一種IPsec抗重放技術在VPN隔離網關中的應用方法*

吳亞銘，徐文斌，王 馭，楊天泉，梁鴻斌

0 引 言

隨著移動互聯網技術的高速發展和廣泛應用，信息安全引起了社會各界的高度關注。“斯諾登”事件讓人們認識到，網絡攻擊無處不在，信息安全形勢十分嚴峻。

網絡攻擊可以分為被動攻擊和主動攻擊。其中，被動攻擊的特性是對傳輸進行竊聽和監測，攻擊者的目的是獲得傳輸的信息，如傳輸信息的內容、傳輸流量的分析等。主動攻擊包括對數據流進行修改或偽造數據流，可分為假冒、重放、消息修改和拒絕服務等四類。重放攻擊是指將通過竊聽等手段獲得的信息再次發送以產生非授權的效果[1]。

1 IPsec抗重放攻擊原理

抗重放攻擊的基本原理是在每個協議數據幀中增加抗重放變量，并保證該變量在每個數據幀中的值不相同。抗重放變量可以是隨機數、時間戳和流水號等。當抗重放變量采用隨機數時，通信雙方需要記住某一時間段內使用過的所有隨機數，保存和查詢的開銷很大。當抗重放變量采用時間戳時，通信雙方需要準確進行時間同步。同步越好，抗重放的效果越好。當抗重放變量采用流水號時，通信雙方不需要進行時間同步，存儲和查詢的開銷也較小。

IPsec通過在被保護數據前增加一個IPsec包頭，并采用數據完整性校驗/驗證、加/解密、抗重放判斷等方式對通信數據進行保護。IPsec的“驗證頭（AH）”協議[2]和“封裝安全載荷（ESP）”協議[3]，均采用流水號方式提供抗重放服務。數據包格式分別如圖1、圖2所示。

圖1 AH數據包格式

圖2 ESP數據包格式

創建安全關聯（SA）時，通信雙方均將序列號（即流水號）設置為0。每個IPsec包頭內的序列號均是獨一無二且單調遞增的。每次發送方發送數據時，序列號遞增，并寫入發送IPsec包頭。接收方收到后，使用如圖3所示的滑動窗口，判斷新收到的數據是否為重放的數據報文，并在驗證新收數據的合法性后，對該窗口進行滑動操作。

圖3 32位滑動窗口（剛收到第N+33包，尚未驗證、滑動窗口）

由圖3可見，32位滑動窗口由滑動窗口寬度k、位圖（32 bit）和起始序列號N三個參數構成。位圖的每個比特依次對應一個數據包流的序列號，用于記錄起始序列號為N的32個連續數據包是否已收到的狀態，bit0對應N，bit1對應N+1，……，bit31對應N+31。滑動窗口每個比特的取值表示該序列號對應的數據包是否已收到，0表示未收到（圖中用陰影表示），1表示已收到。圖3中，序列號為N、N+26、N+28、N+30、N+32、N+34以及N+34之后的數據包均未收到；滑動窗口內的其他數據包、滑動窗口之前的數據包均已收到；序列號為N+33的數據包剛剛收到，但滑動窗口尚未執行滑動操作。

當新收到一個數據包時，接收方首先應判定是否為重放數據包。若為重放包，則丟棄；否則，對數據包的合法性進行驗證（合法性驗證包括解密、完整性驗證等操作）。合法性驗證失敗，則丟棄；否則，接收該數據包并進行窗口滑動操作。

2 應用方法

VPN隔離網關是一種利用IPsec技術實現網絡數據加密傳輸并對可信網絡（即內網）和不可信網絡（即外網）進行安全隔離的設備，可有效防止非法數據進入可信網絡，避免可信網絡內的主機被非法控制以及內網的敏感數據泄露到外網。IPsec抗重放技術是一種VPN隔離網關抵抗重放攻擊的有效手段。

通常，VPN隔離網關采用如圖4所示的“雙ARM+FPGA”架構。FPGA位于內網主機和外網主機之間，對內網和外網數據進行“擺渡”、加解密處理和數據包合法性驗證[4]。

圖4 VPN隔離網關

2.1 抗重放流程

VPN隔離網關抗重放功能的實現方式與單處理器存在較大差異。在單處理器中實現IPsec時，處理器只需按照“抗重放判斷、合法性驗證、窗口滑動”的流程執行即可。但是，在“雙ARM+FPGA”的架構中，為了保證數據的安全性，合法性驗證不能在外網主機中實現，而應在FPGA中實現。因此，需要對抗重放流程進行改進。

VPN隔離網關的抗重放功能應按圖5所示的流程實現。首先，由外網主機對新到的數據包進行抗重放判斷，不是重放包則將數據包發送到FPGA，否則丟棄。FPGA收到數據包后進行解密和合法性驗證，合法則將明文數據包發送至內網主機，否則丟棄。FPGA每次完成合法性驗證后應將結果返回外網主機，外網主機根據合法性驗證結果決定是否進行窗口滑動。

圖5 VPN隔離網關的抗重放流程

2.2 驗證結果通知

FPGA將合法性驗證的結果返回外網主機，有軟件通知和硬件通知兩種方式。軟件通知方式是通過外設接口向外網主機發送通知（數據協議幀）。這種方式的反饋信息量較大，可能帶來一定的安全隱患，但適用于SA較多的場合。硬件通知方式是通過INT引腳向外網主機發送通知（高低電平）。這種方式的反饋信息量小，安全性較高，但由于每個SA需一個INT引腳，需要的硬件資源較多，僅適用于SA較少的場合。

2.3 重放包判據

數據包是否為重放包的判據如下：

（1）當新到數據包的序列號小于N時，則判定該數據包為重放包；

（2）當新到數據包的序列號大于等于N且小于N+k時，若該序列號對應的位圖中的bit為1，則判定該數據包為重放包；否則，判定為非重放包；

（3）當新到數據包的序列號大于等于N+k時，則判定該數據包為非重放包。

2.4 窗口滑動

設新到數據包為非重放包，且其序列號大于滑動窗口右側對應的序列號（即已收最大序列號）。若通過了合法性驗證，則需按照以下步驟進行窗口滑動操作：

（1）計算新到數據包序列號與已收最大序列號之間的步進距離，設為d；

（2）若d大于序列號變化閾值，則拒絕滑動并返回；

（3）滑動窗口左側對應序列號N向前滑動d，即N=N+d；

（4）位圖左移d位，并將位圖的bit31置位。

當窗口向前滑動時，若窗口左側對應的數據包仍未收到，則會造成丟包。以圖3中收到第N+33包為例，滑動窗口需向前步進2，而第N包仍未收到，因此第N包將被永久性拒收。

2.5 可靠性保證機制

若密鑰協商過程被破解而造成密鑰泄漏，則攻擊者可以通過先于發送方向接收方發送數據而接管通信過程，或者不斷給接收方發送序列號較大的數據包而加快抗重放窗口的滑動，并造成大量數據包的拒收。此外，發送端因程序錯誤造成序列號異常（如突增），也會造成數據包的拒收。為了防止序列號突變，接收方設置序列號變化閾值。若序列號變化量超過該閾值，則拒絕滑動窗口。因此，抗重放機制的可靠性需要用安全的密鑰保護機制和健壯可靠的程序來保證。

3 軟件實現

3.1 數據結構

記錄序列號的使用情況的結構體如下：

structxfrm_replay_state{

__u32 seq;//記錄當前序列號的值

__u32 bitmap;//位圖，如果滑動窗口長度小于32，則使用bitmap的低位。

};

統計抗重放結果的結構體如下：

structxfrm_stats{

__u32 replay_window;//丟棄的包數

3.2 抗重放判斷代碼實現

抗重放判斷的源代碼如下：

3.3 窗口滑動代碼實現

4 結 語

本文從工程實踐的角度對Linux的IPsec抗重放攻擊的原理進行分析和研究，提出了IPsec抗重放技術在VPN隔離網關中的應用方法，設計了抗重放流程和實施細節，并針對序列號突變設計了相應的應對機制，同時實現了軟件代碼。

[1] William S，唐明.密碼編碼學與網絡安全——原理與實踐[M].第6版.北京:電子工業出版社,2003:131-147,216-233.William S,TANG Ming.Cryptography and Network Security-Principles and Practice[M].6th ed.Beijing:Publishing House of Electronics Industry,2003:131-147,216-233.

[2] IP Authentication Header[S].RFC4302-Dec,2005.

[3] IP Encapsulating Security Payload(ESP)[S].RFC4303-Dec,2005.

[4] 孫偉峰,張琳.一種增強型VPN安全隔離網關設計與實現[J].中國電子科學研究院學報,2015(06):628-631,651.SUN Wei-feng,ZHANG Lin.Design and Implementation of an Enhanced VPN Security Isolation Gateway[J].Journal of China Electronics Academy,2015(06):628-631,651.