IoT云連接中輕量級IPSec VPN的部署

曾喜娟

(黎明職業(yè)大學智能制造工程學院，福建泉州 362000)

0 引言

物聯網通過智能物件及網絡技術，將物理世界的各類感知器件連接起來，通過無線傳感技術采集物理世界的信息，經互聯網傳給云端服務器.在物聯網部署的海量終端一般是資源受限、異構的瘦客戶端，通過攝像頭、傳感器等收集的數據信息與人們的日常生活密切相連[1]，在物聯網業(yè)務環(huán)境中，通信、數據協同等操作將更加頻繁，這個龐大的系統(tǒng)如果不加于安全隱私的規(guī)范，某些生活隱私或者敏感數據有可能會造成泄密.而物聯網終端和一般的通用計算機系統(tǒng)不同，大多為資源受限的低功耗的智能物件，容易受到拒絕服務攻擊(Denial of Service，Dos),面向傳統(tǒng)數據集的安全技術難以直接應用.現有的一些非IP物聯網技術如ZigBee及Z-wave等聯盟提出AES加密、數據完整性、鑒權等[2]，都只是在數據鏈路層進行，此類協議無法直接與基于IP協議的互聯網相連，必須通過相關網關將其轉換為IP包，此時基于數據鏈路層技術無法保護在互聯網的數據安全.IPSO聯盟提出在智能物件中使用IP協議，把IEEE802.15.4 上引入6LoWPAN適配層[3]，支持IPV6協議，因此可以把IP的安全機制應用于物聯網中，如SSL及IPSec.其中SSL運行于傳輸層，為兩個網絡端點提供了基于TCP的端對端的安全信道，在認證階段使用了非對稱加密算法，卻不適合在計算能力有限的智能物件上使用，且只支持TCP，不支持對整個IP協議棧其他協議如udp等的安全防護.而IPSec作為標準IPV6網絡層下方的一個必備的安全套件，為通信雙方提供安全服務.在6LoWPAN中利用IEEE802.15.4設備中的AES加速器優(yōu)勢，便于在智能物件中實現.因此，在6LoWPAN上運用IPSec協議保護IoT云連接中的安全具有重要意義.

1 IPSec

IPSec協議作為IPV6協議棧的一部分，由身份驗證頭部(AH)和封裝安全載荷(ESP)和密鑰交換協議(IKE)等組件組成，為IP通信提供了訪問控制、身份驗證、抗重演及加密等網絡安全服務.其中身份驗證頭部安全性協議(AH)的服務主要采用HMAC/SHA和HMAC/MD5等算法通過散列函數產生的報文摘要校驗值來支持數據完整性校驗服務，并在保證包頭的序列號在通信過程中的同一個窗口期為唯一值來防止重放攻擊，并通過共享密鑰來實現數據源身份認證服務.封裝安全載荷ESP協議主要提供用來實現IP數據包或數據流的加密服務 可以支持DES、Triple DES、RC5等多種加密算法，并能提供數據源身份認證、數據完整性、抗重演攻擊等功能.密鑰交換協議IKE為通信雙方提供密鑰協商、密鑰管理的機制.

IPSec協議為通信雙方建立vpn通道，為保護兩臺主機之間、兩個網關之間或主機和網關之間的數據通信服務，避免泄密.通信雙方在正式通信前會先協商這次通信準備采用的安全策略包括加密算法、密鑰及其生存期等，協商完成后把它保存在安全關系數據庫(SAD)內，供今后IPSec通信時使用.通信時，IPSec可以采用隧道模式和傳輸模式兩種模式進行傳輸數據，其中在隧道方式中，IPSec會先采用雙方協商的算法加密原有整個IP數據包，然后加上新的IP包頭形成一個新的數據報傳輸給對方，對方收到數據包后再用對應的算法進行解包，抽取出原有的IP包.而在傳輸方式中，IPSec會先從原有的ip包抽取出高層協議數據單元(PDU)數據出來，采用雙方協商的算法加密，計算附加包頭，并用原有的源IP及目的IP進行封裝，傳輸給目的地.

2 IPSec在IoT云連接中的應用

圖1 智能物件與OpenStack云連接示意圖Fig.1 Connection between smart objects and OpenStack cloud

在物聯網中，每個傳感器就是一個信息源，不同類型的傳感器所獲得的信息內容和信息格式不同，相互之間進行資源共享及互操作存在著很大的困難.建立利用大規(guī)模的可擴展的云，由云主機承擔感知數據的標準化加工、處理與儲存任務，通過無線傳感器，射頻識別等智能設備搜集和整理數據和信息，并為應用提供統(tǒng)一的數據接入Portal.在這個結構中，大多數應用服務由云提供，一些實時性要求較高的由本地“傳感云”高效地提供，實現數據共享和交換.其結構如圖1所示：

圖2 基于6LoWPAN的IPv6協議棧Fig.2 IPv6 protocol stack based on 6LoWPAN

在圖1中，物聯網中的智能物件如RFID、攝像頭、溫度傳感器以及車載GPS等嵌入式設備等，通過有線、無線接入方式(如6LoWPAN、ZigBee、Wifi)連接到互聯網中，擴展了信息系統(tǒng)獲取物理世界信息的邊界和能力.這些智能部件大多是低功耗資源受限，計算能力不足，容易受到拒絕服務攻擊(Denial of Service，Dos)，在途中的一些非IP物聯網技術如ZigBee這類協議無法直接與基于IP協議的互聯網相連[4]，必須通過相關網關進行轉換，將其轉換為IP包，再通過IP網絡傳輸給云端及其他IP終端.對于IP協議的智能物件中，在IEEE802.15.4 上引入6LoWPAN適配層，支持IPv6協議，其協議棧構如圖2 所示，由于能耗受限的智能物件，內存大小及微控制器處理能力，無法承載標準的ip協議棧，因此，可以采用開源的uIP協議棧針對6LoWPAN適配層的特征進行裁剪及數據包頭壓縮[5].

6LoWPAN是運行于IEEE802.15.4鏈路上的一個低功耗網絡(LLN)，而IEEE802.15.4標準中規(guī)定了數據包最大傳輸單元只有127字節(jié)，而IPV6要求的最小MTU為1280字節(jié)，因此必須利用對6LoWPAN上的IPV6包頭利用IPHC壓縮技術進行壓縮[6]，從鏈路層導出 IP地址，縮減或刪除某些冗余的協議字段以避免沒必要的信息冗余，同理可以采用IPHC方法對IPSec頭進行壓縮，而ESP及AH有些功能重復，可以考慮只使用ESP進行認證及加密.壓縮完的IPV6數據包還必須在6LoWPAN分片傳輸，可以考慮在6LoWPAN網關進行重組成標準IPV6包進入互聯網傳輸給云端.而在傳輸數據的模式選擇中，傳輸模式只加密原承載的高層協議數據單元，與隧道模式相比，少了新的IP包頭的開銷[7]，適合于資源受限的物聯網終端使用，故選擇傳輸模式.

在云端擬采用OpenStack云平臺，通過KeyStone PKI服務頒發(fā)CA證書完成用戶及物件的鑒別、認證及加密任務.在云應用服務方面.OpenStack通過Customer Portal整合點接入用戶的app，采集智能物件的數據及對智能物件進行交互，由于智能物件在處理能力、能耗要求以及通信帶寬的限制，不建議采用SOAP、WSDLUDDI等重量級的Web服務機制，而表象化狀態(tài)轉換(Representational State Transfer，REST)是一種輕量的Web服務機制，適合智能物件使用，發(fā)送數據前，把數據或者資源利用JSON進行編碼，通過HTTP方法發(fā)起請求，HTTP協議作為無狀態(tài)的傳輸協議，完成請求的狀態(tài)由請求自身提供，因此客戶端可以不依賴與服務器端的狀態(tài)，服務器也不依賴與客戶端的狀態(tài)，可以根據需要把狀態(tài)及表示在客戶端和服務器間進行轉移.此類REST HTTP事務既可以傳送傳感器數據，也可以傳輸加密密鑰，服務于下一次IPSec密鑰協商.

3 IPSec輕量化的實現

圖3 輕量化IPSec數據流示意圖Fig.3 The diagram of lightweight IPSec data flow

如圖2所示，輕量級 IPSec 協議位于網絡層底部作為IPv6的一個安全協議，為上層提供安全服務，保證數據在網絡中的傳輸安全.但在實際應用中，當智能終端有數據包要發(fā)送給云端時，IPv6 協議時可能不會使用到 IPSec 協議，而是直接通過交給下一層即6LoWPAN適配層來轉發(fā)數據包.因此要對智能終端實現輕量級IPsec時，在網絡層及6LoWPAN適配層之間插入一個流量過濾器(traffic filter)來分流這兩層的數據流，如圖3所示.在圖3中，IPsec 設備驅動作為流量過濾器，過濾網絡層的ipv6_input 及 ipv6_output 函數與6LoWPAN層的6LoWPAN_input及6LoWPAN_output之間的數據流[8].當網絡層及6LoWPAN層之間數據流通過時， IPsec 設備驅動會先查詢安全策略數據庫(SPD)，SPD中會指明對數據流的處理方式，分別是保護(Protect),丟棄(Discard)或者旁路(bypass).當處理方式是應用時，這個數據流將會被分發(fā)到 IPsec 引擎.接著，IPsec 引擎將從安全聯盟數據庫(SAD)檢索此次通信對應的SA，結合安全策略數據庫(SPD)的策略來對數據包進行加密后，發(fā)送給下一層.當處理方式是旁路時，則數據流將會直接傳給下一層，不會經過 IPsec 引擎.當處理方式是丟棄時，這個數據包將會被丟棄.

在智能終端與云進行連接的實現中，我們主要采用了ESP的傳輸模式.如果只想從降低ESP的負荷來考慮，ESP可以只使用加密服務，但是如果棄用了完整性服務，則智能終端可能會受到主動攻擊，數據包傳輸過程中可能被篡改.因在IPSec輕量化中已經裁減了AH協議，在ESP實現中必須提供完整性服務功能，結合保密性服務，增強智能終端對主動和被動攻擊的抵御能力.另作為數據源的智能終端會發(fā)送 Seq 號，由接收端根據查詢SAD數據庫得到該會話的SA來決定是否進行處理以抵抗重放攻擊.

在ESP傳輸模塊的具體實現上，我們通過ipsec_encap_esp_pkt() 函 數 和ipsec_decap_esp_pkt()函數來實現對數據包進行封包及解包.

1)封包函數ipsec_encap_esp_pkt(ipv6_header *pkt, int *offset, int *len,sad_entry *sa)

ipsec_encap_esp_pkt函數負責把接收到的數據包pkt根據SAD中的sa策略封裝 為ESP 協議數據包，其工作流程如圖4所示.當IPsec 設備驅動從網絡層接收到IPV6的數據包時， 會查詢 SAD數據庫，當查詢到的SA規(guī)則為應用，需要ESP模塊處理時，即進入封包的操作.ipsec_encap_esp_pkt首先提取IP包中提取中高層的數據內容； 接著根據 SAD查詢到的SA規(guī)則判斷是否進行加密，如果需要加密則根據SA查詢到的加密規(guī)則進行處理，判斷是否需要初始化向量(IV) ，如果是，則將IV加在在高層負載數據前 ；根據加密要求對數據進行填充對齊，并在 Pad Length 域中記錄填充數據大小，然后進行加密.加密問題處理完成后，添加ESP 包頭內容，ESP包頭序列號 SN 和 SPI，并判斷完整性認證數據是否符合認證算法對字節(jié)對齊的要求.最后添加ESP尾部，要根據ESP 頭和 ESP 數據載荷整個部分生成 ICV添加到整個數據包后面，此時IPSec包封裝工作完成,并把數據包傳給6LoWPAN適配層層.

圖4 IPSec封包流程圖Fig.4 The flow diagram of IPSec data encapsulating

2)解包函數ipsec_decap_esp_pkt(ipv6_header *pkt, int *offset, int *len,sad_entry *sa)

ipsec_encap_esp_pkt函數負責把接收到的數據包pkt根據SAD中的sa策略解封裝成原始的ip包，其工作流程如圖5所示.當IPsec 設備驅動從6LoPWAN層接收到IPV6的數據包時， 會先判斷是否需要進行分段重組，然后讀取接收到的包SPI信息，從 SAD來查詢本次通信對應的 SA；若沒有找到對應可用的SA或者其策略為丟棄，則丟棄其數據包；若當查詢到的SA規(guī)則為應用，需要ESP模塊處理時，即進入解包的操作. 接著根據 SAD查詢到的SA規(guī)則判斷是否需要抗重放服務，如果需要則會檢查包中的 Seq 域，判斷是否在接收窗口范圍內并為唯一包.如果該seq值不在窗口內或包不唯一，則將包丟棄.否則接著根據 SA 中指定的認證算法計算相應的 ICV 值，如果計算值不等于傳入包中的ICV 的值，則認為完整性驗證失敗丟棄該包，否則認為完整性驗證通過，繼續(xù)采用SA 中的密鑰、算法來進行解密，如果解密出來 Next Header 數據域中的數據為 59，表示沒有下一包頭，則丟棄該數據包；否則，解包完成，傳遞給網絡層IPV6_INPUT函數進行處理.

圖5 IPSec解包流程圖Fig.5 The flow diagram of IPSec data decapsulating

4 結論

在IoT云連接中的應用中，在資源受限智能終端采用IP協議棧與外部進行通信，可輕量級IP協議棧基礎上進行裁剪，并利用IPHC壓縮技術進行壓縮，從鏈路層導出 IP地址，縮減或刪除某些冗余的協議字段以避免沒必要的信息冗余，使之能運行在基于最大傳輸單元只有127字節(jié)的IEEE802.15.4鏈路的6LoWPAN低功耗網絡(LLN)上，同理為了保護信息通信的安全，可以采用IPHC方法對IPSec頭進行壓縮，只使用ESP進行認證及加密.壓縮完的IPV6數據包還必須在6LoWPAN分片傳輸，在6LoWPAN網關進行重組成標準IPV6包進入互聯網傳輸給云端，滿足了聯網終端智能物件因其在處理能力較低、能耗要求以及通信帶寬的限制，在和云端進行通信時，部署這個輕量級的IPSec VPN能夠有效保護智能終端及云端的應用需求.