毛　劍　楊　波

１ＩＰＳＥＣ作用

1997年，CERT(Computer Emergency Response Team)在其年度報告中列舉了150 000個站點的2 500多個安全事故，其中最為嚴重的有兩類：第1類是IP欺騙，即入侵者以虛假IP地址建立數(shù)據包，以欺騙基于IP認證的應用程序；第2類是各種類型的竊聽和數(shù)據包嗅探，以獲取合法用戶的登錄信息和其他數(shù)據。因此安全的IP協(xié)議應有必要的認證和加密功能。

IPSec通過在IP層對所有業(yè)務流加密和認證，保證了所有分布應用程序(包括遠程登錄、客戶機/服務器、電子郵件系統(tǒng)、文件傳輸、Web訪問等)的安全性，因此可提供網絡內(包括局域網、廣域網等)或網際間的安全通信。例如：

(1)公司可在因特網或公用廣域網上建立自己的安全虛擬專用網，從而可節(jié)省建立和管理自己專用網的支出。

(2)配備有IPSec系統(tǒng)的終端用戶，可在本地呼叫因特網服務提供商(ISP)以獲取對某一公司網絡的安全訪問。

(3)IPSec不僅能用于建立內部網中的連接，而且也能用于建立與外部網的安全連接。

(4)某些Web應用程序和電子商務應用程序即使已有自己的安全協(xié)議，但使用IPSec可增加它們的安全性。

圖1是IPSec應用示例，圖中有一個用戶系統(tǒng)和兩個LAN。LAN內的通信未考慮安全性，然而從用戶系統(tǒng)和LAN發(fā)出通信業(yè)務流時，都需在網際設備中使用IPSec協(xié)議。網際設備指路由器或防火墻等設備，用于將LAN連接到外部網中。網際設備對發(fā)往WAN的業(yè)務流進行加密和壓縮，對來自WAN的業(yè)務流進行解密和解壓縮。以上運算對LAN上的工作站和服務器來說都是透明的。

IPSec的使用場合和作用為：

IPSec用于防火墻和路由器等網際設備，可為通過網際設備的業(yè)務流提供強安全業(yè)務，且在LAN內(比如一個公司的LAN)的業(yè)務無需進行安全性處理。

IPSec用于防火墻，可防止使用IP的業(yè)務流繞過防火墻。

IPSec位于傳輸層(TCP、UDP)之下，所以它對應用程序來說是透明的。且當IPSec用于防火墻或路由器時，無需修改用戶或服務器所使用的軟件。即使IPSec用于端系統(tǒng)時，上層軟件(包括應用程序)也不受影響。

IPSec對終端用戶來說是透明的，因此無需對用戶進行安全培訓，同時也無需對用戶發(fā)放或撤銷密鑰材料。

IPSec除了支持終端用戶、保護系統(tǒng)和網絡外，還在網絡互聯(lián)所需的路由結構中起著重要的作用。IPSec能保證：路由通告(新路由器用于向外界通告自己)來自一個被授權的路由器；鄰居通告(路由器用于建立或維護與其他路由域中路由器的鄰居關系)來自一個授權的路由器；重新定向的消息來自于數(shù)據包上次到達的路由器；路由的更新不被偽造。

2 IPSec的結構

IPSec在IP層提供安全業(yè)務的方式是讓系統(tǒng)選擇所要求的安全協(xié)議、決定所需的算法和密鑰。安全協(xié)議有兩個：一是由協(xié)議的報頭，即認證報頭(AH)指定的認證協(xié)議;二是由協(xié)議數(shù)據包格式，即封裝的安全負載(ESP)指定的將加密和認證結合起來的協(xié)議。安全業(yè)務有訪問控制、無連接的完整性、數(shù)據源的認證性、對重放數(shù)據包的拒絕、保密性、受限的業(yè)務流保密性。

表1顯示AH指定的協(xié)議(簡稱AH協(xié)議)和ESP指定的協(xié)議(簡稱ESP協(xié)議)所能提供的安全業(yè)務，其中ESP又分為僅加密和加密認證結合兩種情況。

本節(jié)介紹IPSec結構中的兩個主要概念：安全關聯(lián)和模式。

2.1 安全關聯(lián)

安全關聯(lián)(SA)是指由IPSec提供安全服務的業(yè)務流的發(fā)方到收方的一個單向邏輯關系，用來表示IPSec為SA所承載的數(shù)據通信提供安全服務。其方式是使用AH或ESP之一，一個SA不能同時使用AH和ESP保護。因為SA是單向的，所以兩個系統(tǒng)之間的雙向通信需要兩個SA，每個方向一個。

一個SA可由3個參數(shù)惟一地表示為：

<安全參數(shù)索引，目標IP地址，安全協(xié)議標識符>

3個參數(shù)的含義分別為：

安全參數(shù)索引(SPI)：賦值給該SA的比特串。其位置在AH和ESP報頭中，作用是使接收系統(tǒng)對收到的數(shù)據包能夠選擇在哪個SA下進行處理，所以SPI只有本地意義。

目標IP地址：即SA中接收方的IP地址。該地址可以是終端用戶系統(tǒng)或防火墻、路由器等網際設備的地址。目前的SA管理機制只支持單目傳送地址(即只指定一個用戶或網際設備的地址)。

安全協(xié)議標識符：該標識符表示SA使用的協(xié)議是AH協(xié)議還是ESP協(xié)議。

所以對任何IP數(shù)據包，通過IPv4或IPv6報頭中的目標地址以及封裝擴展報頭(AH或ESP)中的SPI，對SA惟一地識別。

2.2 AH和ESP的兩種使用模式

AH和ESP的兩種使用模式分別是傳輸模式和隧道模式，這里先介紹兩種模式的一般概念，具體使用方式在下節(jié)。

(1)傳輸模式

傳輸模式主要用于對上層協(xié)議的保護，即將其保護推廣到IP數(shù)據包的負載，如TCP數(shù)據段、UDP數(shù)據段或ICMP(Internet Control Message Protocol)數(shù)據包。傳輸模式典型地用于兩個主機的端—端通信。在IPv4中，負載指位于IP報頭之后的數(shù)據。在IPv6中，負載指IP報頭和擴展報頭(除目標地址選項)之后的數(shù)據，而目標地址選項也和負載一起受到保護。

(2)隧道模式

隧道模式用于對整個IP數(shù)據包的保護，它是將一個數(shù)據包用一個新的數(shù)據包包裝，即給原數(shù)據包加一個新的報頭，稱為外部報頭，這樣原數(shù)據包就成為新數(shù)據包的負載。因此原數(shù)據包在整個傳送過程中就像在隧道中一樣，傳送路徑上的路由器都無法看到原數(shù)據包的報頭。由于封裝了原數(shù)據包，新數(shù)據包的源地址和目標地址都與原數(shù)據包不同，從而增加了安全性。

隧道模式用于SA關系中至少一方是安全的網關，如實現(xiàn)IPSec的防火墻或路由器。通過網關進入局域網中的通信則無需使用IPSec予以保護，而從局域網通過網關發(fā)出的數(shù)據包則由網關中的IPSec軟件建立起隧道模式的安全關聯(lián)，并以隧道模式發(fā)送。

3 認證報頭

認證報頭(AH)用于保證IP數(shù)據包的數(shù)據完整性、認證性，并用于防地址欺騙攻擊、消息重放攻擊等。其認證性由消息認證碼(MAC)實現(xiàn)，因此要求通信雙方有共享的密鑰。

認證報頭有以下數(shù)據字段(如圖2所示)：

下一報頭：字段長為8bit，用來標識下一數(shù)據包的報頭。

負載長度：字段長也為8bit，其值(即負載長度)為以32bit字為單位的AH長度減2(單位為字)。例如：“認證數(shù)據”字段的默認長度為96bit，即3個字，此時AH總長為6個字，所以負載長度為4(單位為字)。

保留：字段長為16bit，留待將來可能出現(xiàn)的新用途使用。

安全參數(shù)索引(SPI)：字段長32bit，其用途在前面已解釋過。

序列號：字段長32bit，為單調遞增的計數(shù)器。

認證數(shù)據：為可變長字段，但長必須為32bit的整數(shù)倍。字段的值為本數(shù)據包所用的完整性檢驗值(ICV)，即MAC。

所以，AH總長為96bit固定部分加上認證數(shù)據的可變長部分。AH報頭中的“序列號”字段用于防止敵手截獲已經過認證的數(shù)據包后實施重放攻擊。認證報頭(AH)中，字段“認證數(shù)據”的值稱為完整性校驗值。ICV是由MAC算法產生的消息認證碼或截短的消息認證碼。當前規(guī)定的算法為HMAC－MD5－96或HMAC－SHA－1－96，表示MAC算法為HMAC，所用雜湊算法分別為MD5和SHA，96表示“認證數(shù)據”的默認字段長，因此由HMAC產生出的消息認證碼還需被截短，截短方式為取前96bit。

AH有兩種使用模式：傳輸模式和隧道模式。

傳輸模式

前面已說過傳輸模式典型地用于兩個主機之間的端—端通信，而網關可以不支持傳輸模式。這種模式中，將認證報頭(AH)插到原始IP數(shù)據包的報頭后面，其作用是對IP報文除可變字段外的其它字段提供認證功能。傳輸模式的優(yōu)點是額外開銷較小，缺點是無法對可變字段進行保護。

隧道模式

隧道模式下，將需保護的原數(shù)據包用一個新數(shù)據包包裝，即將原數(shù)據包作為新數(shù)據包的負載，稱新數(shù)據包為隧道數(shù)據包。然后再對隧道數(shù)據包使用傳輸模式的AH，即將AH插到隧道數(shù)據包中新IP報頭的后面。

隧道模式的主要優(yōu)點是可對被封裝的數(shù)據包進行完全的保護，缺點是有額外的處理開銷。

4 封裝安全負載

封裝安全負載(ESP)用于提供保密性業(yè)務，包括對消息內容的保密和有限的通信流量的保密。ESP也提供作為可選項的認證業(yè)務。

(1)ESP數(shù)據包格式

如圖3所示，ESP數(shù)據包包括以下字段:

安全參數(shù)索引(SPI)：字段長32bit，用于標識SA關聯(lián)。

序列號：字段長32bit，為一個單調遞增的計數(shù)器，用于防止重放攻擊。

負載數(shù)據：字段長可變，為經加密保護的傳輸層數(shù)據段(傳輸模式時)或IP數(shù)據包(隧道模式時)。

填充：字段長范圍為0到255字節(jié)，其作用下面介紹。

填充長度：字段長8bit，表示前一字段以字節(jié)為單位長度。

下一報頭：字段長為8bit，通過表示負載數(shù)據的第一個報頭(如IPv6的一個擴展報頭或TCP等上層協(xié)議)，來表示負載數(shù)據的數(shù)據類型。

認證數(shù)據：字段長可變(然而必須是32的整數(shù)倍)，為前面各字段計算出的完整性校驗值(ICV)。

(2)ESP所用的加密算法和認證算法

ESP保密業(yè)務為負載數(shù)據、填充、填充長度、下一報頭4個字段提供加密。如果加密算法需要初始向量，則將初始向量以明文形式放在負載數(shù)據頭部。ESP要求支持CBC模式的DES，同時支持的加密算法還有：3個密鑰的三重DES、RC5、IDEA、CAST、Blowfish等。

和AH一樣，ESP支持的消息認證碼默認長度為96bit，支持的算法為HMAC－MD5－96和HMAC－SHA－1－96。

(3)填充

填充的作用有：

如果加密算法要求明文長為某一字節(jié)的倍數(shù)(如分組加密算法明文長為分組長的倍數(shù))，則通過填充可將明文(包括負載數(shù)據、填充、填充長度、下一報頭)擴展為所需的長度。

ESP的格式要求“填充長度”字段和“下一報頭”字段在一個32bit的字中是右對齊的，填充用于保證這種對齊。

通過填充可隱藏負載數(shù)據的實際長度，因此還能對業(yè)務流提供部分保密性。

(4) ESP的使用模式

與AH一樣，ESP的兩種使用模式也為傳輸模式和隧道模式。

傳輸模式

與AH一樣，傳輸模式的ESP也用于兩個主機之間的端—端通信。這種模式中將ESP報頭插入到原始IP數(shù)據包的報頭后面，而ESP報尾和認證數(shù)據則放在原始數(shù)據包的負載之后。傳輸模式下的ESP未對原始IP報頭提供加密和認證，這是它的一個缺點，因為誤傳的數(shù)據包也會交給ESP處理，且敵手有可能對所傳的數(shù)據包進行業(yè)務流量分析。它的優(yōu)點是對原始IP數(shù)據包的長度增加很少，因此處理開銷增加不多。

隧道模式

和AH一樣，隧道模式也用于在SA關系中至少有一方是安全的網關。這時將需保護的數(shù)據包用一個新數(shù)據包包裝，即將原數(shù)據包作為新數(shù)據包的負載，稱新數(shù)據包為隧道IP數(shù)據包，然后再對隧道IP 數(shù)據包實施傳輸模式的ESP。

由于原始數(shù)據包成了新數(shù)據包的負載，因此原始數(shù)據包得到了完全的安全性保護。不過新IP報頭仍是未加保護的。隧道模式下，外層報頭(即新IP報頭)中的IP地址可以和內部報頭(即原始報頭)的IP地址不一樣。例如，兩個網關可以通過ESP隧道對它們之間的全部流量進行安全保護。

5 SA的組合

一個SA能夠實現(xiàn)AH協(xié)議或ESP協(xié)議，但卻不能同時實現(xiàn)這兩種協(xié)議。然而有些業(yè)務流可能要求同時實現(xiàn)兩種協(xié)議，即要求在主機間和網關間都實現(xiàn)IPSec業(yè)務。這時就要求建立起多個SA以實現(xiàn)所需的IPSec業(yè)務，稱這種多個SA序列為SA束，同一束上的SA的端點可以相同也可不同。

創(chuàng)建SA束的方式有以下兩種：

傳輸相鄰：指對同一IP數(shù)據包多次應用非隧道模式的AH和ESP兩種協(xié)議。在這種方式下，只允許將AH和ESP組合為一層，這是因為只有數(shù)據包的目標方才對其進行處理，嵌套方式不會增加任何好處。

重復隧道方式：指對同一IP數(shù)據包在隧道模式下多次使用兩種協(xié)議，即每使用一次協(xié)議，都生成一個新的IP數(shù)據包，下一協(xié)議再對數(shù)據包封裝。由于各個隧道的起點和終點可以不同，所以這種方法允許使用多層嵌套。

以上兩種方式可以結合起來使用，例如兩個網關之間的SA使用重復隧道方式，而在網關之間的部分路段上的主機之間的SA使用傳輸相鄰方式。

6 密鑰管理

IPSec的密鑰管理包括密鑰的確定和密鑰的分布，分為手工密鑰管理和自動密鑰管理：手工方式指系統(tǒng)管理員以手工方式為每一系統(tǒng)配置該系統(tǒng)自己的密鑰和其它系統(tǒng)的密鑰，該方式僅在相對穩(wěn)定的小環(huán)境中才有實際價值；自動方式是指系統(tǒng)能夠自動地按要求為SA產生密鑰，該方式對分布式、大系統(tǒng)的密鑰管理極為方便。

IPSec默認的自動密鑰管理協(xié)議稱為ISAKMP/Oakley。該協(xié)議包括兩部分：

Oakley密鑰確定協(xié)議：Oakley是基于Diffie－Hellman算法的密鑰交換協(xié)議，但與Diffie－Hellman算法相比，Oakley又提供了額外的安全性。

因特網安全關聯(lián)和密鑰管理協(xié)議(Internet Security Association and Key Management Protocol)：ISAKMP提供了一個因特網密鑰管理框架，并為安全屬性的協(xié)商提供了特定的協(xié)議支持。

ISAKMP本身并未指定密鑰交換算法，而是由一些消息類型構成，這些消息類型分別指定了不同的密鑰交換算法。Oakley是初版ISAKMP使用的指定密鑰交換算法。

7 IPSec的研究前景

今天，很難預料IPSec技術以什么樣的形式在網上得到廣泛的應用。市場驅動著技術的使用；同樣，已使用的IPSec技術又改變著市場在選擇下一個應用范圍時的意向。要使IPSec更好地工作,系統(tǒng)集成或者分離的IPSec產品(或者兩者)的下列研究領域將很重要：

當為網絡環(huán)境實現(xiàn)安全策略管理時，IPSec的抽象定義；

作為網絡安全子系統(tǒng)的IPSec管理模型的定義；

在IPSec范圍下可以實現(xiàn)和提供的函數(shù)以及服務的凈化；

功能塊的凈化，使其可以在IPSec和通用安全框架的其他組件之間共享?！?/p>

參考文獻

1 RFC2401: Security Architecture for the Internet Protocol

2 RFC2402:IP Authentication Header

3 RFC2406:IP Encapsulating Security Payload (ESP)

4 RFC2408:Internet Security Association and Key Management Protocol (ISAKMP)

(收稿日期：2001－07－09)

作者簡介

毛劍 ，西安電子科技大學通信工程學院在讀博士。目前主要從事電子商務、廣播加密、IP安全等方面的研究工作。

楊波，西安電子科技大學通信工程學院副教授，碩士生導師。主要研究方向為通信網的安全、電子商務及無條件安全。