ( 包括 l i n u x , b s d 和 u n i x ) 、商業(yè)操作系統(tǒng) ( 如 mi c r o s o ft的 w i n d o w s 2 0 0 0 , wi n d r i v e r 的v x w o r k s 及s u n 的s o l a r i s 8 ) 中都集成了i p s e c ; 另一類(lèi)是路由器型，作為專(zhuān)用路由器或路由器軟件的安全功能被實(shí)現(xiàn)， 主要的路由 器廠家 ( 如c i s c o , i n t e l , n o r t e l n e t w o r k s ) 生產(chǎn)的專(zhuān)用v p n 網(wǎng)關(guān)都支持 i p s e c 。此外，國(guó)外還有采用硬件實(shí)現(xiàn) i p s e c的技術(shù)，如 n e t o c t a v e 公司推出的n s p 3 0 0 0 b - i p s e c s e c u r i t y a c c e l e r a t o r b o a r d ，聲稱(chēng) 提供全軟件支持， 包括a p i 等， 并支持b s d / o s 4 .2 ; r e d h a t l i n u x 6 .2 , 7 . 1 , a n d 7 .2 , a n d v x w o r k s 5 .4 操作系統(tǒng)。 n e t s c r e e n t e c h n o l o g i e s 的n e t s c r e e n 系列的高性能的硬件防火墻產(chǎn)品， 速度可達(dá)吉比 特砂 ， 適合于企業(yè)級(jí)或 服務(wù)提供商的寬帶數(shù)據(jù)應(yīng)用。 關(guān)于不同的i p s e c 實(shí)現(xiàn)間的互操作性，目 前還沒(méi)有令人滿(mǎn)意的測(cè)試報(bào)告。 但國(guó)外基于i p v 6 協(xié)議的i p s e c 仍處于開(kāi) 發(fā)研究階段，尚未產(chǎn)品化。 國(guó)內(nèi)已經(jīng)開(kāi)展了對(duì)i p s e c 的研究， 不少公司雖對(duì)i p s e c 進(jìn)行了實(shí)現(xiàn)， 但也只是針對(duì)i p v 4 ，且并不完善。而且，網(wǎng)關(guān)的性能降低嚴(yán)重，同類(lèi)產(chǎn) 品性能降低在3 0 % 左右。 這將導(dǎo)致極大的安全問(wèn)題。 整體而言， 國(guó)內(nèi)的 i p s e c 的 整體水平仍處于 研究實(shí) 驗(yàn)階段，尤其尚 無(wú)i p v 6 的 成熟技術(shù)和產(chǎn) 品出現(xiàn)。 但是由于標(biāo)準(zhǔn)提出的時(shí)間很短，而且其中又有一個(gè)重要組成部分沒(méi) 有標(biāo)準(zhǔn)化，因此盡管產(chǎn)品種類(lèi)很多，但真正合格的產(chǎn)品卻很少。目 前世 界上最權(quán)威的i p s e c 產(chǎn)品評(píng)測(cè)中心為i c s a( 國(guó)際計(jì)算機(jī)安全協(xié)會(huì)) 實(shí)驗(yàn) 室，至2 0 0 1 年5 月2 5 日， 只有3 5 個(gè)產(chǎn)品通過(guò)了 它的測(cè)評(píng)。這3 5 個(gè)產(chǎn) 品都是國(guó)外的產(chǎn)品，沒(méi)有我國(guó)的產(chǎn)品。 北京交通大學(xué)碩士學(xué)位論文第一章緒論 對(duì)國(guó)外通過(guò) i c s a測(cè)評(píng)的 產(chǎn)品和國(guó)內(nèi)通過(guò)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn) 證中心計(jì)算機(jī)測(cè)評(píng)中心和公安部計(jì)算機(jī)信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中 心測(cè)評(píng)的產(chǎn)品的分析、比較，國(guó)外的產(chǎn)品在安全性、可擴(kuò)展性、使用簡(jiǎn) 單和性能價(jià)格比、協(xié)議實(shí)現(xiàn)的完整性、系統(tǒng)的配置、系統(tǒng)的管理、日志 及報(bào)表、系統(tǒng)自身的安全性、性能、c a認(rèn)證等許多方面要成熟和優(yōu)于 國(guó)內(nèi)產(chǎn)品。目前我國(guó)產(chǎn)品主要存在以下問(wèn)題:操作系統(tǒng)的安全問(wèn)題，這 些產(chǎn)品所基于的操作系統(tǒng)都是國(guó)外的產(chǎn)品，操作系統(tǒng)的安全性控制在他 人手里;人多是與防火墻整合在一起，重在防火墻功能，而對(duì)i p s e c 的 實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單和不完善，因此幾乎無(wú)法作為真正的v p n網(wǎng)關(guān)使用: 安全策略系統(tǒng)實(shí)現(xiàn)并不完善。 1 .3 論文的項(xiàng)目 來(lái)源及研究目 標(biāo) 2 0 0 2 年5 月北京交通大學(xué)電 子學(xué)院i p 網(wǎng) 絡(luò)實(shí)驗(yàn)室簽訂并啟動(dòng)了國(guó)家 高技術(shù)研究發(fā)展計(jì)劃 ( 8 6 3計(jì)劃) 高性能 i m路由 器協(xié)議棧軟件項(xiàng)目 ( 2 0 0 1 a a 1 2 1 0 1 4 ) 。 本項(xiàng)目 的 主要目 標(biāo)是面向 下一代互聯(lián)網(wǎng)的發(fā)展趨勢(shì)與 需求，研究高性能路由器 i m 協(xié)議實(shí)現(xiàn)技術(shù)，自主開(kāi)發(fā)完成 i m協(xié)議 棧軟件，形成具有自 主知識(shí)產(chǎn)權(quán)的協(xié)議軟件實(shí)現(xiàn)技術(shù)，突破高性能路由 器研制過(guò)程中軟件嚴(yán)重滯后的瓶頸， 為高性能i m 路由器的研究開(kāi)發(fā)及 產(chǎn)業(yè)化提供關(guān)鍵技術(shù)支撐。其中路由器協(xié)議棧軟件主要涉及到以下五個(gè) 協(xié)議的實(shí) 現(xiàn): 路由 協(xié)議 一一r i p n g , o s p f v 3 , b g p 4 + ;網(wǎng) 管協(xié) 議一 一 s n m p v 3 ;安全協(xié)議i p s e c 。本論文構(gòu)建在此項(xiàng)目的i p s e c 協(xié)議實(shí)現(xiàn) 上，具體來(lái)說(shuō)就是在 v x w o r k s 和實(shí)時(shí) l i n u x兩種操作系統(tǒng)下實(shí)現(xiàn)支持 i p v 4 和i m 雙協(xié)議棧的i p s e c 協(xié)議。 北京交通大學(xué)碩士學(xué)位論文 第一章緒論 1 .4 主要工作 在論文中， 作者對(duì)i p s e c 協(xié)議本身進(jìn)行了詳細(xì)的闡述， 并圍繞著i p s e c 協(xié)議軟件在操作系統(tǒng)下的具體實(shí)現(xiàn)做了大量的工作，具體來(lái)說(shuō)主要包括 以下) l 個(gè)方面: 、針對(duì)互聯(lián)網(wǎng)的安全現(xiàn)狀分析了在 i p 行各種安全措施進(jìn)行比 較， 指出i p s e c 安全路由器的意義。 層實(shí)施安全的必要性:對(duì)現(xiàn) 協(xié)議的優(yōu)越性: 論述了i p s e c 2 、在消化吸收 i e t f制定的系列相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，深入剖析了 i p s e c 協(xié)議體系，為以后i p s e 。 協(xié)議具體實(shí)現(xiàn)奠定基礎(chǔ)。 3 、分析了路由器中軟件功能模塊組成， 對(duì)i p s e c 在路由器協(xié)議棧軟 件中的實(shí)施進(jìn)行了 總體設(shè)計(jì)，提出采用嵌入式實(shí)時(shí)操作系統(tǒng)作為路 由器實(shí)施的軟件平臺(tái)。 4 、 學(xué)習(xí)了l in u x 和v x w o r k s 操作系統(tǒng)下的編程， 深入分析了 這兩套 操作系統(tǒng)內(nèi) 核網(wǎng) 絡(luò)部分代碼的實(shí)現(xiàn)。 5 、 針對(duì)v x w o r k s 和實(shí)時(shí)l i n u x 兩種嵌入式操作系統(tǒng)， 自 行設(shè)計(jì)了 支 持i p v 4 和i m 雙協(xié)議棧的i p s e c 具體方案， 并實(shí)現(xiàn)了 整個(gè)協(xié)議系統(tǒng)， 包括i p s e c 與操作系統(tǒng)內(nèi)核的有機(jī)結(jié)合、 套接口的添加， a h和e s p 協(xié)議對(duì)數(shù)據(jù)包的處理、策略系統(tǒng)s p d . s a d . 6 、 對(duì)用c 語(yǔ)言實(shí)現(xiàn)的源代碼進(jìn)行編譯調(diào)試; 而且為了 驗(yàn)證i p s e c 協(xié) 議的功能實(shí)現(xiàn)， 模擬v p n情況搭建測(cè)試環(huán)境， 制定測(cè)試內(nèi)容， 并給 出測(cè)試結(jié)果。 7 、 分析i p s e c 在路由器中實(shí)現(xiàn)的不足，提出了改進(jìn)方法， 指出以 后 的發(fā)展方向。 北京交通大學(xué)碩士學(xué)位論文第一章緒論 論文的結(jié)構(gòu)為: 第一章 緒論綜述選題意義、研究背景及主要工作。 第二章 i p s e c協(xié)議體系分析 i p s - 。協(xié)議體系的總體結(jié)構(gòu)，介紹 i p s e c 的功能、 模式、實(shí)施方案、策略以及各組成子協(xié)議。 第三章 嵌入式實(shí)時(shí)操作系統(tǒng) v x w o r k s 概述路由器實(shí)施的軟件平 臺(tái)v x wo r k s 操作系統(tǒng)， 介紹了其系統(tǒng)開(kāi)發(fā)調(diào)試環(huán)境t o rn a d o 0 第四章 路由 器軟件總體設(shè)計(jì) 概述路由器工作原理， 分析其軟件組 成。 第五章 i p s e c 在路由器中的實(shí)現(xiàn)給出i p s e c 在路由器中實(shí)現(xiàn)總體 結(jié)構(gòu): 重點(diǎn)介紹了v x w o r k s 操作系統(tǒng)下i p s e c 的實(shí)現(xiàn)， 針對(duì) 功能框圖對(duì)各模塊實(shí)現(xiàn)進(jìn)行了 詳細(xì)闡述:概述了實(shí)時(shí)l i n u x 下的實(shí)現(xiàn)思想。 第六章 系統(tǒng)調(diào)試及測(cè)試結(jié)合t o rn a d o 調(diào)試工具給出調(diào)試方法，并 搭建測(cè)試環(huán)境進(jìn)行測(cè)試。 第七章 總結(jié)和展望 對(duì)所作工作進(jìn)行總結(jié)， 并針對(duì)i p s e c 在路由 器 中實(shí)現(xiàn)的不足，提出改進(jìn)意見(jiàn)，指出發(fā)展方向。 比 京交通大學(xué)1 1r 川_ 學(xué)位論文第_章1 p s c c協(xié)議體系 第二章i p s e c 協(xié)議體系 2 . 1 i p s e c 綜述ia i p s e c 是一系列基于i p網(wǎng)絡(luò)( 包括i n t r a n e t , e x t r a n e t 和i n t e rn e t ) 的， 由i e t f ( i n te rn e t e n g in e e r in g t a s k f o r c e ) 正 式 定 制的 開(kāi) 放 性i p 安 全 標(biāo) 準(zhǔn)框架，是虛擬專(zhuān)網(wǎng)的基礎(chǔ)。它可以保證局域網(wǎng)、專(zhuān)用或公用的廣域網(wǎng) 及i n t e rn e t 上信息傳輸?shù)陌踩?i p s e c 細(xì)則首先于1 9 9 5 年在互聯(lián)網(wǎng)標(biāo)準(zhǔn) 草案中頒布。 i p 包本身并不繼承任何安全特性。很容易便可偽造出i p 包的地址、 修改其內(nèi)容、回放以前的包以及在傳輸途中攔截并查看包的內(nèi)容。針對(duì) 這些問(wèn)題， i p s e c 被設(shè)計(jì)成為能夠在 i n t e rn e t 這樣無(wú)保護(hù)的網(wǎng)絡(luò)中為i p v 4 和 i m 提供安全保證。 它在網(wǎng)絡(luò)層上對(duì)實(shí)現(xiàn)i p s e c 的設(shè)備之間傳輸?shù)膇 p 報(bào)文進(jìn)行保護(hù)和認(rèn)證。它定義了一套默認(rèn)的、強(qiáng)制實(shí)施的算法，以確保 不同的實(shí)施方案相互間可以共通。 i p s e c提供的安全性具體體現(xiàn)在以下 方面: 1 ,數(shù)據(jù)機(jī)密性:確保i p 報(bào)文的內(nèi) 容在傳輸過(guò)程中未被讀取。當(dāng) 報(bào)文在 公網(wǎng)上傳送時(shí)，未授權(quán)方不能讀取報(bào)文的內(nèi)容。通過(guò)發(fā)送方在使用 網(wǎng)絡(luò)傳輸報(bào)文前對(duì)報(bào)文進(jìn)行加密，就可以確保攻擊者即使截獲報(bào)文 也不能破解報(bào)文的內(nèi)容。 2 、數(shù)據(jù)完整性:接收方在一般情況下對(duì)收到的報(bào)文不能確定其在傳送 過(guò)程中是否遭到破壞。 使用i p s e c 對(duì)報(bào)文進(jìn)行認(rèn)證， 就可以確保報(bào)文 在網(wǎng)絡(luò)中傳送時(shí)沒(méi)有被修改。 3 、數(shù)據(jù)源認(rèn)證:接收方對(duì)報(bào)文的源i p地址進(jìn)行認(rèn)證，以確保報(bào)文真的 北京交通大學(xué)碩士學(xué)位論文第二章i p s “協(xié)議體系 是由聲稱(chēng)的發(fā)送者發(fā)送的。這項(xiàng)服務(wù)是基于數(shù)據(jù)的完整性。 4 、抗重播:確保認(rèn)證報(bào)文沒(méi)有重復(fù)。針對(duì)攻擊者可能通過(guò)重發(fā)截獲的 認(rèn)證報(bào)文來(lái)干擾止常的通信， 從而導(dǎo)致事務(wù)多次執(zhí)行， 使用i p s e c 接 收方能夠通過(guò)對(duì)報(bào)文序列號(hào)的檢測(cè)來(lái)拒絕接收過(guò)時(shí)的報(bào)文或拷貝報(bào) 文。 i p s e c 提供的這些服務(wù)都是基于i p 層的， 提供了對(duì)i p 及其上層協(xié)議 的保護(hù)。同時(shí)這些服務(wù)是可選的，由 本地安全策略規(guī)定使用這些服務(wù)的 一 種或者多種。 i p s e c為保障i p數(shù)據(jù)報(bào)的安全， 規(guī)定了要保護(hù)的通信內(nèi)容、 護(hù)它以及通信數(shù)據(jù)發(fā)給何人。i n= 的實(shí)施可根據(jù)不同情況選擇 怎樣保 ，具有 一定靈活性，它可保障主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān) ( 如路由器或防火墻) 之間或主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。并且這些實(shí)施方式可以嵌 套實(shí)現(xiàn)。 要想對(duì) i p數(shù)據(jù)報(bào)或上層協(xié)議進(jìn)行保護(hù)，方法是使用某種 i p s e c協(xié) 議: “ 封裝安全載荷 ( e s p ) ”或者 “ 驗(yàn)證頭 ( a h ) 。其中， a h可證明 數(shù)據(jù)的起源地、 保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷回放。 e s p 則更進(jìn)一步， 除具有a h的所有能力之外， 還可選擇保障數(shù)據(jù)的機(jī)密性， 以及為數(shù)據(jù)流提供有限的機(jī)密性保障。 i p s e 。提供的安全服務(wù)需要用到共享密鑰，以 執(zhí)行它所肩負(fù)的數(shù)據(jù) 驗(yàn)證以 及 或者) 機(jī)密性保證任務(wù)。當(dāng)然，采用人工增加密鑰的方式， 未免會(huì)在擴(kuò)展 ( 伸縮)能力上大打折扣.因此， 它定義了一種標(biāo)準(zhǔn)的方 法， 用以動(dòng)態(tài)地驗(yàn)證i p s e 。參與各方的身份、 協(xié)商安全服務(wù)以及生成共 享密鑰等等。這種密鑰管理協(xié)議稱(chēng)為 i k e一亦即 “ i n t e rn e t 密鑰交換 ( i n t e rn e t k e y e x c h a n g e) ” 。 北京交通人學(xué)碩 i : 學(xué)位論文 第 _ 章i p s e c 協(xié)議體系 2 . 2 i p s e c 結(jié)構(gòu) i p s e c 是一種協(xié)議套件，它包括: a h( 驗(yàn)證頭) 、 e s p 封裝安全載 荷) 、 i k e ( i n t e rn e t 密鑰交換) 、 i s a k m p i o a k l e y以 及轉(zhuǎn)碼。 i p s e c 各組 件之間的交互方式如下圖2 - 1 所示。 匕 ip seci# fr.呵 一 圖2 - 1 i p s e c 體系結(jié)構(gòu) i p s e c 的a h和e s p 協(xié)議用于處理報(bào)文， 與策略數(shù)據(jù)庫(kù)進(jìn)行交互， 以便決定為數(shù)據(jù)流提供何種安全保護(hù)，a h協(xié)議提供的服務(wù)主要涉及到 驗(yàn)證算法，而e s p 提供的服務(wù)涉及到了驗(yàn)證和加密算法。 安全策略的制訂和管理是 i p s e c 正確實(shí)施的 前提。 策略決定了實(shí)體 通信的對(duì)象、應(yīng)用于通信數(shù)據(jù)流的安全服務(wù)以 及如何對(duì)數(shù)據(jù)報(bào)進(jìn)行處 理。此外，策略還規(guī)定了密鑰管理的方式。 i p s e c 的密鑰管理有兩種方式: 人工方式和自 動(dòng)協(xié)商方式。 鑒于人工 北京交通大學(xué)碩士學(xué)位論文第二章i p s e c 協(xié)議體系 方式的局限性，一般使用i k e為i p s e c 協(xié)議動(dòng)態(tài)協(xié)商生成密鑰。其實(shí)， i k e可為任何一種協(xié)議商擬密鑰，并不僅僅限于i p s e c的密鑰協(xié)商。這 是通過(guò)將i k e 協(xié)商的參數(shù)同協(xié)議本身分隔開(kāi)來(lái)實(shí)現(xiàn)的。 協(xié)商的參數(shù)被歸 于一個(gè)單獨(dú)的 文檔內(nèi)， 名為i p s e c 解釋 域， 或者i p s e c d o i . 2 .2 . 1 i p s e c 實(shí)施，3 1 i p s e c的實(shí)施靈活性很強(qiáng)，它可在終端主機(jī)、網(wǎng)關(guān)/ 路由器或兩者中 間進(jìn)行實(shí)施和配置。至于它到底在網(wǎng)絡(luò)的什么地方配置，則由用戶(hù)對(duì)安 全保密的要求來(lái)決定。 在主機(jī)實(shí)施有下列好處:保障端到端的安全性、能夠?qū)崿F(xiàn)所有的 i p s e c安全模式、能夠逐數(shù)據(jù)流提供安全保障。主機(jī)實(shí)施可分成兩類(lèi): 與操作系統(tǒng) ( o s ) 集成實(shí)施， 將其作為網(wǎng)絡(luò)層的一部分嵌入;在協(xié)議堆 棧的網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層之間實(shí)施， 作為兩者之間的一個(gè)“ 楔子” 使用， 我們稱(chēng)其為“ 堆棧中的 腫塊 ( b i t s ) ” 實(shí)施方案。 如在路由器中實(shí)施，可在網(wǎng)絡(luò)的一部分中 對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行安全 保護(hù)。在路由器中實(shí)施有下列優(yōu)點(diǎn):能對(duì)通過(guò)公用網(wǎng)絡(luò)在兩個(gè)子網(wǎng)之間 流動(dòng)的數(shù)據(jù)提供安全保護(hù); 能進(jìn)行身份驗(yàn)證， 并授權(quán)用戶(hù)進(jìn)入私用網(wǎng)絡(luò)。 路由器實(shí)施方案有兩種類(lèi)型:原始實(shí)施，它等同于在主機(jī)上進(jìn)行的集成 實(shí)施方案，在這種情況下，i p s e c是集成在路由器軟件中的:線(xiàn)纜中的 塊 ( b i t w ) ， 它等同于b i t s 實(shí)施方案， 在這種情況下， i p s e c 的實(shí)現(xiàn)在 一個(gè)設(shè)備中進(jìn)行，那個(gè)設(shè)備直接接入路由器的物理接口。 2 . 2 . 2 i p s e c 模式 i p s e c 有兩種模式: 傳送模式和隧道模式。 這兩種模式的實(shí)施方式有 所不同: i 、傳送模式用來(lái)保護(hù)上層協(xié)議 ( 比如t c p和u d p)， 而隧道模式用 北京交通大學(xué)碩士學(xué)位論文第二章i p s e c 協(xié)議體系 來(lái)保護(hù)整個(gè)i p數(shù)據(jù)報(bào)。 2 、在傳送模式中，i p 頭與上層協(xié)議頭之間需插入一個(gè)特殊的i p s e c 頭; 而在隧道模式中，要保護(hù)的整個(gè) i p包都需封裝到另一個(gè) i p數(shù)據(jù)報(bào) 里，同時(shí)在外部與內(nèi)部i p頭之間插入一個(gè)i p s e c 頭。 3 、由構(gòu)建方法所決定，對(duì)傳送模式所保護(hù)的數(shù)據(jù)包而言，其通信終點(diǎn) 必須是一個(gè)加密的終點(diǎn)。在隧道模式，通信終點(diǎn)便是由受保護(hù)的內(nèi) 部頭指定的地點(diǎn)，而加密終點(diǎn)則是那些由外部i p頭指定的地點(diǎn)。在 i p s e c 處理結(jié)束的時(shí)候， 安全網(wǎng)關(guān)會(huì)剝離出內(nèi)部i p 包， 再將那個(gè)包轉(zhuǎn) 發(fā)到它最終的目的地。 4 .兩種i p s e c協(xié)議( a h和e s p ) 均能同時(shí)以傳送模式或隧道模式工作。 這兩種模式的比較如下圖2 - 2 所示: i p 頭 t c p 頭 i p 頭 i p s e c 頭 原始i p 包 i p 頭 i i p s e c 頭 i p 頭 傳送模式受保護(hù)的包 數(shù)據(jù) i隧道模式受保護(hù)的包 圖2 - 2 i p s e c 兩種工作模式比較 2 . 2 .3 安全聯(lián)盟 ( s a ) 為正確封裝及提取 i p s e c數(shù)據(jù)包，需要采取一套專(zhuān)門(mén)的方案，將安 全服務(wù) / 密鑰與要保護(hù)的 通信數(shù)據(jù)聯(lián)系到一起; 同時(shí)要將遠(yuǎn)程通信實(shí)體與 要交換密鑰的i p s e c 數(shù)據(jù)傳輸聯(lián)系到一起。換言之， 要解決如何保護(hù)通 信數(shù)據(jù)、 保護(hù)什么樣的通信數(shù)據(jù)以 及由誰(shuí)來(lái)實(shí)行保護(hù)的問(wèn)題。這樣的構(gòu) 建 方案 稱(chēng)為 “ 安 全 聯(lián)盟( s e c u r it y a s s o c ia t io n ,s a ) ” 。 s a是構(gòu)成i p s e c 的基礎(chǔ)。 s a是兩個(gè)通信實(shí)體經(jīng)過(guò)協(xié)商建立起來(lái)的 一種協(xié)議，決定了用來(lái)保護(hù)數(shù)據(jù)包安全的i p s e c 協(xié)議、轉(zhuǎn)碼方式、 密鑰 北京交通大學(xué)碩士學(xué)位論文第 _ 章i p s e c 協(xié)議體系 以及密鑰的有效存在時(shí)間等。s a是單向的，為了保證兩個(gè)主機(jī)、兩個(gè) 安全網(wǎng)關(guān)之間典型的雙向通信安全， 需要兩個(gè)s a( 一個(gè)負(fù)責(zé)一個(gè)方向) 。 而且s a還是協(xié)議相關(guān)的， 每個(gè)協(xié)議都有一個(gè)s a ， 它為其承載的通信提 供的安全服務(wù)是通過(guò)使用a h或者e s p賦予的。 可以用一個(gè)三元組來(lái)唯 一 標(biāo)識(shí) 一 個(gè)s a ， 該 三 元 組的 元 素是 : 安 全 參 數(shù) 索引( s e c u r ity p a r a m e te