IP接入網安全機制中的一個關鍵技術

2019-11-03 09:07:27

字體：大中小

來源：轉載

供稿：網友

南京郵電學院王桂玲李正超范忠禮

一、引言

　　隨著Ｉｎｔｅｒｎｅｔ的發展，現有電信網越來越多地用于ＩＰ接入，術語“ＩＰ接入網”的出現方便了人們研究相關問題。ＩＰ接入網是指在ＩＰ用戶和ＩＰ業務提供者（ＩＳＰ）之間的網絡實體，它為用戶提供所需的接入到ＩＰ業務的能力。ＩＰ接入網參考模型如圖１所示。

　?。桑薪尤敕绞娇刹捎弥苯咏尤敕绞健ⅲ校校兴淼婪绞?、ＩＰ隧道方式、路由方式以及ＭＰＬＳ（多協議標簽交換）方式。鑒于目前我國電信１６３／１６９網的現狀，其中ＩＰ隧道方式可采用把現有Ｌ２ＴＰ技術與ＩＰＳｅｃ技術結合的方式，具有明顯的平滑過渡和安全性方面的優勢。ＩＰＳｅｃ是由ＩＥＴＦＩＰ安全性工作組定義的協議集，它用于確保網絡層之間的安全通信，該協議草案分為七個部分，它們分別描述了體系結構、封裝安全負載協議（ＥＳＰ）、認證頭協議（ＡＨ）、加密算法、認證算法、解釋域（ＤＯＩ）以及密鑰管理。同時，ＩＥＴＦ還制定了ＩＫＥ（ＩｎｔｅｒｎｅｔＫｅｙＥｘｃｈａｎｇｅ），定義了通信實體之間身份認證、協商加密算法、生成共享會話密鑰的方法。

　　安全聯盟（ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ）則是在ＩＰ的加密和認證機制中出現的核心概念：ＡＨ和ＥＳＰ都必須通過安全聯盟來實現，ＩＫＥ的功能其實即是建立安全聯盟。安全聯盟的實現是ＩＰ接入網安全機制的關鍵技術。

二、基本概念

　　一個安全聯盟是一個發送方與接收方之間的單向關系，從而對其承載的流量提供安全服務。若需要一個對等關系，即雙向安全交換，就需要建立兩個安全聯盟。一個單一的安全聯盟可以向認證頭ＡＨ或封裝安全負荷ＥＳＰ提供安全服務，但不能同時提供給兩者。安全聯盟僅由三個參數標識：安全參數指數、ＩＰ目的地址和安全協議標識符。

　?。保踩珔抵笖担煟樱校桑牐菏欠峙浣o安全聯盟的比特串，僅在本地可用。安全參數指數在認證頭或封裝安全負荷頭中出現，使接收系統選擇安全聯盟并在其下處理一個收到的報文。

　?。玻桑心康牡刂罚褐挥袉蜗騻鞑サ刂房捎?。它是安全聯盟的終端地址，該終端可以是終端用戶系統或者諸如防火墻、路由器這樣的網絡系統。

　?。常踩珔f議標識符ＳＰＩＤ：指示安全聯盟用于認證頭還是封裝安全負荷。

在任何ＩＰ包中，安全聯盟是由Ｉｐｖ４中的目的地址或Ｉｐｖ６頭和內部擴展頭（ＡＨ或ＥＳＰ）中的ＳＰＩ所唯一標識的。

三、兩種模式的安全聯盟

　　安全聯盟有兩種類型：傳輸模式的安全聯盟和隧道模式的安全聯盟。

　?。保畟鬏斈Ｊ降陌踩撁藨迷趦膳_主機之間。在ＩＰｖ４中，傳輸模式的安全協議頭插入到ＩＰ報頭之后、高層傳輸協議（如ＴＣＰ、ＵＤＰ）之前。在ＩＰｖ６中，該模式的安全協議頭出現在ＩＰ頭及ＩＰ擴展頭之后、高層傳輸協議之前。目的地址選項可以放在安全協議頭之前或之后。對安全封裝負載報頭（ＥＳＰ）來說，傳輸模式的安全聯盟只對那些高層協議提供安全服務，而不對在ＥＳＰ頭之前的ＩＰ頭及其擴展頭進行安全處理。對認證報頭（ＡＨ）來說，安全處理還可擴展到ＩＰ頭、ＩＰ擴展頭，比如在ＩＰｖ４頭、ＩＰｖ６的Ｈｏｐ－ｂｙ－Ｈｏｐ擴展頭或目的地址擴展頭中的被選部分。

　?。玻淼滥Ｊ降陌踩撁似鋵嵸|是一個應用在ＩＰ隧道之上的安全連接。若構成一個安全聯盟的兩個終端中至少有一個是安全網關（而不再是主機），則這個安全聯盟就必須采用隧道模式。這是因為，在傳輸模式下，安全網關是作為一個主機來工作的，并不進行數據流的轉接，而在隧道模式下，ＩＰＳｅｃ報文要進行分段和重組操作，并且可能要再經過多個安全網關才能到達安全網關后面的目的主機，故在這種情況下最好采用隧道模式。

　　在隧道模式下，“外部”ＩＰ頭指明進行ＩＰＳｅｃ處理的目的地址，“內部”ＩＰ頭指明最終的目的地址。安全協議頭出現在外部ＩＰ頭和內部ＩＰ頭之間。同在傳輸模式下類似，對于帶有ＡＨ的幀來說，提供對內部ＩＰ頭、高層傳輸協議以及部分外部ＩＰ頭的安全保護，對于帶有ＥＳＰ的幀來說，只提供對內部ＩＰ頭及高層傳輸協議的安全保護。在隧道模式下，安全網關后面的主機無需具有ＩＰＳｅｃ處理功能而同樣進行安全通信。

　　綜上，我們可以概括出：主機要求能夠支持傳輸及隧道兩種模式；安全網關則只需支持隧道模式。工作在傳輸模式下的安全網關必定僅僅是做為一臺主機工作的（比如，作網絡管理用時）。

四、安全聯盟組合

　　單獨的安全聯盟有兩個不足：（１）一個單獨的安全聯盟不能提供對ＡＨ和ＥＳＰ兩者共同的支持。（２）一種特殊的數據流既需要在兩個主機之間也需要在兩個安全網關之間提供ＩＰＳｅｃ服務。這是單獨的安全聯盟無法企及的。

　　安全聯盟組合的概念便是為解決這兩個不足而出現的，“安全聯盟束”形象地定義了為提供一系列ＩＰＳｅｃ服務所應用的安全聯盟系列。安全聯盟組合成“束”有兩種方式：傳輸鄰接方式和循環嵌套方式。前者不調用隧道實現多個協議，后者調用隧道實現多層協議，允許多層嵌套。這兩種方式也可以聯合起來工作。

　　為改善單獨安全聯盟的第一個不足之處，也就是說，實現既帶有加密和又帶有認證的ＩＰ報文，我們有三種方式：帶有認證選項的ＥＳＰ；傳輸鄰接；傳輸——隧道束。在第一種方式下，ＥＳＰ被應用在受保護數據上，然后再加上認證字段。第二種方式即傳輸鄰接方式使用了ＳＡ束技術，內部是ＥＳＰＳＡ，外部是ＡＨＳＡ。在這種方式下，ＥＳＰ不帶有認證選項，內部ＳＡ在傳輸模式下生成帶有ＩＰ頭或ＩＰ擴展頭的加密報文，然后，再在傳輸模式下應用ＡＨ。第二種方式的認證工作包括ＥＳＰ以及初始ＩＰ頭（以及ＩＰ擴展頭）的不可變字段。與第一種方式相比，這種方式下的認證覆蓋了更多的字段，包括源、目的地址；這種方式的不足之處是由于ＳＡ束的額外開銷而導致效率下降。在第三種方式即傳輸—隧道束方式下，內部ＳＡ應用傳輸模式的ＡＨ，外部ＳＡ應用隧道模式的ＥＳＰ。在這種方式下，認證工作包括ＩＰ負載和ＩＰ頭（或ＩＰ擴展頭）的不可變字段；加密工作則包括整個被認證的內部報文。加密后，多出了一個新的外部ＩＰ頭（或ＩＰ擴展頭）。

　　為解決單獨安全聯盟的第二個不足，我們有安全聯盟的四種基本組合方式。

　　注：帶有號者支持ＩＰＳｅｃ機制

　　方式１包括四種情況：（１）傳輸模式下的ＡＨ。（２）傳輸模式下的ＥＳＰ。（３）傳輸模式下外部ＥＳＰＳＡ和內部ＡＨＳＡ。（４）外部隧道模式下的ＡＨ或ＥＳＰ，內部是（１）、（２）、（３）中的任何一種。

　　方式２只在安全網關之間提供安全保護，主機不應用ＩＰＳｅｃ機制。此種方式下只需要網關之間一個單一ＳＡ隧道，該隧道支持ＡＨ、ＥＳＰ以及帶有認證頭的ＥＳＰ。此方式無需嵌套機制，因為ＩＰＳｅｃ服務應用在整個內部報文上。

　　方式３在方式二的基礎上加上端到端的安全性。

　　方式４支持遠程終端通過因特網接入到防火墻后面的服務器或工作站上。根據上文分析，可知這種方式只能采用隧道模式。

五、安全聯盟數據庫

　　安全策略數據庫（ＳＰＤ）指示從一臺主機、一個安全網關輸入、輸出的ＩＰ數據流的部署。安全聯盟數據庫（ＳＡＤ）則包括與每一個安全聯盟相關的參數，另外，它還定義了安全聯盟選擇器的概念，包括一套ＩＰ及高層協議字段值，供ＳＰＤ用來把數據流映射到一個安全聯盟或安全聯盟束中。ＳＡＤ中的安全聯盟參數包括：

　?。保驍?a >計數器：產生一個３２位的數值以確定ＡＨ或ＥＳＰ頭部的序數域。

　?。玻驍涤嫈灯饕绯觯褐甘拘驍涤嫈灯饕绯龅姆?。ＳＣＯ＝１時，引發預置事件，防止在該安全聯盟下繼續發送數據包。

　?。常怪匕l窗口：用于確定一個內置的ＡＨ或ＥＳＰ包是否重發以判斷是否受到攻擊。

　?。矗粒刃畔ⅲ褐甘菊J證算法、密鑰、密鑰生命期等與ＡＨ相關的參數。

　?。担牛樱行畔ⅲ褐甘炯用苷J證算法、密鑰、初始值、密鑰生命期等與ＥＳＰ相關參數。

　?。叮踩撁松冢喊踩撁吮恍掳踩撁颂娲蚪K止的時間間隔或字節數。并指示發生哪種動作。

　?。罚桑校螅澹銋f議方式：隧道、傳輸還是混合方式（通配符）。

　?。福窂阶畲蟀l送單位ＭＴＵ：完整發送的數據包最大傳送單位長度和老化變量。

　?。桑袛祿鹘浻砂踩呗詳祿欤煟樱校模犈c特定的安全聯盟相關或不與安全聯盟相關。ＳＰＤ最簡單的形式由一些入口組成，每個入口定義一個ＩＰ數據流子集并為該數據流指定一個安全聯盟。在更復雜的情況下，多個入口可以與一個安全聯盟相關或多個安全聯盟與一個入口相關。每個ＳＰＤ入口由ＳＡＤ中一系列稱為選擇器的ＩＰ及其上層協議域的數值確定，這些選擇器被用來過濾待處理的數據流以便于特定的安全聯盟處理。以輸出處理為例，安全處理大致遵循以下程序：

　?。保容^包相應域與ＳＰＤ的數值找到匹配的ＳＰＤ入口，該入口指向零個或多個安全聯盟；

　　２．為該包確定安全聯盟和相應的ＳＰＩ；

　?。常M行相應的ＩＰｓｅｃ處理ＡＨ或ＥＳＰ。

六、結束語

　　安全聯盟是ＩＰＳｅｃ認證、加密機制中的核心概念，它貫穿了整個安全處理的方方面面。

　　安全聯盟由面向接收者的ＳＰＩ唯一標識的特性使安全機制更適合于ＩＰ多播業務，對電話會議、分布模擬等業務的發展是一個有利的推進。另外，安全聯盟組選擇的多樣性和靈活性有利于推進ＩＰ接入網概念中各ＩＳＰ間的競爭。

　　同時，我們應該看到，安全機制的應用增加了系統的協議處理開銷。包括加密、認證占用的時間以及安全聯盟數據庫占用的字節。對這些問題的解決，有待于算法的優化配置、硬件實現部分算法以及數據庫的優化配置。

----《通信世界》