论文部分内容阅读
摘要:在面向报文信息的网络安全模型基础上,IPSec提供了数据源验证服务以弥补IP协议不足,但仍存在通信实体安全性的问题。因此在面向基础设施的网络模型指导下,结合IPSec在网络层实施安全服务的优点,深入分析并提出一种网络层身份验证机制以预防假冒攻击,最后对两种网络安全模型下的身份验证作了分析比较。
关键词:安全模型;身份验证;IP;IPSec
0 引言
传统网络安全体系结构的注重点是数据安全,而不是网络基础设施本身的安全。在网络攻击不断泛滥的形势下,有必要将安全保护的对象由通信的数据转向通信的物理设备,没有安全的网络基础设施支撑,安全的网络通信如同空中楼阁。
1 面向报文信息的网络安全模型
目前,讨论的大多数通信模型是一方通过互联网传送报文给另一方,双方协调共同完成信息交换。如需要保护信息传输防止攻击者窃取和破坏信息时,就该在原有的通信模型基础上提供安全服务。目前有两类安全服务模型,即网络传输安全模型和网络访问安全模型。
网络传输安全模型是在数据发送或接收前对其进行安全转换,保证通信双方数据的保密性,避免攻击者窃取报文后直接读取,有时需要可信任第三方负责分发保密信息。网络访问安全模型是利用验证或访问控制等方式控制非授权网络实体非法访问资源。除上述两种安全模型之外,还有一种网络安全模型,旨在提供集成的网络安全,但仅仅是个一般概念上的描述模型,并非成熟实用。
网络传输安全模型,IPSec在TCP/IP网络层协议基础上提供了具体的安全服务框架,主要为数据通信增加安全保护,是网络传输较安全的一个实施方案。
2 安全框架lPSec
国际标准组织(Iso)制订的Is07498—2提出一个典型的传统网络安全体系结构(NSA),该结构描述了一系列的安全服务以及实现这些安全服务的机制。大多数安全服务可存在于ISO协议模型的任何一层,但其中IP层具有简单透明的优势,而其他协议层实现起来既增大系统开销,又会降低系统效率。于是,1ETF工作组于1998年11月制定了全新的IPSec安全体系结构,发布一系列相关规范文档,推出多种IP层安全服务框架。
IPSec安全体系结构规范州详细描述提供的多种安全服务以及实现安全服务的多种安全机制。安全服务主要包括数据保密、数据完整性验证、数据源验证、访问控制、抗重发攻击等。这些服务通过安全协议ESP(Encapsulating Security Payload)和AH(Authentication Header)实现,它们建立在密码技术之上,可提供多种加密算法和验证算法供用户选择。
无论是加密算法还是验证算法都要使用密钥,因此IPSec提供了密钥交换协议IKE(Internet Key Exchange)。IKE是基于ISAKMP密钥交换框架定义的密钥交换协议,它定义了两个协商阶段。阶段一是建立一个IKESA,可通过两种交换模式实现:一种是主模式交换,一种是自信模式交换。阶段二是建立一个IPSecSA,只能通过快速模式交换实现。其中安全关联SA(security Association)数据库是一个三元组集合,每个三元组称为SAID即<服务类型,目的地址,安全参数索引SPI>。服务类型可以是验证服务(AH)或者封装安全净荷服务(ESP),SPI是端系统用来标识通信流的一个整数值。IKE协议是一个复杂的协}义,它用于动态地管理密钥,其安全性对IPSec提供的安全性影响至关重要。
2.1 IPSec工作原理
无论IPSec以什么方式实现,其工作原理都类似。IPSec工作原理(见图2):当IP数据包进入或离开IPSec结构时,它会根据安全策略数据库(SPD)对该IP包进行相应的处理。当接口接收到一个IP分组(里面包含了IPSec头)后,从该IP包中提取安全参数索引SPI、目的地址、协议号——它们组成一个三元组SAID,并根据该SAID检索安全关联数据库SADB,以找到处理该分组的安全关联SA;对接收分组进行序列号检查、完整性验证和解密处理,最终恢复明文分组;从明文分组中提取源、目的地址,上层协议,端口号,构造出选择符,将SA指向的SPD条目所对应的选择符与接收报文构造出的选择符进行比较,如果一致,再比较该SPD条目的安全要求与接收分组的实际安全策略是否相符,若出现不一致的情况,则将分组丢弃,否则继续处理分组。
当一个IP分组被发送时,其源/目的地址、协议号、端口号等元素构成选择符,并作为关键字检索安全策略数据库SPD,由SPD检索输出相应的安全策略有三种:一是丢弃发送报文;二是不进行安全服务处理;三是应用网络层安全服务,返回策略条目相对应的SA条目指针。如果指针非空,则根据指向的SA对该IP包进行相应的安全处理;如果指针为空,即SPD中没有建立对应的安全关联SA,IPSec会通过策略引擎调用密钥协商模块IKE,按照策略要求协商SA,并将产生的SA填入SADB中,并应用于待处理的分组。
2.2 IPSec性能分析
我们利用工具CASTSJ(communication Analysis and Sim-ulation T001)对装有集成IPSec功能的NETBSD操作系统的两台工作站进行了测试,从端到端TCP包通信的数据吞吐量和单向数据传输时间延迟两个方面来考察IPSec性能。测试分三类:运行未使用IPSec的服务(classl),运行具有IPSec验证功能的服务(class2),运行具有IPSec加密功能的服务(class3)。从试验结果可以明显得出以下两个结论。第一,相同时间内两端的平均数据吞吐量:classl>class2>class3,三类比值大约为15:11:5;第二,单向数据传输平均时间延迟:class3>class2>classl,三类比值大约为7:2:1。
虽然IPSec提供端到端的安全通信,但是,整个网络层安全解决方案是在操作系统内核中集成IPSec,这样必然会影响网络性能。并且,如果使用了IPSec服务,实时通信也会比较难实现。为了减少计算量提高网络性能,一个可行的解决方法是针对不同的数据实施不同的安全保护措施,对于不重要的数据可以不进行安全保护。
从空间复杂度角度分别对AH协议和ESP协议的两种模式(传输模式和隧道模式)进行了比较分析。在传输模式下,IPSec AH协议报头固定字段长度为12Byms,验证数据域(可选)长度12Byms,总共24Bytes。而IPSec ESP协议报头固定字段长度为10Byms,验证数据域(可选)长度12Byms,总共22Byms。在隧道模式下,IPSec AH协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可 选)长度12Byms,总共44Byms。而IPSec ESP协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可选)长度12Bytes,总共42Bytes。
另外,从时间复杂度和吞吐量两个角度分别对IPSec中使用的加密算法3DES和验证算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl进行了试验比较。试验结果为,对于同—种指令处理能力,数据吞吐量由大到小的算法依次为:MD5,HMAC-MD5,SHAl,HMAC-SHAl,3DES,而HMAC-MD5的执行时间比MD5要长,HMAC-SHAl的执行时间比SHAl要长。
2.3 IPSec数据源验证服务及存在问题
IPSec在网络层提供了多种安全服务,为现有网络以及下一代网络提供了一定的安全保障。其中,源验证服务使得IP报文接收者能确信整个报文未被修改,报文确实是从其所声称的源IP地址主机发送出来的。基于共享密钥实现的验证服务,是由AH协议提供的服务,其作用范围为整个报文,它利用密码技术和验证技术来实现,通过有密钥控制的Hash算法产生的报文摘要提供了基于密钥的报文验证机制,实现了报文完整性验证和数据源验证两方面服务。
上述服务存在一个前提,即主机IP地址已经存在。因为无论报文发送还是接收,需要根据报文选择符检索安全策略数据库SPD,数据库的每个条目是根据真实的源地址和目的地址建立的。但是IPSec数据源验证服务不能保证报文源IP地址的真实可靠性,无法检测子网内IP地址假冒报文,不能抵制IP地址假冒攻击。另外密钥协商过程比较复杂,而且需要用户参与,其透明度不高。
综上所述,IPSec数据源验证存在如下不足。
(1)IPSec需要通过用户密钥协商之后再提供数据源验证服务,而不能提供基于网络实体特征信息的密钥协商过程,对用户而言透明性不好。
(2)利用IKE进行密钥协商前,通信实体之间需要经过身份验证。主要有三种验证方式:预置共享密钥认证、数字签名和公钥系统。第一种方式并不实用,而后两种方式需要可信任第三方参与。整个密钥协商过程比较繁琐,性能不高。
任何一个网络安全解决方案不可能解决所有的安全问题,从上述两个问题可以看出:首先,IPSec着重从用户和信息安全角度保障通信数据的安全,而忽视网络通信实体的安全,不能提供安全的IP地址供接入网络的实体使用。而且目前针对网络设备的攻击屡见不鲜,存在多种基于网络实体的攻击方法,包括基于DNS攻击、基于路由器攻击、基于普通主机攻击和基于各种服务器攻击。其次,由于数据源验证服务基于密钥和IP地址实现,尽管在IKE密钥协商之前通信实体进行互相验证,但所提供的几种身份验证机制并不简单实用。再次,IPSec主要应用于建设VPN网络,通过公网搭建企业内部网可大大降低成本,但是,由于其复杂性以及用户透明度低,目前IPsec应用于端系统尚不普及。
因此,在上述安全模型基础上应该考虑网络基础设施的安全性,在保证网络通信实体可信的前提下,再进一步提供可靠的安全服务。
3 面向基础设施的网络安全模型
为了从根本上解决安全隐患,在源头遏制多种攻击的发生,应该从主机接入开始进行安全的管理和监控,因此一种新型的网络安全模型面向网络基础设施的安全模型被提了出来。所示为在转发设备可信、网络终端设备不可信的假设前提下,面向基础设施(主机)的安全模型。
主机A接入子网1时受到主机接入控制,主要是监测和控制主机A的身份标识和IP地址配置情况。其次,主机A收发报文时受到报文收发控制,主要是监测和控制主机A发送或接收报文过程中出现的异常情况,比如地址假冒或频率超高等。主机A的报文在网络传输过程中受到报文传递控制,主要是监测和控制报文在路由结点之间转发传递的报文完整性和真实性。最后,主机A的报文发送和接收全程受到信息安全控制,主要是端到端通信过程中数据加密,解密以及密钥管理等处理。
该模型假定转发设备是可信的,也就是说转发设备是不在主机接入控制范围内。如果把转发设备看作终端设备,只是比普通主机功能更强大,那么可以把假设前提定为转发设备和网络终端设备均不可信。在这种情况下,这个模型也是适用的,只是任何接入网络的物理设备进入网络时都要受到接入控制。
对于IP假冒,虽然IPSec在其相应前提条件下可以为通信的数据提供良好的源验证服务,但在网络设备的接入和IP地址安全可靠使用等方面没有提供较完善的验证服务,其前提条件较多不太合理,因此并不能提供可靠的数据源验证以监测IP地址假冒行为。在面向基础设施网络模型指导下,实体接入网络时增加安全控制机制,在此基础上通过网络层身份验证机制提供可靠的数据源验证,可以有效检测控制假冒报文。
4 新的网络层身份验证机制
IPSec安全框架选择在网络层提供安全服务,其优点是不需要对其他协议层次作任何改动,可以为IP层以上协议提供透明的安全服务。网络发展趋势是Everything Over IP,在网络层提供安全服务是最好的选择,可以屏蔽各类通信子网,而且不会影响上层的服务。但网络层所提供的功能必须高效快速,不应严重影响网络性能,否则将得不偿失,安全也就失去了意义。借鉴IPSec在网络层设计安全服务的优点,选择网络层作为设计的基础是合理的。
IP地址作为一个终端实体的身份标识,每个报文中所携带的源IP地址是否合法真实,报文是否为真正的实体所发送,通常可利用数据源身份验证机制解决。
身份验证系统至少应该有两个实体,一个是验证实体,一个是被验证实体。此外,还应该明确验证对象是什么?针对IP假冒问题,这里验证的对象是传输中的报文,如果验证通过说明报文中所声称的实体就是真实的报文发送实体,如果未通过则说明报文是由假冒实体发送的。因此,最初状态安全实体网络开始形成时,应该建立对象之间的验证关系和验证信息,实体和IP地址形成关联,然后利用它们监控网络内实体的报文发送情况,及时发现IP假冒行为。
结合面向网络基础设施安全模型和上述分析,身份验证机制分为三个阶段:
(1)第一个阶段,建立身份验证子网络,即建立实体间的验证关系。
(2)第二个阶段,建立实体身份标识和安全的验证信息,即为所有加入验证子网络的实体建立身份标识并且分配安全的验证信息,以便检测和控制网内实体的通信报文。
(3)第三个阶段,通信过程中检测和控制网内传输的报文,即利用上一个阶段所建立的验证信息检查报文的真伪,确定其是否为真实的实体发出的。
上述三个阶段的身份验证机制可有效解决IPSec存在的一些不足之处。首先,不需要事先存在IP地址,因为在第二个阶段时可以为接入的网络实体配置安全的IP地址。其次,第二个阶段后,验证实体可利用报文发送实体特有的安全验证信息检测接收报文的真实性,提供可靠的数据源验证,有效检测控制IP假冒行为,无需用户过多参与,增加透明度。最后,验证实体和被验证实体间密钥协商过程比较简单,可提高性能。
5 结束语
面向报文信息的网络安全模型体现了端到端的安全思想,它只关注两端通信实体间数据的安全传输,而忽略了端实体自身的安全性。虽然IPSec主要提供了基于密钥的数据源验证服务,但并不能保证端实体的合法可信性,并且不能提供基于网络设备特征信息的密钥协商过程。
面向网络基础设施的安全模型体现了点到点的安全思想,它关注通信过程中的每个传输阶段,保证每个阶段数据发送实体都是合法可信。显然,一开始的传输阶段的安全性最重要,可以在数据发源子网络利用数据源验证服务检测报文产生实体的身份真实性,及时有效地发现地址假冒行为。
关键词:安全模型;身份验证;IP;IPSec
0 引言
传统网络安全体系结构的注重点是数据安全,而不是网络基础设施本身的安全。在网络攻击不断泛滥的形势下,有必要将安全保护的对象由通信的数据转向通信的物理设备,没有安全的网络基础设施支撑,安全的网络通信如同空中楼阁。
1 面向报文信息的网络安全模型
目前,讨论的大多数通信模型是一方通过互联网传送报文给另一方,双方协调共同完成信息交换。如需要保护信息传输防止攻击者窃取和破坏信息时,就该在原有的通信模型基础上提供安全服务。目前有两类安全服务模型,即网络传输安全模型和网络访问安全模型。
网络传输安全模型是在数据发送或接收前对其进行安全转换,保证通信双方数据的保密性,避免攻击者窃取报文后直接读取,有时需要可信任第三方负责分发保密信息。网络访问安全模型是利用验证或访问控制等方式控制非授权网络实体非法访问资源。除上述两种安全模型之外,还有一种网络安全模型,旨在提供集成的网络安全,但仅仅是个一般概念上的描述模型,并非成熟实用。
网络传输安全模型,IPSec在TCP/IP网络层协议基础上提供了具体的安全服务框架,主要为数据通信增加安全保护,是网络传输较安全的一个实施方案。
2 安全框架lPSec
国际标准组织(Iso)制订的Is07498—2提出一个典型的传统网络安全体系结构(NSA),该结构描述了一系列的安全服务以及实现这些安全服务的机制。大多数安全服务可存在于ISO协议模型的任何一层,但其中IP层具有简单透明的优势,而其他协议层实现起来既增大系统开销,又会降低系统效率。于是,1ETF工作组于1998年11月制定了全新的IPSec安全体系结构,发布一系列相关规范文档,推出多种IP层安全服务框架。
IPSec安全体系结构规范州详细描述提供的多种安全服务以及实现安全服务的多种安全机制。安全服务主要包括数据保密、数据完整性验证、数据源验证、访问控制、抗重发攻击等。这些服务通过安全协议ESP(Encapsulating Security Payload)和AH(Authentication Header)实现,它们建立在密码技术之上,可提供多种加密算法和验证算法供用户选择。
无论是加密算法还是验证算法都要使用密钥,因此IPSec提供了密钥交换协议IKE(Internet Key Exchange)。IKE是基于ISAKMP密钥交换框架定义的密钥交换协议,它定义了两个协商阶段。阶段一是建立一个IKESA,可通过两种交换模式实现:一种是主模式交换,一种是自信模式交换。阶段二是建立一个IPSecSA,只能通过快速模式交换实现。其中安全关联SA(security Association)数据库是一个三元组集合,每个三元组称为SAID即<服务类型,目的地址,安全参数索引SPI>。服务类型可以是验证服务(AH)或者封装安全净荷服务(ESP),SPI是端系统用来标识通信流的一个整数值。IKE协议是一个复杂的协}义,它用于动态地管理密钥,其安全性对IPSec提供的安全性影响至关重要。
2.1 IPSec工作原理
无论IPSec以什么方式实现,其工作原理都类似。IPSec工作原理(见图2):当IP数据包进入或离开IPSec结构时,它会根据安全策略数据库(SPD)对该IP包进行相应的处理。当接口接收到一个IP分组(里面包含了IPSec头)后,从该IP包中提取安全参数索引SPI、目的地址、协议号——它们组成一个三元组SAID,并根据该SAID检索安全关联数据库SADB,以找到处理该分组的安全关联SA;对接收分组进行序列号检查、完整性验证和解密处理,最终恢复明文分组;从明文分组中提取源、目的地址,上层协议,端口号,构造出选择符,将SA指向的SPD条目所对应的选择符与接收报文构造出的选择符进行比较,如果一致,再比较该SPD条目的安全要求与接收分组的实际安全策略是否相符,若出现不一致的情况,则将分组丢弃,否则继续处理分组。
当一个IP分组被发送时,其源/目的地址、协议号、端口号等元素构成选择符,并作为关键字检索安全策略数据库SPD,由SPD检索输出相应的安全策略有三种:一是丢弃发送报文;二是不进行安全服务处理;三是应用网络层安全服务,返回策略条目相对应的SA条目指针。如果指针非空,则根据指向的SA对该IP包进行相应的安全处理;如果指针为空,即SPD中没有建立对应的安全关联SA,IPSec会通过策略引擎调用密钥协商模块IKE,按照策略要求协商SA,并将产生的SA填入SADB中,并应用于待处理的分组。
2.2 IPSec性能分析
我们利用工具CASTSJ(communication Analysis and Sim-ulation T001)对装有集成IPSec功能的NETBSD操作系统的两台工作站进行了测试,从端到端TCP包通信的数据吞吐量和单向数据传输时间延迟两个方面来考察IPSec性能。测试分三类:运行未使用IPSec的服务(classl),运行具有IPSec验证功能的服务(class2),运行具有IPSec加密功能的服务(class3)。从试验结果可以明显得出以下两个结论。第一,相同时间内两端的平均数据吞吐量:classl>class2>class3,三类比值大约为15:11:5;第二,单向数据传输平均时间延迟:class3>class2>classl,三类比值大约为7:2:1。
虽然IPSec提供端到端的安全通信,但是,整个网络层安全解决方案是在操作系统内核中集成IPSec,这样必然会影响网络性能。并且,如果使用了IPSec服务,实时通信也会比较难实现。为了减少计算量提高网络性能,一个可行的解决方法是针对不同的数据实施不同的安全保护措施,对于不重要的数据可以不进行安全保护。
从空间复杂度角度分别对AH协议和ESP协议的两种模式(传输模式和隧道模式)进行了比较分析。在传输模式下,IPSec AH协议报头固定字段长度为12Byms,验证数据域(可选)长度12Byms,总共24Bytes。而IPSec ESP协议报头固定字段长度为10Byms,验证数据域(可选)长度12Byms,总共22Byms。在隧道模式下,IPSec AH协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可 选)长度12Byms,总共44Byms。而IPSec ESP协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可选)长度12Bytes,总共42Bytes。
另外,从时间复杂度和吞吐量两个角度分别对IPSec中使用的加密算法3DES和验证算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl进行了试验比较。试验结果为,对于同—种指令处理能力,数据吞吐量由大到小的算法依次为:MD5,HMAC-MD5,SHAl,HMAC-SHAl,3DES,而HMAC-MD5的执行时间比MD5要长,HMAC-SHAl的执行时间比SHAl要长。
2.3 IPSec数据源验证服务及存在问题
IPSec在网络层提供了多种安全服务,为现有网络以及下一代网络提供了一定的安全保障。其中,源验证服务使得IP报文接收者能确信整个报文未被修改,报文确实是从其所声称的源IP地址主机发送出来的。基于共享密钥实现的验证服务,是由AH协议提供的服务,其作用范围为整个报文,它利用密码技术和验证技术来实现,通过有密钥控制的Hash算法产生的报文摘要提供了基于密钥的报文验证机制,实现了报文完整性验证和数据源验证两方面服务。
上述服务存在一个前提,即主机IP地址已经存在。因为无论报文发送还是接收,需要根据报文选择符检索安全策略数据库SPD,数据库的每个条目是根据真实的源地址和目的地址建立的。但是IPSec数据源验证服务不能保证报文源IP地址的真实可靠性,无法检测子网内IP地址假冒报文,不能抵制IP地址假冒攻击。另外密钥协商过程比较复杂,而且需要用户参与,其透明度不高。
综上所述,IPSec数据源验证存在如下不足。
(1)IPSec需要通过用户密钥协商之后再提供数据源验证服务,而不能提供基于网络实体特征信息的密钥协商过程,对用户而言透明性不好。
(2)利用IKE进行密钥协商前,通信实体之间需要经过身份验证。主要有三种验证方式:预置共享密钥认证、数字签名和公钥系统。第一种方式并不实用,而后两种方式需要可信任第三方参与。整个密钥协商过程比较繁琐,性能不高。
任何一个网络安全解决方案不可能解决所有的安全问题,从上述两个问题可以看出:首先,IPSec着重从用户和信息安全角度保障通信数据的安全,而忽视网络通信实体的安全,不能提供安全的IP地址供接入网络的实体使用。而且目前针对网络设备的攻击屡见不鲜,存在多种基于网络实体的攻击方法,包括基于DNS攻击、基于路由器攻击、基于普通主机攻击和基于各种服务器攻击。其次,由于数据源验证服务基于密钥和IP地址实现,尽管在IKE密钥协商之前通信实体进行互相验证,但所提供的几种身份验证机制并不简单实用。再次,IPSec主要应用于建设VPN网络,通过公网搭建企业内部网可大大降低成本,但是,由于其复杂性以及用户透明度低,目前IPsec应用于端系统尚不普及。
因此,在上述安全模型基础上应该考虑网络基础设施的安全性,在保证网络通信实体可信的前提下,再进一步提供可靠的安全服务。
3 面向基础设施的网络安全模型
为了从根本上解决安全隐患,在源头遏制多种攻击的发生,应该从主机接入开始进行安全的管理和监控,因此一种新型的网络安全模型面向网络基础设施的安全模型被提了出来。所示为在转发设备可信、网络终端设备不可信的假设前提下,面向基础设施(主机)的安全模型。
主机A接入子网1时受到主机接入控制,主要是监测和控制主机A的身份标识和IP地址配置情况。其次,主机A收发报文时受到报文收发控制,主要是监测和控制主机A发送或接收报文过程中出现的异常情况,比如地址假冒或频率超高等。主机A的报文在网络传输过程中受到报文传递控制,主要是监测和控制报文在路由结点之间转发传递的报文完整性和真实性。最后,主机A的报文发送和接收全程受到信息安全控制,主要是端到端通信过程中数据加密,解密以及密钥管理等处理。
该模型假定转发设备是可信的,也就是说转发设备是不在主机接入控制范围内。如果把转发设备看作终端设备,只是比普通主机功能更强大,那么可以把假设前提定为转发设备和网络终端设备均不可信。在这种情况下,这个模型也是适用的,只是任何接入网络的物理设备进入网络时都要受到接入控制。
对于IP假冒,虽然IPSec在其相应前提条件下可以为通信的数据提供良好的源验证服务,但在网络设备的接入和IP地址安全可靠使用等方面没有提供较完善的验证服务,其前提条件较多不太合理,因此并不能提供可靠的数据源验证以监测IP地址假冒行为。在面向基础设施网络模型指导下,实体接入网络时增加安全控制机制,在此基础上通过网络层身份验证机制提供可靠的数据源验证,可以有效检测控制假冒报文。
4 新的网络层身份验证机制
IPSec安全框架选择在网络层提供安全服务,其优点是不需要对其他协议层次作任何改动,可以为IP层以上协议提供透明的安全服务。网络发展趋势是Everything Over IP,在网络层提供安全服务是最好的选择,可以屏蔽各类通信子网,而且不会影响上层的服务。但网络层所提供的功能必须高效快速,不应严重影响网络性能,否则将得不偿失,安全也就失去了意义。借鉴IPSec在网络层设计安全服务的优点,选择网络层作为设计的基础是合理的。
IP地址作为一个终端实体的身份标识,每个报文中所携带的源IP地址是否合法真实,报文是否为真正的实体所发送,通常可利用数据源身份验证机制解决。
身份验证系统至少应该有两个实体,一个是验证实体,一个是被验证实体。此外,还应该明确验证对象是什么?针对IP假冒问题,这里验证的对象是传输中的报文,如果验证通过说明报文中所声称的实体就是真实的报文发送实体,如果未通过则说明报文是由假冒实体发送的。因此,最初状态安全实体网络开始形成时,应该建立对象之间的验证关系和验证信息,实体和IP地址形成关联,然后利用它们监控网络内实体的报文发送情况,及时发现IP假冒行为。
结合面向网络基础设施安全模型和上述分析,身份验证机制分为三个阶段:
(1)第一个阶段,建立身份验证子网络,即建立实体间的验证关系。
(2)第二个阶段,建立实体身份标识和安全的验证信息,即为所有加入验证子网络的实体建立身份标识并且分配安全的验证信息,以便检测和控制网内实体的通信报文。
(3)第三个阶段,通信过程中检测和控制网内传输的报文,即利用上一个阶段所建立的验证信息检查报文的真伪,确定其是否为真实的实体发出的。
上述三个阶段的身份验证机制可有效解决IPSec存在的一些不足之处。首先,不需要事先存在IP地址,因为在第二个阶段时可以为接入的网络实体配置安全的IP地址。其次,第二个阶段后,验证实体可利用报文发送实体特有的安全验证信息检测接收报文的真实性,提供可靠的数据源验证,有效检测控制IP假冒行为,无需用户过多参与,增加透明度。最后,验证实体和被验证实体间密钥协商过程比较简单,可提高性能。
5 结束语
面向报文信息的网络安全模型体现了端到端的安全思想,它只关注两端通信实体间数据的安全传输,而忽略了端实体自身的安全性。虽然IPSec主要提供了基于密钥的数据源验证服务,但并不能保证端实体的合法可信性,并且不能提供基于网络设备特征信息的密钥协商过程。
面向网络基础设施的安全模型体现了点到点的安全思想,它关注通信过程中的每个传输阶段,保证每个阶段数据发送实体都是合法可信。显然,一开始的传输阶段的安全性最重要,可以在数据发源子网络利用数据源验证服务检测报文产生实体的身份真实性,及时有效地发现地址假冒行为。