一種基于ＩＰＳＥＣ協議的城市基礎地理信息系統的安全方案

摘 要：為了消除網絡在信息安全上存在的隱患，簡述了城市基礎地理信息的安全體系結構，分析若干易被忽視的協議漏洞，說明黑客由此入侵的特殊途徑；通過具體給出IPv6環境下的IPSec協議的實現方法，如為終端服務通信創建IPSec篩選器列表、使用IPSec策略阻止特定網絡端口的入侵及設置IPSec VPN等；提供有關城市基礎信息系統信息安全的一種新的基于IPSec協議的升級解決方案，實踐應用表明該方案是可行且有效的。

關鍵詞：城市基礎地理信息；安全安全；網絡入侵；IPSec協議

中圖分類號：TP393文獻標識碼：B

文章編號：1004-373X(2008)22-121-04

Security Solution for City Foundation Geography Information System Based on IPSec

CAO Jin1，GAO Gongbu2，SONG Qi1，ZHANG Fengju1

(1.Information Technology Institute，Yangzhou University，Yangzhou，225009，China;2.Management Institute，Yangzhou University，Yangzhou，225009，China)

Abstract：In order to eliminate the network information security hidden danger in modern net，the security architecture of city foundation geography information system is introduced，some slighting security hole of protocol are analyzed，several hackerintrusion approaches by way of such holes are described，and the realization approaches of IPSec protocol in IPv6，such as creating the list of IPSec filter for the terminal services communication，using the IPSec policy to prevent the specific network ports from the intrusion，setting up IPSec VPN etc，are provided in more details，then it presents a new kind of method to prevent intrusion of city foundation geography information system based on IPSec in this paper，the practice application indicates that this plan is feasible and effective.

Keywords：city foundation geography information;information security;network intrusion;IPSec protocol

城市基礎地理信息平臺是城市空間信息應用的核心，故許多城市將它作為信息化建設的首要任務來實施，本項工作包括如下內容：

（1） 平臺功能設計。

城市基礎地理信息平臺的功能主要有信息檢索、空間分析、專題制圖、用戶管理、數據安全、在線幫助等。

（2） 基礎空間數據庫建設。

基礎空間數據庫是基礎地理信息平臺的核心，建立了數字正射影像數據庫、數字高程模型數據庫、基本要素矢量數據庫、數字柵格地圖數據庫等。其包含大量珍貴的由航空攝影或其他遙感數據經糾正和消除地形影響后形成的數字圖像及信息量極其豐富的多比例尺的數字高程模型數據庫及其生成的等高線、點高程、三維透視圖等，可進行坡度、坡向計算分析、剖面計算等，在許多領域有著廣泛的應用，如工程建設上的土方量計算、通視分析；農林業方面，可滿足退耕還林還草區域規劃的輔助決策支持；在防洪減災方面，是進行匯水區分析、水系網絡分析、蓄洪計算、淹沒分析的基礎；無線通信中可用于蜂窩電話的基站分析等。

故該系統已經超越了普通的電子政務、商務系統的概念，是一個關系到經濟、政治、甚至軍事的復雜系統，在安全性、保密性方面有著更高的要求。本文結合政府城市基礎信息系統的需求，針對舊系統的安全缺陷，提出一種基于IPSEC協議的安全升級解決方案，并應用于實踐。

1 城市基礎信息系統的實現

1.1 體系結構

城市基礎地理信息系統體系結構由如下子系統組成：城市基礎地理信息服務器、FTP文件服務器、文件服務器、信息安全中心、防火墻、內部用戶子網及其他系統組成。如圖1所示。

1.2 舊系統的安全防范與安全漏洞

NetBEU，IPX/SPX等協議均作用于網絡，但受網絡用戶規模、地理范圍、安全路由等限制，現已較少應用，比較普及的現代計算機網絡的體系結構多脫胎于OSI/RM，因特網即以TCP/IP為共同協議，可實現Telnet，FTP，MSDN等功能，能跨網段跨系統使用，開放和共享性是其優點，但同時也帶來了棘手的信息安全問題。為了應對緩沖區溢出、拒絕服務、報文欺騙等傳統的網絡入侵，該系統采取了多種安全措施，如加強認證信息管理、關閉不必要的系統端口、安裝防火墻等，但網絡環境太復雜。最近的研究表明專門設計的安全協議及其驗證都無法盡善盡美，高明的黑客甚至有能力對協議本身的缺陷加以利用而發動入侵^［1］。

1.3 網絡安全協議的漏洞

如約定：X，Y為參與通信的合法主體；Kij是主體 i、j的共享會話密鑰，E（K：m）表示用密鑰K對消息m加密，Ki是主體i的公鑰，Ki-1是I的私鑰，M是協議消息通訊識別符，Ni為I生成的序列號，Certi為I的公鑰證書，S是服務器，H為黑客，T為時間戳。在Otway-Rees協議下：

X→Y：M，X，Y，E（Kxs:Nx，M，X，Y）

Y→S：M，X，Y，E（Kxs:Nx，M，X，Y），E（Kxy:Ny，M，X，Y）

S→Y：M，E（Kxs:Nx，Kxy），E（Kbs:Nb，Kxy）

Y→X：M，E（Kxs:Nx，Kxy）

在協議消息中，主體X將明文M和由S讀取的密文發給主體Y；Y將有關部分轉發給S；S解密消息并檢查消息中的相同部分M，校驗X，Y是否一致；如一致，則S生成一個密鑰Kxy并將消息發給Y，Y將部分消息轉發給X；若S生成的消息包含正確的Nx，Ny，則Kxy僅為主體X，Y共享。但：

X→H(Y)：M，X，Y，E（Kxs:Nx，M，X，Y）

H(Y)→X：M，E（Kxs:Nx，M，X，Y）

這類攻擊使主體X誤將M，X，Y視為新密鑰^［2］。

有缺陷的安全協議還有Carlsen SKI協議、Denning Sacco協議、Needham Schroeder私鑰協議及Yahalom協議等^［3］。

2 升級到IPv6及IPSec技術對網絡安全構建防護

2.1 IPv6的優點

國際互聯網工程任務組IETF（Internet Engineer Task Force）對RFC2460進行了大的改進后，IPv6迅速得到進一步的推廣與應用。該協議內置標準化網絡層強制性安全機制、認證報頭AH服務、封裝安全載荷ESP功能，保證了數據的私密性、完整性和一致性，還有支持即插即用、路由效率高、服務質量好、近乎無限的地址空間、支持移動等優勢^［4］。自從清華大學IPv6實驗網開通以來，我國下一代互聯網示范工程CNGI示范網絡核心網CNGI CERNET2/6IX項目獲得一系列重大創新成果，在信息安全領域取得了重大進展。本市的基礎地理信息系統也已向IPv6升級。

2.2 IPSec協議

IPSec是IPv6下的核心安全協議，是IETF制定的安全協議標準，是位于網絡層中端到端安全通訊的第三層協議；它定義了一套用于認證、保護私有性和完整性的標準協議，將有效的安全特征集成到IP層，并支持DES，IDEA等一系列加密算法，對網絡的安全提供多方面的支持。如圖2所示。

IPSec通過保密信道還可在非信任公共網絡上建立安全的私有連接，構建安全虛擬專用網VPN。且IPSec既適用于IPv6，又適用于IPv4，故在v4向v6過渡期，更應充分發揮IPSec的作用^［5］。

2.3 IPSec在應用中的三個功能模塊

2.3.1 安全聯盟SA

SA是兩個通信實體間建立的單向協定，是ESP和AH的基礎，它決定轉碼方式、密鑰及密鑰有效期，能為在它之上所攜帶的業務流提供安全保護。SA通常需要定義AH使用的認證算法、算法模式和密鑰、ESP變換模式、SA的生存期、源地址等。

2.3.2 封裝安全載荷ESP

ESP是插入IP數據包內的一個協議頭，為IP提供機密性、數據源驗證、抗重播以及數據完整性等安全服務。ESP將需要保護的用戶數據進行加密后再封裝到IP包中，有傳輸和隧道2種模式，差別在于保護的內容不同^［6］。

其安全原則是：輸出的數據包要先加密，而輸入的包要先驗證。具體來說，處理輸出包需：在傳輸模式下，只封裝上層協議數據；在隧道模式下，封裝整個IP數據項。處理輸入包則需要：檢查序列號以抗重放攻擊；驗證認證數據的有效性；解密包；檢驗包的有效性。

2.3.3 認證頭AH

AH是為IP數據項提供強認證的一種安全機制，它能為IP數據項提供無連接完整性、數據起源認證和抗重放攻擊。IPSec隧道模式IPv6數據包比IPv4數據包有明顯的安全優勢，既有效地防范了大量普通入侵，又能在針對安全協議的入侵方面發揮重要的作用^［7］。

2.4 IPSec在城市基礎地理信息系統應用中的具體實現

2.4.1 構建的立體綜合安全空間

根據RFC2401的定義，網絡的安全體系是對TCP/IP四層結構的擴展，為保證異構計算機進程間安全地遠程交換信息，局域網安全模型應規定鑒別、訪問控制、數據機密性和數據完整性等安全服務，還需給出加密、數字簽名、訪問控制、鑒別交換、路由選擇控制等8類安全機制，并根據具體系統適當地配置于TCP/IP模型的層次協議中，構成符合ISO7498-2規范的立體信息安全空間。如圖3所示。

在上述安全模型的實現過程中，核心任務是實現局域網中心服務器的安全，具體要解決如何創建與實現IPSec策略、創建和啟用終端通信IPSec篩選、使用IPSec 策略以開關特定網絡端口等問題^［8］。

2.4.2 IPSec的具體實現

(1) 創建IPSec策略。

若服務器網關非域成員，則需創建本地IPSec策略；若是域成員，該域會自動將IPSec策略應用到域內的所有成員。Server網關無需本地IPSec策略，可在Active Directory中創建一個組織單位，使Windows Server網關成為該組織單位的成員，并將IPSec策略指派到該組織單位的組策略對象。

先運行secpol.msc啟動IP安全策略管理，而后在本地計算機上的IP安全策略中創建IP安全策略。

注：IPSec策略是使用IKE主模式的默認設置創建的，IPSec 隧道由2個規則組成，每個規則指定一個隧道終結點。每個規則中的篩選器必須發送到此規則的隧道終結點的IP數據包中的源和目標IP地址。

(2) 為終端通信創建IPSec篩選器列表。

首先應考慮服務器的本地安全策略，在IP安全策略管理中關于IP篩選器表和篩選器操作時應謹慎添加終端服務，并最終需確認目標地址篩選器被應用到出站數據包。

IPSec策略既可在本地應用，也可作為域的組策略應用于該域的成員。本地IPSec策略可以是靜態的或動態的，靜態IPSec策略被寫入本地注冊表并在操作系統重新啟動后一直有效，動態IPSec策略未被永久性地寫入注冊表，且在 “IPSec Policy Agent”服務重新啟動后被刪除。

(3) 使用IPSec策略關閉特定網絡端口。

服務器必須先安裝Netdiag.exe/test:ipsec以驗證是否指定了IPSec策略；進程IPSeccmd.exe/f ［*=0:PortNumber:Protocol］運行時添加一個動態BLOCK篩選以阻止從任意IP地址發往系統的IP地址和目標端口的所有數據包。

注：IPSeccmd.exe可在Windows Server 2003和XP系統中運行，但僅WindowsXP SP2支持包中提供此工具；IPSec策略管理MMC單元提供用于管理IPSec策略配置的用戶界面，若已應用基于域的IPSec策略，則僅在由具有域管理員憑據的用戶執行時才會顯示篩選詳細信息。Linux環境下類似^［9］。

(4) 設置IPSec VPN。

IPSec VPN是指采用IPSec協議來實現遠程接入的一種VPN技術，但近來有一種觀點認為它將被SSL VPN取代，其主要理由是：

① IPSec VPN設置復雜，維護成本高；

② 網絡適應性不佳；

③ 對于防火墻等訪問控制設備不透明，對網絡地址轉換(NAT)和應用代理(Proxy)等穿透性差。

但SSL VPN與IPSec VPN不是互相取代而是互相補充的關系，因為：

SSL VPN 對于非Web頁面的文件訪問，往往需要借助于應用轉換，其功能是不完全的；

IPSec VPN可在網站及服務器之間通過專線或互聯網構建安全連接，保護的是點對點之間的通信，且它不局限于Web應用；

目前最新的IPSec版本 (RFC2402，RFC2406) 已增加自動金鑰交換，更新了封包轉換的格式，IPSec架構愈趨完整^［10］。

3 結 語

盡管IPv6仍沿襲TCP/IP體系，還算不上革命性的新技術，但它在技術上確有優勢，尤其是IPSec能提供訪問控制、無連接完整性、數據源認證、機密性和抗重放攻擊等安全功能，應得到充分利用。本文簡述城市基礎信息系統的安全體系結構，剖析一類安全協議的漏洞，說明可能導致危害信息安全的特殊途徑，并就此在如何為終端服務通信創建IPSec篩選器列表、關閉特定網絡協議端口等給出了具體實現IPSec的方法。再結合傳統的災難恢復系統、入侵檢測系統、水印日志系統、安全通信系統和存儲加密系統等子系統的協調工作，該系統的信息安全有了進一步的提高。

參考文獻

［1］Martin Abadi.Explicit Communication Revisited Two New Attacks on Authentication Protocols［J］.IEEE Transactions on Software Engineering，1997，23(3) ：185-186.

［2］解建軍，李俊紅．密鑰分發協議及其形式化分析［J］．河北師范大學學報，2003(6):570-573．

［3］范紅，馮登國．安全協議理論與方法［M］．北京：科學出版社，2003．

［4］Kent S，Atkinson R.IP Encapsulating Security Pay-load ［EB/OL］.http:// www.ietf.org/html.charters/ipsec-charter.html:November1998.

［5］Kent S，Atkinson R.Security Architecture for the Internet Protocol［S］.RFC2401，1998.

［6］Kent S，Atkinson R.IP Encapsulating Security Payload(ESP)［S］.RFC2406，1998.

［7］Kent S，Atkinson R.IP Authentication Header(AH)［S］.RFC2402，1998.

［8］劉淵，范曉嵐，王開云，等．IPSec的安全屬性及其技術途徑分析［J］．計算機工程與設計，2005(10)：2 627-2 629．

［9］嚴新，常黎．IPSec研究及實現計算機工程與設計［J］ ．2005（9）：2 458-2 460．

［10］Hazem Hamed，Will Marrero.Modeling and Verification of IPSec and VPN Security Policies .ICNP，2005(13):259-278.

作者簡介 曹 進 男，1968年出生，揚州大學信息工程學院講師，碩士。從事信息技術教學與研究工作。