ＩＰＳｅｃ結構及其應用

毛　劍　楊　波

１ＩＰＳＥＣ作用

1997年，CERT(Computer Emergency Response Team)在其年度報告中列舉了150 000個站點的2 500多個安全事故，其中最為嚴重的有兩類：第1類是IP欺騙，即入侵者以虛假IP地址建立數據包，以欺騙基于IP認證的應用程序；第2類是各種類型的竊聽和數據包嗅探，以獲取合法用戶的登錄信息和其他數據。因此安全的IP協議應有必要的認證和加密功能。

IPSec通過在IP層對所有業務流加密和認證，保證了所有分布應用程序(包括遠程登錄、客戶機/服務器、電子郵件系統、文件傳輸、Web訪問等)的安全性，因此可提供網絡內(包括局域網、廣域網等)或網際間的安全通信。例如：

(1)公司可在因特網或公用廣域網上建立自己的安全虛擬專用網，從而可節省建立和管理自己專用網的支出。

(2)配備有IPSec系統的終端用戶，可在本地呼叫因特網服務提供商(ISP)以獲取對某一公司網絡的安全訪問。

(3)IPSec不僅能用于建立內部網中的連接，而且也能用于建立與外部網的安全連接。

(4)某些Web應用程序和電子商務應用程序即使已有自己的安全協議，但使用IPSec可增加它們的安全性。

圖1是IPSec應用示例，圖中有一個用戶系統和兩個LAN。LAN內的通信未考慮安全性，然而從用戶系統和LAN發出通信業務流時，都需在網際設備中使用IPSec協議。網際設備指路由器或防火墻等設備，用于將LAN連接到外部網中。網際設備對發往WAN的業務流進行加密和壓縮，對來自WAN的業務流進行解密和解壓縮。以上運算對LAN上的工作站和服務器來說都是透明的。

IPSec的使用場合和作用為：

IPSec用于防火墻和路由器等網際設備，可為通過網際設備的業務流提供強安全業務，且在LAN內(比如一個公司的LAN)的業務無需進行安全性處理。

IPSec用于防火墻，可防止使用IP的業務流繞過防火墻。

IPSec位于傳輸層(TCP、UDP)之下，所以它對應用程序來說是透明的。且當IPSec用于防火墻或路由器時，無需修改用戶或服務器所使用的軟件。即使IPSec用于端系統時，上層軟件(包括應用程序)也不受影響。

IPSec對終端用戶來說是透明的，因此無需對用戶進行安全培訓，同時也無需對用戶發放或撤銷密鑰材料。

IPSec除了支持終端用戶、保護系統和網絡外，還在網絡互聯所需的路由結構中起著重要的作用。IPSec能保證：路由通告(新路由器用于向外界通告自己)來自一個被授權的路由器；鄰居通告(路由器用于建立或維護與其他路由域中路由器的鄰居關系)來自一個授權的路由器；重新定向的消息來自于數據包上次到達的路由器；路由的更新不被偽造。

2 IPSec的結構

IPSec在IP層提供安全業務的方式是讓系統選擇所要求的安全協議、決定所需的算法和密鑰。安全協議有兩個：一是由協議的報頭，即認證報頭(AH)指定的認證協議;二是由協議數據包格式，即封裝的安全負載(ESP)指定的將加密和認證結合起來的協議。安全業務有訪問控制、無連接的完整性、數據源的認證性、對重放數據包的拒絕、保密性、受限的業務流保密性。

表1顯示AH指定的協議(簡稱AH協議)和ESP指定的協議(簡稱ESP協議)所能提供的安全業務，其中ESP又分為僅加密和加密認證結合兩種情況。

本節介紹IPSec結構中的兩個主要概念：安全關聯和模式。

2.1 安全關聯

安全關聯(SA)是指由IPSec提供安全服務的業務流的發方到收方的一個單向邏輯關系，用來表示IPSec為SA所承載的數據通信提供安全服務。其方式是使用AH或ESP之一，一個SA不能同時使用AH和ESP保護。因為SA是單向的，所以兩個系統之間的雙向通信需要兩個SA，每個方向一個。

一個SA可由3個參數惟一地表示為：

<安全參數索引，目標IP地址，安全協議標識符>

3個參數的含義分別為：

安全參數索引(SPI)：賦值給該SA的比特串。其位置在AH和ESP報頭中，作用是使接收系統對收到的數據包能夠選擇在哪個SA下進行處理，所以SPI只有本地意義。

目標IP地址：即SA中接收方的IP地址。該地址可以是終端用戶系統或防火墻、路由器等網際設備的地址。目前的SA管理機制只支持單目傳送地址(即只指定一個用戶或網際設備的地址)。

安全協議標識符：該標識符表示SA使用的協議是AH協議還是ESP協議。

所以對任何IP數據包，通過IPv4或IPv6報頭中的目標地址以及封裝擴展報頭(AH或ESP)中的SPI，對SA惟一地識別。

2.2 AH和ESP的兩種使用模式

AH和ESP的兩種使用模式分別是傳輸模式和隧道模式，這里先介紹兩種模式的一般概念，具體使用方式在下節。

(1)傳輸模式

傳輸模式主要用于對上層協議的保護，即將其保護推廣到IP數據包的負載，如TCP數據段、UDP數據段或ICMP(Internet Control Message Protocol)數據包。傳輸模式典型地用于兩個主機的端—端通信。在IPv4中，負載指位于IP報頭之后的數據。在IPv6中，負載指IP報頭和擴展報頭(除目標地址選項)之后的數據，而目標地址選項也和負載一起受到保護。

(2)隧道模式

隧道模式用于對整個IP數據包的保護，它是將一個數據包用一個新的數據包包裝，即給原數據包加一個新的報頭，稱為外部報頭，這樣原數據包就成為新數據包的負載。因此原數據包在整個傳送過程中就像在隧道中一樣，傳送路徑上的路由器都無法看到原數據包的報頭。由于封裝了原數據包，新數據包的源地址和目標地址都與原數據包不同，從而增加了安全性。

隧道模式用于SA關系中至少一方是安全的網關，如實現IPSec的防火墻或路由器。通過網關進入局域網中的通信則無需使用IPSec予以保護，而從局域網通過網關發出的數據包則由網關中的IPSec軟件建立起隧道模式的安全關聯，并以隧道模式發送。

3 認證報頭

認證報頭(AH)用于保證IP數據包的數據完整性、認證性，并用于防地址欺騙攻擊、消息重放攻擊等。其認證性由消息認證碼(MAC)實現，因此要求通信雙方有共享的密鑰。

認證報頭有以下數據字段(如圖2所示)：

下一報頭：字段長為8bit，用來標識下一數據包的報頭。

負載長度：字段長也為8bit，其值(即負載長度)為以32bit字為單位的AH長度減2(單位為字)。例如：“認證數據”字段的默認長度為96bit，即3個字，此時AH總長為6個字，所以負載長度為4(單位為字)。

保留：字段長為16bit，留待將來可能出現的新用途使用。

安全參數索引(SPI)：字段長32bit，其用途在前面已解釋過。

序列號：字段長32bit，為單調遞增的計數器。

認證數據：為可變長字段，但長必須為32bit的整數倍。字段的值為本數據包所用的完整性檢驗值(ICV)，即MAC。

所以，AH總長為96bit固定部分加上認證數據的可變長部分。AH報頭中的“序列號”字段用于防止敵手截獲已經過認證的數據包后實施重放攻擊。認證報頭(AH)中，字段“認證數據”的值稱為完整性校驗值。ICV是由MAC算法產生的消息認證碼或截短的消息認證碼。當前規定的算法為HMAC－MD5－96或HMAC－SHA－1－96，表示MAC算法為HMAC，所用雜湊算法分別為MD5和SHA，96表示“認證數據”的默認字段長，因此由HMAC產生出的消息認證碼還需被截短，截短方式為取前96bit。

AH有兩種使用模式：傳輸模式和隧道模式。

傳輸模式

前面已說過傳輸模式典型地用于兩個主機之間的端—端通信，而網關可以不支持傳輸模式。這種模式中，將認證報頭(AH)插到原始IP數據包的報頭后面，其作用是對IP報文除可變字段外的其它字段提供認證功能。傳輸模式的優點是額外開銷較小，缺點是無法對可變字段進行保護。

隧道模式

隧道模式下，將需保護的原數據包用一個新數據包包裝，即將原數據包作為新數據包的負載，稱新數據包為隧道數據包。然后再對隧道數據包使用傳輸模式的AH，即將AH插到隧道數據包中新IP報頭的后面。

隧道模式的主要優點是可對被封裝的數據包進行完全的保護，缺點是有額外的處理開銷。

4 封裝安全負載

封裝安全負載(ESP)用于提供保密性業務，包括對消息內容的保密和有限的通信流量的保密。ESP也提供作為可選項的認證業務。

(1)ESP數據包格式

如圖3所示，ESP數據包包括以下字段:

安全參數索引(SPI)：字段長32bit，用于標識SA關聯。

序列號：字段長32bit，為一個單調遞增的計數器，用于防止重放攻擊。

負載數據：字段長可變，為經加密保護的傳輸層數據段(傳輸模式時)或IP數據包(隧道模式時)。

填充：字段長范圍為0到255字節，其作用下面介紹。

填充長度：字段長8bit，表示前一字段以字節為單位長度。

下一報頭：字段長為8bit，通過表示負載數據的第一個報頭(如IPv6的一個擴展報頭或TCP等上層協議)，來表示負載數據的數據類型。

認證數據：字段長可變(然而必須是32的整數倍)，為前面各字段計算出的完整性校驗值(ICV)。

(2)ESP所用的加密算法和認證算法

ESP保密業務為負載數據、填充、填充長度、下一報頭4個字段提供加密。如果加密算法需要初始向量，則將初始向量以明文形式放在負載數據頭部。ESP要求支持CBC模式的DES，同時支持的加密算法還有：3個密鑰的三重DES、RC5、IDEA、CAST、Blowfish等。

和AH一樣，ESP支持的消息認證碼默認長度為96bit，支持的算法為HMAC－MD5－96和HMAC－SHA－1－96。

(3)填充

填充的作用有：

如果加密算法要求明文長為某一字節的倍數(如分組加密算法明文長為分組長的倍數)，則通過填充可將明文(包括負載數據、填充、填充長度、下一報頭)擴展為所需的長度。

ESP的格式要求“填充長度”字段和“下一報頭”字段在一個32bit的字中是右對齊的，填充用于保證這種對齊。

通過填充可隱藏負載數據的實際長度，因此還能對業務流提供部分保密性。

(4) ESP的使用模式

與AH一樣，ESP的兩種使用模式也為傳輸模式和隧道模式。

傳輸模式

與AH一樣，傳輸模式的ESP也用于兩個主機之間的端—端通信。這種模式中將ESP報頭插入到原始IP數據包的報頭后面，而ESP報尾和認證數據則放在原始數據包的負載之后。傳輸模式下的ESP未對原始IP報頭提供加密和認證，這是它的一個缺點，因為誤傳的數據包也會交給ESP處理，且敵手有可能對所傳的數據包進行業務流量分析。它的優點是對原始IP數據包的長度增加很少，因此處理開銷增加不多。

隧道模式

和AH一樣，隧道模式也用于在SA關系中至少有一方是安全的網關。這時將需保護的數據包用一個新數據包包裝，即將原數據包作為新數據包的負載，稱新數據包為隧道IP數據包，然后再對隧道IP 數據包實施傳輸模式的ESP。

由于原始數據包成了新數據包的負載，因此原始數據包得到了完全的安全性保護。不過新IP報頭仍是未加保護的。隧道模式下，外層報頭(即新IP報頭)中的IP地址可以和內部報頭(即原始報頭)的IP地址不一樣。例如，兩個網關可以通過ESP隧道對它們之間的全部流量進行安全保護。

5 SA的組合

一個SA能夠實現AH協議或ESP協議，但卻不能同時實現這兩種協議。然而有些業務流可能要求同時實現兩種協議，即要求在主機間和網關間都實現IPSec業務。這時就要求建立起多個SA以實現所需的IPSec業務，稱這種多個SA序列為SA束，同一束上的SA的端點可以相同也可不同。

創建SA束的方式有以下兩種：

傳輸相鄰：指對同一IP數據包多次應用非隧道模式的AH和ESP兩種協議。在這種方式下，只允許將AH和ESP組合為一層，這是因為只有數據包的目標方才對其進行處理，嵌套方式不會增加任何好處。

重復隧道方式：指對同一IP數據包在隧道模式下多次使用兩種協議，即每使用一次協議，都生成一個新的IP數據包，下一協議再對數據包封裝。由于各個隧道的起點和終點可以不同，所以這種方法允許使用多層嵌套。

以上兩種方式可以結合起來使用，例如兩個網關之間的SA使用重復隧道方式，而在網關之間的部分路段上的主機之間的SA使用傳輸相鄰方式。

6 密鑰管理

IPSec的密鑰管理包括密鑰的確定和密鑰的分布，分為手工密鑰管理和自動密鑰管理：手工方式指系統管理員以手工方式為每一系統配置該系統自己的密鑰和其它系統的密鑰，該方式僅在相對穩定的小環境中才有實際價值；自動方式是指系統能夠自動地按要求為SA產生密鑰，該方式對分布式、大系統的密鑰管理極為方便。

IPSec默認的自動密鑰管理協議稱為ISAKMP/Oakley。該協議包括兩部分：

Oakley密鑰確定協議：Oakley是基于Diffie－Hellman算法的密鑰交換協議，但與Diffie－Hellman算法相比，Oakley又提供了額外的安全性。

因特網安全關聯和密鑰管理協議(Internet Security Association and Key Management Protocol)：ISAKMP提供了一個因特網密鑰管理框架，并為安全屬性的協商提供了特定的協議支持。

ISAKMP本身并未指定密鑰交換算法，而是由一些消息類型構成，這些消息類型分別指定了不同的密鑰交換算法。Oakley是初版ISAKMP使用的指定密鑰交換算法。

7 IPSec的研究前景

今天，很難預料IPSec技術以什么樣的形式在網上得到廣泛的應用。市場驅動著技術的使用；同樣，已使用的IPSec技術又改變著市場在選擇下一個應用范圍時的意向。要使IPSec更好地工作,系統集成或者分離的IPSec產品(或者兩者)的下列研究領域將很重要：

當為網絡環境實現安全策略管理時，IPSec的抽象定義；

作為網絡安全子系統的IPSec管理模型的定義；

在IPSec范圍下可以實現和提供的函數以及服務的凈化；

功能塊的凈化，使其可以在IPSec和通用安全框架的其他組件之間共享?！?/p>

參考文獻

1 RFC2401: Security Architecture for the Internet Protocol

2 RFC2402:IP Authentication Header

3 RFC2406:IP Encapsulating Security Payload (ESP)

4 RFC2408:Internet Security Association and Key Management Protocol (ISAKMP)

(收稿日期：2001－07－09)

作者簡介

毛劍 ，西安電子科技大學通信工程學院在讀博士。目前主要從事電子商務、廣播加密、IP安全等方面的研究工作。

楊波，西安電子科技大學通信工程學院副教授，碩士生導師。主要研究方向為通信網的安全、電子商務及無條件安全。