內網數據鏈路層安全通信組件設計與實現

摘 要：針對內網嗅探、網絡途徑主動泄密等威脅，為提高內網通信過程中數據的保密性，設計并實現了一種安全通信組件。組件在Windows系統內核層以網絡過濾驅動的形式實現，可嵌入NDIS體系。在終端通信過程中，該組件自動協商會話密鑰，對數據鏈路層數據包執行加解密操作，實現過程對終端用戶透明。試驗結果顯示，該組件能夠實現終端保密通信，抵御內網嗅探和防止主動泄密，提高Windows系統的通信安全性，達到預期目的。

關鍵詞：內網安全；數據鏈路層；密鑰管理；Windows內核驅動；NDIS

中圖分類號：TN918 文獻標識碼：B 文章編號：1004373X(2008)1707604

Design and Implementation of Secure Communication Component

on Data Link Layer in Intranet

DUAN Xiaoliang，ZHANG Quan，TANG Chaojing

(Electronic Science and Engineering College，National University of Defense Technology，Changsha，410073，China)

[JP2〗Abstract：To avoid such threats as sniff attack or divulging secrets on purpose through network，and improve the data security in the process of communication in Intranet，the paper designs and implements a kind of component.The component is designed as the form of network filter driver in the kernel level of windows，which can be well embedded in NDIS architecture.In the process of communication between the terminals in Intranet，the components negotiate the session key automatically and use it to encrypt or decrypt the data link layer packets and the entire procedure is transparent to the user.The result of experiment show that the terminals which have loaded the component can communicate each other secretly and prevent the network sniff attack or the inside from divulging secrets on purpose through network，which improves the security of windows as expected.

Keywords：Intranet security;data link layer;key management;Windows kernel driver;NDIS

1 引 言

近幾年來，內網的信息安全問題成為各方熱點。在內網的管理過程中，傳統開放式的針對局域網已經不能滿足日益增長的安全需要。在這種情況下，為了保障內網的信息安全，就需要更新內網的信息安全內涵及其管理手段。

當前內網系統面臨的安全威脅主要有內網嗅探、內部人員利用網絡途徑主動泄密、拒絕服務(Dos)攻擊、發送廣播包攻擊、超越權限訪問以及病毒木馬等。這些攻擊手段主要源于網絡內部，惡意攻擊者首先控制內網中的一臺主機，然后通過此主機向內網中的其他主機進行惡意攻擊，通過內網傳輸的數據包就有可能被偵聽并被轉發到外部世界。雖然防火墻等防范手段在一定程度上提高了內網的安全性，但防火墻不能抵御未知類型的攻擊，而且很可能被攻擊者繞過，所以有必要對在內網中傳播的數據進行監控以及對敏感信息采取傳輸范圍和傳輸前密碼授權控制，防止敏感信息的外泄。

從網絡層次結構上看，可以在各種層次對內網的敏感信息提供安全保護，如IPSec安全協議是針對網際層數據包，而本文所設計的安全通信組件是在數據鏈路層對網絡數據包進行保護。

2 組件設計

2.1 組件設計目標

組件的主要設計目標是為數據鏈路層數據包提供安全保護，并且對用戶和上層應用透明，主要防止內網嗅探攻擊和內部人員通過網絡途徑主動泄密。

組件通過對終端間發送與接收的鏈路層數據包進行動態加解密，保證內網中傳輸的數據為密文，并且自動協商共享會話密鑰和對數據包進行加解密。組件在內網中的結構如圖1所示。

組件核心由密鑰管理模塊、安全訪問列表服務模塊組成。密鑰管理模塊分為證書信息庫和密鑰協商模塊，安全訪問列表服務模塊由建立安全訪問列表模塊、更新安全訪問列表模塊和安全訪問列表組成。組件發送端攔截此終端網際層向下傳遞的MAC層數據包，并且在組件處理后，向外進行發送；組件接收端攔截此終端接收到的MAC層數據包，并且在組件處理后，向終端的網際層進行傳遞。組件內部結構如圖2所示。

2.2 密鑰管理模塊

2.2.1 證書信息庫

證書信息庫包括內網其他終端的證書信息，而證書信息由終端的MAC地址和其公鑰信息組成，記為Certi=(MACi，Pi)，其中 MACi表示終端i的MAC地址，Pi表示終端i的公鑰參數。

(1) 建立證書信息庫

當新終端接入內網時，此終端向內網廣播發送請求建立安全訪問列表類型的數據包，收到此請求數據包的終端組件發送端則向新終端發送包括本機證書(MAC地址和公鑰參數)的數據包，新終端根據收到的數據包在本地建立安全訪問列表，過程如圖3所示。其他終端則對本地的安全訪問列表進行更新。

(2) 更新證書信息庫

當終端需要進行密鑰對更新時，內網中其他終端就會更新其證書信息庫。需要更換密鑰對的終端首先計算出新的公共密鑰和秘密密鑰對，將公共密鑰與本機的MAC地址一起構成新的證書，接著通過組件發送端向內網廣播發送包括本機新證書的請求更新密鑰的數據包，收到更新密鑰請求的終端從數據包的特定字段取出終端的新公鑰證書，并更新本地的證書信息庫，然后通過組件發送端向提出更新證書請求的終端發送更新確認包，請求更新密鑰對的過程如圖4所示。

2.2.2 會話密鑰協商

當終端A需要與終端B進行通信，終端A會向終端B發起會話密鑰協商。會話密鑰的協商過程會經歷以下幾個步驟，其中設置密鑰生成算法ID對應的對稱加密算法為ε。

(1)在終端A中的隨機計算出某個大整數x，并發送包括以下數據信息的數據包給終端B

x，Cert_A，MAC_A和密鑰生成算法ID

(2) 終端B隨機選取某個大整數y，并發送包括以下數據信息的數據包給終端A

y，Cert_B，ε_K(sig_B(MAC_B，MAC_A，y))

(3) 終端A發送包括以下數據信息的數據包給終端B

Cert_A，ε_K(sig_A(x，y))

其中K=xy=yx，sig_i(*)表示用i的秘密密鑰對數據*進行加密操作，ε_K(*)表示以K為參數，使用對稱加密算法ε對*進行加密操作。

在以上步驟完全結束后，終端A，B雙方就可以通過共享密鑰K加密MAC層數據包來進行安全通信。為方便以后的通信，終端A，B的組件分別將對方的公鑰和MAC地址信息保存到本機的證書信息庫，而將共享密鑰K保存到本機的安全訪問列表中。

2.3 安全訪問列表服務模塊

[JP2〗安全訪問列表服務模塊主要工作包括建立和更新安全訪問列表，且與會話密鑰協商密切相關。當終端之間會話密鑰協商結束后，終端雙方會在各自本機建立安全訪問列表用于保存此次密鑰協商的信息，包括協商的共享會話密鑰以及密鑰被使用的次數。當密鑰使用次數超過預定值時，如果終端雙方需要繼續通信，則必須再次進行會話密鑰的協商，即更新安全訪問列表的信息。

3 組件實現

在Windows系統下，組件采用NDIS中間層過濾驅動的形式實現。組件初始化時，通過NDIS函數NdisIMRegisterLayeredMiniport和NdisRegisterProtocol將組件注冊為NDIS中間層驅動接口。注冊之后，組件就可以在數據鏈路層上攔截所有的數據包。

組件的實現主要分為接收端和發送端兩部分，接收端攔截其他終端向本機發送的MAC層數據包，然后根據收到的數據包類型，通過組件發送端向其他終端發送相關類型的數據包進行回應。另外，組件發送端還應根據終端通信需要向外發送指定格式的數據包。

3.1 數據包類型定義

內網在數據鏈路層以IEEE802.3協議為基礎，終端在數據鏈路層進行通信的數據包幀頭是以明文的形式，如圖5所示，這符合內部網絡共享傳輸信道的特性，但同時也帶來了安全隱患，如數據幀的源或目標地址被篡改或者敏感信息被截獲、修改和轉發。

通過設置MAC層數據包的Type字段，組件定義了5種類型的數據包，定義見表1。

其中類型為0x05的數據包屬于組件定義的安全類型，具體幀格式如圖6所示，陰影部分表示組件發送端或接收端使用對稱加密算法ε以密鑰K為參數對其原始SDU進行加解密后的數據。當終端之間協商好共享會話密鑰K后，發送數據包終端的組件發送端使用會[LL〗話密鑰K對原SDU進行加密操作，而接收數據包終端的組件接收端使用會話密鑰K對SDU進行解密，這樣終端雙方就可以實現安全通信。

3.2 組件接收端實現

組件接收端主要任務是截獲由其他終端發送給本機的鏈路層數據包并判斷其類型，如果為類型0x01，0x03或0x05數據包，則需通過組件發送端向源終端發送相應類型的數據包；如果為其他類型的數據包，接收端將數據包進行相關處理后完成。整個組件接收端處理數據包的具體流程如圖7所示。

3.3 組件發送端實現

組件發送端的主要任務是根據具體需要向目標終端發送預定格式的數據包。當本機需要與其他終端進行通信或者組件接收端接收到類型為0x01，0x03或0x05數據包時，組件會通過發送端向目標終端發送相應類型的數據包。整個發送端具體處理流程如圖8所示。

4 試驗及結果說明

試驗環境：用交換機將3臺終端組成網絡，3個終端具體系統信息和網絡配置如表2所示。設定終端之間協商的共享會話密鑰K為0x99，對稱加密算法ε為對數據包的SDU字段(數據包的第14字節開始)與K進行逐字節異或操作。

試驗過程：終端B，C加載安全組件，終端A不加載。終端C利用ping命令向終端B發送ICMP數據包，與此同時，終端A和終端B利用工具Sniffer Pro截獲此ICMP數據包，試驗結果記錄如下。

試驗結果：

(1) 終端B收到的數據包數據如圖9所示。

圖9結果表明終端B可以正確的解析終端C發送過來的數據包，且不影響正常的ping命令。

(2) 終端A截獲的數據包數據如圖10所示。

圖10結果表明終端A截獲到數據包的SDU字段是原數據包與密鑰0x99經過逐字節異操作后的數據。

實驗結果說明：在內網環境中，終端A可以嗅探到終端C發送給終端B的數據包，但只能得到B、C雙方通過共享會話密鑰K對SDU字段進行加密后的數據包，如果沒有共享密鑰K，終端A不能對加密后的數據包進行解密，說明組件可以有效地防止內網嗅探攻擊；另一方面，如果網絡內部人員想要將敏感信息通過網絡方式傳到外網，外網終端得到的也是密文，說明組件可以防止網絡方式的主動泄密。

5 結 語

內網安全問題日趨嚴重，內網管理人員也逐漸重視。本文設計實現的安全通信組件，在一定程度上可以解決內網面臨的安全威脅。從實際運行效果看，加載組件的終端運行良好，性能穩定。當然，安全是相對的，針對內網的安全研究也將繼續。

參 考 文 獻

［1］IEEE802.3.IEEE Std 802.3，2000 Edition［S］.

［2］Systems Network Architecture Formats［DB/OL］.IBM document#GA27-3136-12.

［3］ Russinovich M E，Solomon D A.深入解析Windows操作系統——Microsoft Windows Server 2003/Windows XP/Windows 2000技術內幕.4版.潘愛民，譯.北京:電子工業出版社，2007.

［4］武安河.Windows 2000/XP WDM設備驅動程序開發.2版.北京:電子工業出版社，2005.

［5］ 毛文波.現代密碼學理論與實踐［M］.王繼林，譯.北京:電子工業出版社，2004.

［6］Andrew G Mason，Mark J Newcomb.網絡安全Cisco解決方案［M］.詹文軍，譯.北京:電子工業出版社，2002.

［7］朱雁輝.Windows防火墻與網絡封包截獲技術［M］.北京:電子工業出版社，2002.

作者簡介 段小亮 男，1984年出生，碩士研究生。主要研究方向為信息安全與網絡攻防技術。