基于IPSec的网络安全在校园网中的研究与设计

算机网络　基于ＩＰＳｅｃ的网络安全在校园网中的研究与设计　赖琼琪　（广东工业大学应用数学学院，广东广州　５１００９０）　［摘要］随着高校校园网建设的飞速发展，有关校园网的安全问题也越来越受到人们注视，本文　在从目前高校校园网存在的安全问题，校园网安全管理中可能会遇到的威胁入手分析，提出构建基于ＩＰ—　Ｓｅｃ的校园网安全体系，提高校园网的安全性。　［关键词］ＩＰＳｅｃ；校园网安全　１．前言　实现了基于ＩＰ数据包的安全保护，能为上层协　议提供透明的安全服务，它的开放性和灵活性　随着网络技术的高速发展，网络已经普及　使它具有广泛的应用与良好的发展前景。ＩＰＳｅｃ　到社会的各个方面，但是它在提供开放和共享　是下一代Ｉｎｔｅｒｎｅｔ协议——ＩＰ、，６Ｒ基本组成部　资源的同时，也不可避免地存在着安全隐患。　分，是ＩＰｖ６必须支持的功能：ＩＰＳｅｃ能与其他　如何保障机密信息在网络中安全传输，成为人　协议相结合提供更强的安全性。目前ＩＰＳｅｃ是主　们日益关注的焦点。ＩＰＳｅｃ的提出正是为了有效　要的应用是构造虚拟专用网（ＶＰＮ）。　地解决网络安个问题。ＩＰＳｅｃ为ＩＰ及上层协议　ＩＰＳｅｃ提供ｒ完整的保护机制，包括访问控　提供了完整性、数据源身份认证、抗重播攻击、　制、无连接的完整性认识、数据来源认证、抗　数据内容的机密性和有限通信流量机密性等安　重传性、完整性、数据保密以及有限的通信流　个服务。由于ＩＰＳｅｃ的强大功能和诸多优势，使　量保密等等，从而有效地保护ＩＰ数据包的安　得ＩＰＳｅｃ具有广泛的应用前景，而只有开发出自　全。ＩＰＳｅｃ提供了一种标准的、健壮的和包容广　己的ＩＰＳｅｃ产品，才能真正保护网络安全，所以　泛的机制，可以为ＩＰ及其上层传输协议提供安　对ＩＰＳｅｃ的研究和实现具有重要的意义。　全措施。它定义了一套默认的强制实施的算法，　２．ＩＰＳｅｃ协议　用以确保不同实现的系统的互通性。　ＩＰＳｅｃ的安全目标是通过两大传输协议：头　ＩＰＳｅｃ是ＩＰ　Ｓｅｃｕｒｉｔｙ的缩写，是ＩＥＴＦ为在　部认证、封装安全载荷和通过密钥管理过程和　ＩＰ层提供安全服务而定义的一组相关协议的集　协议的使用来完成的。使用于任何环境中的ＩＰ．　合。设计ＩＰＳｅｃ的目的是为ＩＰｖ４和ＩＰｖ６提供可　Ｓｅｃ协议集及其使用的方式是由用户、应用程　互操作的、高性能的、基于加密技术的通信安　序、和／或站点、组织对安全和系统的需求来　全。遵循ＩＰＳｅｃ标准的产品不仅可以实现无缝连　决定。　接和互操作，而且对传输层以上的应用是透明　ＩＰＳｅｃ协议主要由因特网密钥交换（ＩＫＥ）　的。ＩＰＳｅｃ为ＩＰ网络安全提供了统一的和切实　协议、认证头（ＡＨ）以及封装安全载荷　可行的解决方案。ＩＰＳｅｃ作为网络层安全协议，　（ＥＳＰ）三个子协议组成，同时还涉及认证和加　作者简介：赖琼琪，男，广东普宁人，在读工程硕士，讲师。　～５７—　维普资讯 http://www.cqvip.com

计算机网　密算法以及安全联盟等内容。它们之间的关系　如图１所示。　Ａ　图１　ＩＰＳｅｃ安全体系结构　・因特网密钥交换（ＩＫＥ）协议，用于动　态建立安全联盟（ＳＡ）。　・认证头（ＡＨ），是插入ＩＰ数据包内的一　个协议头，具有为ＩＰ数据包提供数据完整性、　数据源认证和抗重传攻击等功能。　・封装安全载荷（ＥＳＰ），是插入ＩＰ数据包　内的一个协议头，具有为ＩＰ数据包提供机密　性、数据完整性、数据源认证和抗重传攻击的　功能。　・安全联盟（ＳＡ），是发送者和接收者之　问的一个简单的单向逻辑连接，是一组与连接　相关的安全信息参数的集合，是安全协议ＡＨ　和ＥＳＰ的基础。　・认证加密算法，是ＩＰＳｅｃ实现安全数据传　输的核心。　（１）认证头（ＡＨ）　认证头是基于网络层的一个安全协议，是　ＩＰＳｅｃ协议的重要组成部分，用于为ＩＰ数据包　提供安全认证的一种安全协议。ＡＨ的格式如下　图２所示。　图２　ＡＨ的格式　认证头是为ＩＰ数据包提供认证的一种安全　机制，它具有为ＩＰ数据包提供数据完整性、数　据源认证和抗重传攻击等功能。认证头的认证　算法包括基于对称密码算法（如ＤＥＳ）或基于　一５８一　’　单向散列函数（如ＭＤ５或ＳＨＡ一１）的带密钥　的消息认　码（ＭＡＣ）。　认证头有两种工作方式，即传输模式和隧　道模式。传输模式只对上层协议数据（传输层　数据）和ＩＰ头中的固定字段提供认证保护，主　要适合于主机实现。隧道模式对整个ＩＰ数据包　提供认证，既可用于主机。也可用于安全网关，　并且当ＡＨ在安全网关上实现时，必须采用隧　道模式。　（２）封装安全载荷ＥＳＰ　由于认证信息只确保ＩＰ数据包的来源和完　整性，而不能为ＩＰ数据包提供机密性保护，因　此，需要引入机密性服务，这就是封装安全载　荷（ＥＳＰ），ＥＳＰ主要支持ＩＰ数据包的机密性，　它将需要保护的用户数据进行加密后再封装到　新的ＩＰ数据包中。另外ＥＳＰ也可提供认证服　务，但　１．ｊ　ＡＨ相比，二者的认证范围不同，ＥＳＰ　只认证ＩＰ头之后的信息，比ＡＨ认证的范围要　小。具体格式因所使用的算法而不同，ＥＳＰ要　求至少支持两种算法，它们是ＨＭＡＣ—ＭＤ５和　ＭＡＣ—ＳＨＡ一１。ＥＳＰ有两种使用模式，传输模　式和隧道模式。在传输模式下，ＥＳＰ头部被插　入到ＩＰ头部后面，ＥＳＰ尾部和可选的认证数据　被放在原ＩＰ数据包的最后面。传输模式下的　ＥＳＰ只对ｌＰ数据包上层协议数据（传输层数　据）和ＥＳＰ头部和ＥＳＰ尾部字段提供认证保　护，如果选择了加密，那么就可以对原始ＩＰ数　据包的负载和ＥＳＰ尾部进行加密处理，这种模　式仅适合于主机实现。　在隧道模式下，需要创建一个新的ｌＰ头，　将原始ＩＰ数据包作为数据封装在新的ＩＰ数据包　中，然后对新的ＩＰ数据包实施传输模式的ＥＳＰ。　隧道模式的ＥＳＰ不但为原始ＩＰ数据包提供认　证，而且还对原始ＩＰ数据包和ＥＳＰ尾部进行加　密处理（如果选择了方Ｉ】密），不过新的ＩＰ头还　足没有得到保护。这种模式既可以用于主机，　也可用于安全网关，并且当ＥＳＰ在安全网关上　实现时，必须采用隧道模式。在安全联盟中，　只要有～端涉及网关，就应该使用隧道模式，　而在两个防火墙之间也总是采用隧道模式。虽　然网关通常工作　隧道模式下，但是，如果通　维普资讯 http://www.cqvip.com

算机网络　ｎｕｘ网络协议栈ＩＰ层中加入ＩＰＳｅｃ处理模块的　信的目的地就网关本身，那么网关也可以和普　Ｌｉ方式，实现了ＩＰＳｅｃ协议的基本模块，完成对　通主机一样工作在传输模式下。　（３）安全联盟（ＳＡ）　安全联盟（ｓＡ）是构成ＩＰＳｅｃ的基础。ＳＡ　ＩＰ数据包进行加密和认证的功能；并构建了安　个策略数据库和安个联盟数据库；最后对其查　是两个ＩＰＳｅｃ通信实体之间经协商建立起来的一　协议保护数据安全、应用的转码类型、加密和　询性能进行了分析。本设计可以应用于主机上　种共同协定，它规定了通信双方使用哪种ＩＰＳｅｃ　也可以用在安个网关中。　验证的密钥取值以及密钥的生存周期等等安全　属性值。从逻辑的角度看，ｓＡ是为实现ＩＰＳｅｃ　安全机制而建立的单向的“连接”。通过使用　ＡＨ或ＥＳＰ协议，ｓＡ为在其上承载的ＩＰ数据流　提供安全服务。为了保证在主机或网关之间双　向通信的安全，通常需要在每台主机或网关上　建立两个ＳＡ，以在输入和输出两个不同方向上　应用相应的ＳＡ对ＩＰ数据流进行处理。一个ＳＡ　由ＳＰＩ（安全参数索引）、目的ＩＰ地址、安全协　议所构成的三元组唯一决定。ＳＡ所提供的安全　服务由所选择的安全协议、协议模式、ＳＡ终端　通信实体类型以及在安全协议内所选择的安全　服务来决定。　在最基本情况下，ｓＡ的管理完全由人工操　作来完成。通信双方的管理体制员通过离线的　方式商定好ｓＡ的字段值，然后各自在手工输入　系统中完成ｓＡ的创建。在密钥被破解或网络管　理需要的情况下，管理员手工删除存在于系统　中的ｓＡ。在具备标准因特网密钥交换模块的条　件下，当系统需要某个ＳＡ但又系统中又没有　时，ＩＰＳｅｃ内核会激发ＩＫＥ模块去和通信对端的　ＩＫＥ模块进行协商和密钥生成。　在ＩＰＳｅｃ的实现中要和到两个数据。分别为　ＳＰＤ（安全策略数据库）和ＳＡＫ（安全聪明数　据库）。ＳＤＦ定义了主机或安全网关流出流入的　ＩＰ数据流的处理策略。ＳＡＤ定义了从主机或安　全网关流出或个ＩＰＳ。ＳＡＤ定义与每一个ＳＡ相　关的参数。　３．ＩＰＳｅｃ工作机制　为了在校园网上实现保密数据传输，对ＩＰ—　Ｓｅｃ协议体系和Ｌｉｎｕｘ下的ＴＣＰ！ＩＰ协议栈进行　了深入分析，重点研究了在Ｌｉｎｕｘ平台下嵌入　ＩＰＳｅｃ以实现数据传输的技术。设计了一种在　３．１在ＩＰ层上实现ＩＰＳｅｃ功能的总体框架　在具体实现时，分别在ＩＰ包所流经的一条　路线上加入ＩＰＳｅｃ。处理模块：在本地接受数据　包的路线上加入ＩＰＳｅｃ接受模块；在本地包发送　的路线上加入ＩＰＳｅｃ发送模块；在转发包的路线　上加入ＩＰＳｅｃ的转发模块。　３．２　ＩＰＳｅｃ接受模块　ＩＰＳｃｃ接收模块主要实现了对ＩＰ包的解密　和认证等功能。该模块主要通过调用两个函数　来实现：ａｈ—ｉｐｐｕｔ（）主要实现对接受ＩＰ包　的认证功能；ｅｓｐ—ｉｐｕｔ（）主要实现对接受ＩＰ　包的解密和认证功能。同时ＩＰＳｃｃ接收模块还调　用了安个联盟库和安个策略库查询函数。该模　块尽量避免ＩＰ层分段重组这此功能充分利用ＩＰ　层本身的功能。ＩＰ数据包路由后进入本地ＩＰ数　据包处理和分片重在交与上层处理之际才调用　了该模块。这样设计可以实现ＩＰＳｅｃ接收模块和　ＩＰ层无缝隙的整合，使接受模块只单一负责解　密和认证的功能，从而简化了处理流程。　３．３　ＩＰＳｅｃ转发模块　ＩＰＳｅｃ转发模块包括两部分：（１）对接受包　的策略检查。在网关上实现ＩＰＳｅｃ，主要是隧道　模式。ＩＰＳｅｃ转发包首先进入ＩＰＳｅｃ的接受模块，　经过解密或认证的处理后，去掉外部头，又重　一５９—　维普资讯 http://www.cqvip.com

计算机网　新发送到ＩＰ的接受队列，进入ＩＰ层。这时该　内部网Ｂ之问通过公用网搭建一个虚拟专用网。　ＩＰ包所在的ｓｋ—ｂｕｆｆ中的ｓｅｃ—ｐａｔｈ结构记录＿『　ＩＰ包所进行的一系列的ＩＰＳｅｃ处理及其所使用　的安个联盟。在此调用策略检查函数，判断足　否正确应用了策略。（２）完成转发包的加密、　圈　认证的功能。其具体的流程和外出包的加密、　在性能测试中，主要测试加入ＩＰＳｅｃ处理模块对　认证相似。总之，ＩＰＳｅｃ转发模块是利用ＩＰＳｅｃ　系统性能的影响。性能测试表明，ＩＰＳｅｃ模块的　接受模块和发送模块的功能，既对转发包进行　加入对系统性能有一定的影响，随着传输数据　策略校验。又对转发包进行加密和认证为构建　量的增加，造成的时延随之增大，但这种影响　ＹＰＮ提供了广阔的舞台。　可以容忍，且略优于其他ＩＰＳｅｃ系统如果把ＩＰ－　ｓｅ处理模块用于安个网关，很多数据需要处理　４．功能测试结论　时，可能会累积时延，对用户要求的服务质量　校园网是专用网，为“秘密级”网络，对　产生一定的影响。　网络的安个性、稳定性和高效性等都有很高的　要求。如何把需要保护的数据隐蔽地、完整地　参考文献：　传送到正确的目的地址。是当前备受关注的问　［１］王心灵．ＩＰＳｅｃ实现保密数据传输的技术研究　题之一。本课题也就是在这种情况下产生的。　［Ｊ］．计算机技术与发展，２００６，（８）．　基于上面的设计，在校园网上构造了一个试验　［２］马桂杭．ＩＰＳｅｃ安全协议与软交换网络［Ｊ］．　计算机与信息技术，２００６，（５）．　性的Ｖ　ＰＮ模型，对所实现的ＩＰＳｅｃ及传输技术　［３］李力．一种基于ＩＰＳｅｃ安全体系的安全通信网　进厅了了测试和试用。测试分为功能测试和性　络模型，南昌大学学报，２００６，（３）．　能测试两部分，下图为试验环境，内部网Ａ和　Ｄｅｓｉｇｎ　ａｎｄ　Ｓｔｕｄｙ　ｏｎ　Ｓｅｃｕｒｉｔｙ　ｏｆ　Ｓｃｈｏｏｌ　Ｎｅｔｗｏｒｋ　Ｂａｓｅｄ　ｏｎ　ＩＰＳｅｃ　Ｌａｉ　Ｑｉｏｎｑｉ　（Ｇｕａｎｇｄｏｎｇ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｔｅｃｈｎｏｌｏｇｙ，Ｇｕａｎｇｚｈｏｕ　５　１　００９０，Ｇｕａｎｇｄｏｎｇ）　【Ａｂｓｔｒａｃｔ】Ｗｉｔｈ　ｔｈｅ　ｒａｐｉｄ　ｄｅｖｅｌｏｐｍｅｎｔ　ｏｆ　ｓｃｈｏｏｌ　ｎｅｔｗｏｒｋ，ｍｏｒｅ　ａｎｄ　ｍｏｒｅ　ｓｃｈｏｏｌ　ｗｅｂｍａｓｔｅｒｓ　ａｔｔａｃｈ　ｉｍｐｏｒ—　ｔａｎｃｅ　ｏｆ　ｔｈｅ　ｓｃｈｏｏｌ’ｓ　ｓｅｃｕｒｉｔｙ．Ｔｈｉｓ　ａｒｔｉｃｌｅ　ｍａｉｎｌｙ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｔｅｃｈｎｉｑｕｅｓ　ｏｆ　ＩＰＳｅｃ　ｔｏ　ｉｍｐｒｏｖｅ　ｔｈｅ　ｐｅｒｆｏｒｍ　ａｎｃｅ　ｏｆ　ｓｅｃｕｒｉｔｙ．　【Ｋｅｙｗｏｒｄｓ】ＩＰＳｅｃ；ｓｅｃｕｒｉｔｙ　ｏｆ　ｓｃｈｏｏｌ　ｎｅｔｗｏｒｋ