雙層ＩＰＳｅｃ與防火墻協同工作的一個設計方案

摘 要：IPSec是為Internet通信提供安全服務的一組標準協議，它封裝了傳輸層中的一些重要信息，而防火墻則需要訪問報文中的信息進行控制處理。針對如何能夠讓IPSec和防火墻協同工作提出一種雙層IPSec處理思想：將IP報文分為協議頭和數據兩部分，使用復合安全關聯(Composite SA)對其進行安全處理，使IPSec和防火墻可以各取所需，從而給出上述問題的一個解決方案。該方案的優點在于安全主機與防火墻之間復合安全關聯的協商靈活多變，與傳統IPSec相比協議格式變化不大，傳輸效率較高。

關鍵詞：雙層IPSec； 防火墻； 協同； 復合安全關聯

中圖法分類號：TP393．08 文獻標識碼：A 文章編號：1001-3695(2006)10-0107-03

Investigation on Schema of Cooperation of DLIPSec and Firewall

DAI Rendong， WANG Shangping， WANG Xiaofeng， HOU Hongxia

(College of Science， Xi’an University of Technology， Xi’an Shanxi 710048， China)

Abstract:IPSec is a suite of standard protocols that provides security services for Internet communications， it encapsulates some important information of the transport layer of IP datagram， however， firewall requires the information above to process the access control work. About the problem of cooperation of IPSec and firewall， a technology of DoubleLayer IPSec is provided， that is doing IPSec processes on protocol head and data in IP datagram separately， so we can solve the problem above. The advantage of our schema is the negotiation of Composite SA is variable between hosts and firewalls， changes of the format of IP datagram is very small and the transportation of imformation is efficient.

Key words:DLIPSec; Firewall; Cooperation; Composite SA

1 引言

隨著Internet在全世界的普及，網絡系統的安全性問題也日益突出。在各種安全性的解決方案中，IPSec和防火墻技術脫穎而出，成為備受業界青睞的兩種安全技術。

IPSec是IETF設計的網絡安全協議。它能夠提供的安全服務包括訪問控制、無連接的完整性、抗重播攻擊保護、數據源認證、機密性等安全服務。這些目標通過三大協議：認證首部協議AH[2]、封裝安全載荷協議ESP[4]和自動密鑰管理協議IKE[3]的協同使用來完成。防火墻則是采用綜合網絡技術的專用網絡安全設備，是設置在被保護網絡和外部不可信任網絡之間的一道關卡，用于分隔被保護網絡與外部網絡系統，防止發生不可預測的惡意入侵。它是不同網絡或網絡安全域之間信息的唯一出入口，能通過訪問IP報文中傳輸層的協議頭信息控制出入信息流，以保護本地系統或網絡。

防火墻主要是用來保護內部網絡的，IPSec主要是用來保護數據在網絡上傳輸時的安全，所以很多時候需要這兩種技術協同工作以保護整個網絡的數據安全。然而，如果將這兩種技術簡單地組合在一起，就會引起一定的問題：IPSec需要將整個IP報文(隧道模式)或整個網絡層數據(傳輸模式)作為整體進行加密或驗證處理；而防火墻則需要訪問IP報文中傳輸層的協議頭信息進行訪問控制處理。這種根本性的沖突使得在一個分布式的環境下如何讓IPSec和防火墻協同工作成為一個實際困難的問題。

目前針對上述問題存在的幾種解決方案，我們分析了其中的兩種：MultiLayer IPSec[1]和LayeredIPSec[5]。第一種方案將IP報文分成了幾個區，對不同的區使用不同的保護方法，每個區均有它們各自的安全關聯、密鑰以及訪問控制規則。使用分層IPSec提供對報文端到端的保護時，第一個IPSec安全主機把IP報文劃分成若干區并對不同的區使用不同的SA進行保護處理。受保護的報文通過中間可信任防火墻時，報文的某一特定部分將被解密或修改后再重新被加密，但是其他部分不受影響。當報文到達最后的IPSec安全主機時，分層IPSec將重新構造原始報文。該方案達到了可信任防火墻對IP報文特定部分安全、可控、有限制地訪問，同時對用戶報文提供了端到端的保護。然而該方案對于SA的協商不夠靈活，假設安全主機與防火墻之間的網絡是安全的，則傳輸層協議頭部分就可以不用進行安全處理，而與之相對應的SA也不用協商，該方案中的SA從源端到目的端均是一致的，所以增加了不必要的負擔。第二種方案將IP報文分為協議頭和數據兩部分，分別對它們使用AH協議或者ESP協議進行安全處理，但是這樣一來就增加了報文的長度，增加了網絡流量和主機處理報文的負擔。

本文提出一種雙層IPSec處理思想：將IP報文分為協議頭和數據兩部分，使用不同的安全關聯(SA)對其進行安全處理，同時可以根據網絡的安全情況決定需要什么樣的SA，這樣就可以使IPSec和防火墻各取所需，從而解決上述問題。

2 雙層IPSec(DL_IPSec)與防火墻協同工作體系結構

由于IPSec和防火墻出現沖突的根本性問題在于對IP數據報文中傳輸層協議頭部分的處理不同，所以將協議頭部分和數據部分分開處理是不可避免的。其中，數據部分在端到端通信的安全主機間進行安全處理，這部分對于各子網邊緣的防火墻是透明的;協議頭部分則在安全主機與防火墻之間、防火墻與防火墻之間分別進行對等的安全處理。如圖1所示是一個典型的跨越公共網絡的公司網絡，假設在需要進行安全通信的所有主機以及子網邊緣的防火墻節點上都已經實現了雙層IPSec。以防火墻為界可以分為三段，這三段之間對協議頭的安全處理是互不相關的，既可以全都相同也可以全都不同。段1與段3之間由于屬于子網內部，甚至還可以視自身的安全情況決定是否需要對協議頭進行安全處理；段2因為屬于公共網絡，所以必須對其進行安全處理。具體的選擇要視公司網絡的安全情況來確定。

3 雙層IPSec工作原理

3．1 復合安全關聯(Composite SA)

雙層IPSec與傳統IPSec的安全關聯（SA）有所不同，我們稱之為復合安全關聯。MultiLayer IPSec[1]首先提出了復合安全關聯的概念，然而該方案對復合安全關聯的協商不夠靈活，我們對此進行了一些修改。下面，先介紹幾種不同的SA，然后再介紹復合SA的概念。

按SA的作用不同可以分為四類：①協議頭區域SA，用于處理安全主機與防火墻之間或防火墻與防火墻之間傳輸層的協議頭部分。②數據區域SA，用于處理安全主機端到端的數據區域部分，該類SA的協商由發送端和接收端處理，對于中間節點透明。③D_SA（DesigneD_SA），由于IPSec模塊在進行安全處理的時候需要Composite SA提供一些必要的參數，所以D_SA的主要作用就是代表Composite SA來提供這些參數。這些參數包括序列計數器溢出、防重放窗口、IPSec協議模式、最大傳輸路徑（PMTU）等。這些參數在①、②兩種安全關聯中不用設置，但是，在①、②中必須設置安全關聯的生存期、AH認證算法和密鑰、ESP加密算法和密鑰、IV模式和IV等。ESP認證算法和密鑰等在③類安全關聯中亦不用設置。④傳統SA，此類SA與傳統的IPSec兼容。

Composite SA實際上是上述前三種不同SA的有序鏈表，并且規定該鏈表的第一個SA必須是D_SA。它們的組合方式可以有如下幾種（圖2）：

（1）假設主機1和防火墻1所在的內網和主機2和防火墻2所在的內網是安全的，傳輸層協議頭部分不需要提供保護，但是數據區域需要保護，所以主機1和主機2的復合SA包括D_SA和數據區SA兩部分；防火墻1和防火墻2要穿過公共網絡，協議頭部分需要保護，其復合SA包括D_SA和協議頭SA兩部分。

（2）假設主機1和防火墻1所在的內網和主機2和防火墻2所在的內網不安全，傳輸層協議頭部分需要提供保護，同時數據區域也需要保護，所以主機1和主機2的復合SA包括D_SA、協議頭SA和數據區SA三部分；防火墻1和防火墻2要穿過公共網絡，同時又要與內網中的安全主機進行安全通信，就需要兩個協議頭SA。其復合SA包括D_SA、協議頭SA、協議頭SA三部分。同時（1）和（2）這兩種情況下防火墻1與2之間可以只申請一對協議頭SA用來保護兩個子網之間的通信即可，以節省資源和方便操作。

（1）和（2）兩種情況下安全主機與防火墻之間和防火墻與防火墻之間協議頭SA的協商都是單獨進行的。

（3）情況下可以由安全主機1和2先協商出協議頭SA，然后與防火墻1和2共享，可以方便操作。所以主機1和主機2的復合SA包括D_SA、協議頭SA和數據區SA三部分；防火墻1和防火墻2其復合SA包括D_SA、協議頭SA兩部分，且協議頭SA與主機1和2的是對等的。

為了能夠識別出這四類SA，我們重新定義了安全參數索引最高兩位的含義，由這兩位指明該SA的種類，由此確定該SA的處理范圍，如圖3所示。

3．2 報文格式

在雙層IPSec中使用的AH和ESP格式與IPSec中的格式區別不大。AH和ESP都有傳輸模式和隧道模式，而這是由D_SA的Protocol Mode來確定的。

雙層IPSec的AH頭格式與原始的IPSec幾乎是相同的，其保留字段存儲IP報文中傳輸層協議頭末端距離報文首部的偏移量。AH中的認證數據部分分為兩部分，即協議頭部分和數據部分所對應的認證數據。該區域是可變長度區，其整體長度取決于載荷的長度和兩部分SA中所用的認證算法，它必須是32位的整數倍。認證數據的邊界可以從保留字中協議頭的偏移量中推算得出。

雙層IPSec的ESP頭格式與原始IPSec有所不同，如圖4所示。在ESP頭后面插入16位空間，以明文形式存儲ESP尾末端（若該SA無驗證）或驗證數據（若該SA有驗證）末端距離報文首部的偏移量。其載荷數據部分被劃分成兩部分，分別為對應協議頭和數據區部分的加密數據，每部分均有自己的填充字節、填充字節的長度和下一個頭。加密塊的大小可以從ESP頭后的數據中計算出來。ESP中可選的完整性校驗值(ICV)的長度也是變化的，每個ICV的長度是由認證算法決定。它們彼此之間的界線可以從ESP頭后的數據中計算出來。

3．3 雙層IPSec的輸入/輸出處理

雙層IPSec的輸入/輸出過程如圖5所示。

3．3．1 輸出處理

雙層IPSec的輸出處理（圖5（a））與原始IPSec的輸出處理有一些不同。當外出IP報文與安全策略庫（SPD）某一條目匹配時，查看安全關聯數據庫（SADB）中相關聯的復合SA，根據復合SA中SA的種類分別對協議頭和數據區進行安全處理，將AH的認證數據或ESP的加密數據級聯成一個整體后存放在AH協議頭的驗證數據區域或ESP協議頭的載荷數據區域中。報文中AH協議頭和ESP協議頭的安全參數索引項使用D_SA的安全索引。如果是AH協議，則在計算完整性校驗值前，設置AH頭中保留字段的值為IP報文中傳輸層協議頭末端距離報文首部的偏移量；如果是ESP協議，則在計算完密文后、計算完整性校驗值（ICV）前，在IP報文中ESP頭后插入16位存儲空間，保存ESP尾末端（若無驗證）或驗證數據（有驗證）末端距離報文首部的偏移量。

3．3．2 輸入處理

輸入操作實際就是輸出逆過程，如圖5（b）所示。如果SPI指向復合SA，則實施雙層IPSec機制；如果使用AH協議，則雙層IPSec執行ICV逐部分驗證，對任一部分的驗證失敗，該數據報都將被丟棄；如果是ESP協議且針對該部分創建的SA存在且非空，則利用該SA中協商好的密鑰、加密算法、算法模式以及同步密碼數據（如果有的話）對ESP負載數據、填充、填充長度和可選的下一首部進行解密；對為滿足某些算法需要所添加的填充數據處理后，接收者從初始IP首部和存儲在所有負載數據字段里的IP負載重新構建出原來的IP數據報。如果某部分指定的SA為空，則無須進行處理。

4 結束語

針對傳統的IPSec與防火墻如何協同工作這個問題，本文提出了一種雙層IPSec解決方案，其基本思想就是將傳輸層協議頭與用戶數據兩部分分別進行處理，使得防火墻和IPSec模塊能夠各取所需，從而解決上述問題。本文所介紹的方案可以在Linux系統中實現IPSec的軟件Frees/WAN下實現，需要對用戶的配置文件、SA的數據結構、SADB中的一些函數和數據的輸入/輸出處理過程進行一些修改。另外復合SA的協商也是手動實現的，今后還需要對IKE協議進行擴展，使之支持雙層IPSec。

參考文獻：

[1]Z Yongguang， S Bikramjit. A MultiLayer IPSec Protocol. The 9th USENIX Security Symposium[EB/OL]. http://www.vpnc.org/ietfipsec/99.ipsec/msg01831.html， 2000.

[2]S Kent， R Atkinson. IP Authentication Header(AH)， RFC 2402[EB/OL]. http://www.faqs.org/rfcs/rfc2402.html， 199811.

[3]D Harkins， D Carrel. The Internet Key Exchange(IKE)， RFC 2409[EB/OL]. http://www.faqs.org/rfcs/rfc2409.html， 199811.

[4]S Kent， R Atkinson. IP Encapsulating Security Payload(ESP)， RFC 2406[EB/OL]. http://www.faqs.org/rfcs/rfc2406.html， 1998.

[5]姚立紅，謝力.IPSec與防火墻協同工作設計與實現[J].小型微型計算機系統，2004，25(2):183186.

作者簡介：

代仁東(1979-)，男，山東青島人，碩士研究生，研究方向為信息安全與密碼學；王尚平，男，陜西扶風人，教授，博士，研究方向為信息安全與密碼學；王曉峰，女，河南新鄉人，副教授，博士，研究方向為信息安全與密碼學；侯紅霞，女，山西朔州人，研究生，研究方向為信息安全與密碼學。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文