一种简易的网络安全传输方案的设计与实现.docVIP

一种简易的网络安全传输方案的设计与实现 张立朝，张永福，苏锦海 摘 要：通过对IPSec协议体系结构的研究，设计并实现了一个基于NDIS中间层驱动程序的网络安全传输方案。方案中中间层驱动拦截过往的数据包，调用加密卡进行加解密；应用层程序通过在中间层创建的WDM设备驱动程序与内核进行通信，实现策略配置、数据审计以及日志管理等功能。 关键词：IPSec；安全策略；NDIS；保密通讯 Design and Realization of a Simple Network Secure Communication Scheme ZHANG Li-chao, ZHANG Yong-fu, SU Jin-hai (Institute of Electronic Technology, the PLA Information Engineering University, Zhengzhou 450004, China) Abstract: After we studied the IPSec system framework, one secure communication on network scheme based on NDIS intermediate drivers is designed and realized. In this scheme the intermediate drivers hold up the packet which is sent from the upper level or received from the under level, encrypt and decrypt the packet by encryption card; programs in application layer communicating with kernel by the WDM device driver which is created in NDIS intermediate drivers can configure policy, audit data and manage log file. Keyword: IPSec; secure policy; NDIS; secure communication 引言 随着计算机和网络技术深入到社会各个领域，安全网络的构建成为亟待解决的一个重大课题。由于TCP／IP协议IP包本身并不具有任何安全特性，很容易伪造出IP包的地址、修改IP包内容、重播以前的IP包以及在传输途中拦截并查看IP包的内容，因而不能保证数据包来源的可靠性、数据的完整性、以及数据的保密性。Internet在给人们带来极大便利的同时，也越来越多地受到安全性问题的困扰，严重地暴露出了安全性隐患，影响了Internet的进一步发展。为此IETF(The Internet Engineering Task Force)IAB(Internet Architecture Board)于1995年提出了IPSec体系结构(RFC2401—2409)。IPSec提供了一种标准的、健壮的以及包容广泛的机制，采用IPSec技术可以在不影响原有程序的情况下对数据包进行加密，为通信提供安全保证。但是，目前Window系统下自带的IPSec缺少源代码，安全强度有限制，对数据包的处理采用的都是软算法。针对这些缺陷，本文设计并实现了一种遵循IPSec标准的利用专用高速数据加密卡对网络传输数据包进行加解密处理的安全通讯方案，经测试速度能满足实际应用的需求。 IPSec协议体系结构 新一代互联网安全标准IPSec可以有效地保护IP数据包的安全，IPSec提供的保护形式主要有：数据源地址认证、数据完整性认证、数据内容机密性、抗重播保护、有限通信保密性以及访问控制等。 IPSec的结构文档(RFC2401)定义了IPSec的基本结构。数据包的安全性是由IPSec协议中的封装安全载荷(ESP)和验证头(AH)来保证的，ESP用来实现数据的机密性和完整性，AH用来实现数据的完整性。同时IPSec定义了两种不同的数据传输模式：传输模式和隧道模式，传输模式用来保护上层协议；而隧道模式用来保护整个IP数据包。 系统整体结构设计 系统由数据处理模块、密钥交换模块、以及策略配置制程序组成，其整体框架结构如图l所示。 图l 系统整体框架结构 (1)数据处理模块，由具有IPSec功能的中间层驱动程序实现，主要功能包括：①实现加密卡功能调用，对流出、流人数据包根据策略利用加密卡中已有的分组和杂凑算法进行封装或者解封装操作，从而完成数据的加解密和鉴别；②策略搜索引擎，提供对安全策略数据库（SPD）和安全关联数据库（SAD）维护的接口，