摘 要：為了消除網(wǎng)絡(luò)在信息安全上存在的隱患，簡述了城市基礎(chǔ)地理信息的安全體系結(jié)構(gòu)，分析若干易被忽視的協(xié)議漏洞，說明黑客由此入侵的特殊途徑；通過具體給出IPv6環(huán)境下的IPSec協(xié)議的實現(xiàn)方法，如為終端服務(wù)通信創(chuàng)建IPSec篩選器列表、使用IPSec策略阻止特定網(wǎng)絡(luò)端口的入侵及設(shè)置IPSec VPN等；提供有關(guān)城市基礎(chǔ)信息系統(tǒng)信息安全的一種新的基于IPSec協(xié)議的升級解決方案，實踐應(yīng)用表明該方案是可行且有效的。

關(guān)鍵詞：城市基礎(chǔ)地理信息；安全安全；網(wǎng)絡(luò)入侵；IPSec協(xié)議

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：B

文章編號：1004-373X(2008)22-121-04

Security Solution for City Foundation Geography Information System Based on IPSec

CAO Jin1，GAO Gongbu2，SONG Qi1，ZHANG Fengju1

(1.Information Technology Institute，Yangzhou University，Yangzhou，225009，China;2.Management Institute，Yangzhou University，Yangzhou，225009，China)

Abstract：In order to eliminate the network information security hidden danger in modern net，the security architecture of city foundation geography information system is introduced，some slighting security hole of protocol are analyzed，several hackerintrusion approaches by way of such holes are described，and the realization approaches of IPSec protocol in IPv6，such as creating the list of IPSec filter for the terminal services communication，using the IPSec policy to prevent the specific network ports from the intrusion，setting up IPSec VPN etc，are provided in more details，then it presents a new kind of method to prevent intrusion of city foundation geography information system based on IPSec in this paper，the practice application indicates that this plan is feasible and effective.

Keywords：city foundation geography information;information security;network intrusion;IPSec protocol

城市基礎(chǔ)地理信息平臺是城市空間信息應(yīng)用的核心，故許多城市將它作為信息化建設(shè)的首要任務(wù)來實施，本項工作包括如下內(nèi)容：

（1） 平臺功能設(shè)計。

城市基礎(chǔ)地理信息平臺的功能主要有信息檢索、空間分析、專題制圖、用戶管理、數(shù)據(jù)安全、在線幫助等。

（2） 基礎(chǔ)空間數(shù)據(jù)庫建設(shè)。

基礎(chǔ)空間數(shù)據(jù)庫是基礎(chǔ)地理信息平臺的核心，建立了數(shù)字正射影像數(shù)據(jù)庫、數(shù)字高程模型數(shù)據(jù)庫、基本要素矢量數(shù)據(jù)庫、數(shù)字柵格地圖數(shù)據(jù)庫等。其包含大量珍貴的由航空攝影或其他遙感數(shù)據(jù)經(jīng)糾正和消除地形影響后形成的數(shù)字圖像及信息量極其豐富的多比例尺的數(shù)字高程模型數(shù)據(jù)庫及其生成的等高線、點高程、三維透視圖等，可進(jìn)行坡度、坡向計算分析、剖面計算等，在許多領(lǐng)域有著廣泛的應(yīng)用，如工程建設(shè)上的土方量計算、通視分析；農(nóng)林業(yè)方面，可滿足退耕還林還草區(qū)域規(guī)劃的輔助決策支持；在防洪減災(zāi)方面，是進(jìn)行匯水區(qū)分析、水系網(wǎng)絡(luò)分析、蓄洪計算、淹沒分析的基礎(chǔ)；無線通信中可用于蜂窩電話的基站分析等。

故該系統(tǒng)已經(jīng)超越了普通的電子政務(wù)、商務(wù)系統(tǒng)的概念，是一個關(guān)系到經(jīng)濟、政治、甚至軍事的復(fù)雜系統(tǒng)，在安全性、保密性方面有著更高的要求。本文結(jié)合政府城市基礎(chǔ)信息系統(tǒng)的需求，針對舊系統(tǒng)的安全缺陷，提出一種基于IPSEC協(xié)議的安全升級解決方案，并應(yīng)用于實踐。

1 城市基礎(chǔ)信息系統(tǒng)的實現(xiàn)

1.1 體系結(jié)構(gòu)

城市基礎(chǔ)地理信息系統(tǒng)體系結(jié)構(gòu)由如下子系統(tǒng)組成：城市基礎(chǔ)地理信息服務(wù)器、FTP文件服務(wù)器、文件服務(wù)器、信息安全中心、防火墻、內(nèi)部用戶子網(wǎng)及其他系統(tǒng)組成。如圖1所示。

1.2 舊系統(tǒng)的安全防范與安全漏洞

NetBEU，IPX/SPX等協(xié)議均作用于網(wǎng)絡(luò)，但受網(wǎng)絡(luò)用戶規(guī)模、地理范圍、安全路由等限制，現(xiàn)已較少應(yīng)用，比較普及的現(xiàn)代計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)多脫胎于OSI/RM，因特網(wǎng)即以TCP/IP為共同協(xié)議，可實現(xiàn)Telnet，F(xiàn)TP，MSDN等功能，能跨網(wǎng)段跨系統(tǒng)使用，開放和共享性是其優(yōu)點，但同時也帶來了棘手的信息安全問題。為了應(yīng)對緩沖區(qū)溢出、拒絕服務(wù)、報文欺騙等傳統(tǒng)的網(wǎng)絡(luò)入侵，該系統(tǒng)采取了多種安全措施，如加強認(rèn)證信息管理、關(guān)閉不必要的系統(tǒng)端口、安裝防火墻等，但網(wǎng)絡(luò)環(huán)境太復(fù)雜。最近的研究表明專門設(shè)計的安全協(xié)議及其驗證都無法盡善盡美，高明的黑客甚至有能力對協(xié)議本身的缺陷加以利用而發(fā)動入侵^［1］。

1.3 網(wǎng)絡(luò)安全協(xié)議的漏洞

如約定：X，Y為參與通信的合法主體；Kij是主體 i、j的共享會話密鑰，E（K：m）表示用密鑰K對消息m加密，Ki是主體i的公鑰，Ki-1是I的私鑰，M是協(xié)議消息通訊識別符，Ni為I生成的序列號，Certi為I的公鑰證書，S是服務(wù)器，H為黑客，T為時間戳。在Otway-Rees協(xié)議下：

X→Y：M，X，Y，E（Kxs:Nx，M，X，Y）

Y→S：M，X，Y，E（Kxs:Nx，M，X，Y），E（Kxy:Ny，M，X，Y）

S→Y：M，E（Kxs:Nx，Kxy），E（Kbs:Nb，Kxy）

Y→X：M，E（Kxs:Nx，Kxy）

在協(xié)議消息中，主體X將明文M和由S讀取的密文發(fā)給主體Y；Y將有關(guān)部分轉(zhuǎn)發(fā)給S；S解密消息并檢查消息中的相同部分M，校驗X，Y是否一致；如一致，則S生成一個密鑰Kxy并將消息發(fā)給Y，Y將部分消息轉(zhuǎn)發(fā)給X；若S生成的消息包含正確的Nx，Ny，則Kxy僅為主體X，Y共享。但：

X→H(Y)：M，X，Y，E（Kxs:Nx，M，X，Y）

H(Y)→X：M，E（Kxs:Nx，M，X，Y）

這類攻擊使主體X誤將M，X，Y視為新密鑰^［2］。

有缺陷的安全協(xié)議還有Carlsen SKI協(xié)議、Denning Sacco協(xié)議、Needham Schroeder私鑰協(xié)議及Yahalom協(xié)議等^［3］。

2 升級到IPv6及IPSec技術(shù)對網(wǎng)絡(luò)安全構(gòu)建防護(hù)

2.1 IPv6的優(yōu)點

國際互聯(lián)網(wǎng)工程任務(wù)組IETF（Internet Engineer Task Force）對RFC2460進(jìn)行了大的改進(jìn)后，IPv6迅速得到進(jìn)一步的推廣與應(yīng)用。該協(xié)議內(nèi)置標(biāo)準(zhǔn)化網(wǎng)絡(luò)層強制性安全機制、認(rèn)證報頭AH服務(wù)、封裝安全載荷ESP功能，保證了數(shù)據(jù)的私密性、完整性和一致性，還有支持即插即用、路由效率高、服務(wù)質(zhì)量好、近乎無限的地址空間、支持移動等優(yōu)勢^［4］。自從清華大學(xué)IPv6實驗網(wǎng)開通以來，我國下一代互聯(lián)網(wǎng)示范工程CNGI示范網(wǎng)絡(luò)核心網(wǎng)CNGI CERNET2/6IX項目獲得一系列重大創(chuàng)新成果，在信息安全領(lǐng)域取得了重大進(jìn)展。本市的基礎(chǔ)地理信息系統(tǒng)也已向IPv6升級。

2.2 IPSec協(xié)議

IPSec是IPv6下的核心安全協(xié)議，是IETF制定的安全協(xié)議標(biāo)準(zhǔn)，是位于網(wǎng)絡(luò)層中端到端安全通訊的第三層協(xié)議；它定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，將有效的安全特征集成到IP層，并支持DES，IDEA等一系列加密算法，對網(wǎng)絡(luò)的安全提供多方面的支持。如圖2所示。

IPSec通過保密信道還可在非信任公共網(wǎng)絡(luò)上建立安全的私有連接，構(gòu)建安全虛擬專用網(wǎng)VPN。且IPSec既適用于IPv6，又適用于IPv4，故在v4向v6過渡期，更應(yīng)充分發(fā)揮IPSec的作用^［5］。

2.3 IPSec在應(yīng)用中的三個功能模塊

2.3.1 安全聯(lián)盟SA

SA是兩個通信實體間建立的單向協(xié)定，是ESP和AH的基礎(chǔ)，它決定轉(zhuǎn)碼方式、密鑰及密鑰有效期，能為在它之上所攜帶的業(yè)務(wù)流提供安全保護(hù)。SA通常需要定義AH使用的認(rèn)證算法、算法模式和密鑰、ESP變換模式、SA的生存期、源地址等。

2.3.2 封裝安全載荷ESP

ESP是插入IP數(shù)據(jù)包內(nèi)的一個協(xié)議頭，為IP提供機密性、數(shù)據(jù)源驗證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，有傳輸和隧道2種模式，差別在于保護(hù)的內(nèi)容不同^［6］。

其安全原則是：輸出的數(shù)據(jù)包要先加密，而輸入的包要先驗證。具體來說，處理輸出包需：在傳輸模式下，只封裝上層協(xié)議數(shù)據(jù)；在隧道模式下，封裝整個IP數(shù)據(jù)項。處理輸入包則需要：檢查序列號以抗重放攻擊；驗證認(rèn)證數(shù)據(jù)的有效性；解密包；檢驗包的有效性。

2.3.3 認(rèn)證頭AH

AH是為IP數(shù)據(jù)項提供強認(rèn)證的一種安全機制，它能為IP數(shù)據(jù)項提供無連接完整性、數(shù)據(jù)起源認(rèn)證和抗重放攻擊。IPSec隧道模式IPv6數(shù)據(jù)包比IPv4數(shù)據(jù)包有明顯的安全優(yōu)勢，既有效地防范了大量普通入侵，又能在針對安全協(xié)議的入侵方面發(fā)揮重要的作用^［7］。

2.4 IPSec在城市基礎(chǔ)地理信息系統(tǒng)應(yīng)用中的具體實現(xiàn)

2.4.1 構(gòu)建的立體綜合安全空間

根據(jù)RFC2401的定義，網(wǎng)絡(luò)的安全體系是對TCP/IP四層結(jié)構(gòu)的擴展，為保證異構(gòu)計算機進(jìn)程間安全地遠(yuǎn)程交換信息，局域網(wǎng)安全模型應(yīng)規(guī)定鑒別、訪問控制、數(shù)據(jù)機密性和數(shù)據(jù)完整性等安全服務(wù)，還需給出加密、數(shù)字簽名、訪問控制、鑒別交換、路由選擇控制等8類安全機制，并根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜赥CP/IP模型的層次協(xié)議中，構(gòu)成符合ISO7498-2規(guī)范的立體信息安全空間。如圖3所示。

在上述安全模型的實現(xiàn)過程中，核心任務(wù)是實現(xiàn)局域網(wǎng)中心服務(wù)器的安全，具體要解決如何創(chuàng)建與實現(xiàn)IPSec策略、創(chuàng)建和啟用終端通信IPSec篩選、使用IPSec 策略以開關(guān)特定網(wǎng)絡(luò)端口等問題^［8］。

2.4.2 IPSec的具體實現(xiàn)

(1) 創(chuàng)建IPSec策略。

若服務(wù)器網(wǎng)關(guān)非域成員，則需創(chuàng)建本地IPSec策略；若是域成員，該域會自動將IPSec策略應(yīng)用到域內(nèi)的所有成員。Server網(wǎng)關(guān)無需本地IPSec策略，可在Active Directory中創(chuàng)建一個組織單位，使Windows Server網(wǎng)關(guān)成為該組織單位的成員，并將IPSec策略指派到該組織單位的組策略對象。

先運行secpol.msc啟動IP安全策略管理，而后在本地計算機上的IP安全策略中創(chuàng)建IP安全策略。

注：IPSec策略是使用IKE主模式的默認(rèn)設(shè)置創(chuàng)建的，IPSec 隧道由2個規(guī)則組成，每個規(guī)則指定一個隧道終結(jié)點。每個規(guī)則中的篩選器必須發(fā)送到此規(guī)則的隧道終結(jié)點的IP數(shù)據(jù)包中的源和目標(biāo)IP地址。

(2) 為終端通信創(chuàng)建IPSec篩選器列表。

首先應(yīng)考慮服務(wù)器的本地安全策略，在IP安全策略管理中關(guān)于IP篩選器表和篩選器操作時應(yīng)謹(jǐn)慎添加終端服務(wù)，并最終需確認(rèn)目標(biāo)地址篩選器被應(yīng)用到出站數(shù)據(jù)包。

IPSec策略既可在本地應(yīng)用，也可作為域的組策略應(yīng)用于該域的成員。本地IPSec策略可以是靜態(tài)的或動態(tài)的，靜態(tài)IPSec策略被寫入本地注冊表并在操作系統(tǒng)重新啟動后一直有效，動態(tài)IPSec策略未被永久性地寫入注冊表，且在 “IPSec Policy Agent”服務(wù)重新啟動后被刪除。

(3) 使用IPSec策略關(guān)閉特定網(wǎng)絡(luò)端口。

服務(wù)器必須先安裝Netdiag.exe/test:ipsec以驗證是否指定了IPSec策略；進(jìn)程IPSeccmd.exe/f ［*=0:PortNumber:Protocol］運行時添加一個動態(tài)BLOCK篩選以阻止從任意IP地址發(fā)往系統(tǒng)的IP地址和目標(biāo)端口的所有數(shù)據(jù)包。

注：IPSeccmd.exe可在Windows Server 2003和XP系統(tǒng)中運行，但僅WindowsXP SP2支持包中提供此工具；IPSec策略管理MMC單元提供用于管理IPSec策略配置的用戶界面，若已應(yīng)用基于域的IPSec策略，則僅在由具有域管理員憑據(jù)的用戶執(zhí)行時才會顯示篩選詳細(xì)信息。Linux環(huán)境下類似^［9］。

(4) 設(shè)置IPSec VPN。

IPSec VPN是指采用IPSec協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，但近來有一種觀點認(rèn)為它將被SSL VPN取代，其主要理由是：

① IPSec VPN設(shè)置復(fù)雜，維護(hù)成本高；

② 網(wǎng)絡(luò)適應(yīng)性不佳；

③ 對于防火墻等訪問控制設(shè)備不透明，對網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和應(yīng)用代理(Proxy)等穿透性差。

但SSL VPN與IPSec VPN不是互相取代而是互相補充的關(guān)系，因為：

SSL VPN 對于非Web頁面的文件訪問，往往需要借助于應(yīng)用轉(zhuǎn)換，其功能是不完全的；

IPSec VPN可在網(wǎng)站及服務(wù)器之間通過專線或互聯(lián)網(wǎng)構(gòu)建安全連接，保護(hù)的是點對點之間的通信，且它不局限于Web應(yīng)用；

目前最新的IPSec版本 (RFC2402，RFC2406) 已增加自動金鑰交換，更新了封包轉(zhuǎn)換的格式，IPSec架構(gòu)愈趨完整^［10］。

3 結(jié) 語

盡管IPv6仍沿襲TCP/IP體系，還算不上革命性的新技術(shù)，但它在技術(shù)上確有優(yōu)勢，尤其是IPSec能提供訪問控制、無連接完整性、數(shù)據(jù)源認(rèn)證、機密性和抗重放攻擊等安全功能，應(yīng)得到充分利用。本文簡述城市基礎(chǔ)信息系統(tǒng)的安全體系結(jié)構(gòu)，剖析一類安全協(xié)議的漏洞，說明可能導(dǎo)致危害信息安全的特殊途徑，并就此在如何為終端服務(wù)通信創(chuàng)建IPSec篩選器列表、關(guān)閉特定網(wǎng)絡(luò)協(xié)議端口等給出了具體實現(xiàn)IPSec的方法。再結(jié)合傳統(tǒng)的災(zāi)難恢復(fù)系統(tǒng)、入侵檢測系統(tǒng)、水印日志系統(tǒng)、安全通信系統(tǒng)和存儲加密系統(tǒng)等子系統(tǒng)的協(xié)調(diào)工作，該系統(tǒng)的信息安全有了進(jìn)一步的提高。

參考文獻(xiàn)

［1］Martin Abadi.Explicit Communication Revisited Two New Attacks on Authentication Protocols［J］.IEEE Transactions on Software Engineering，1997，23(3) ：185-186.

［2］解建軍，李俊紅．密鑰分發(fā)協(xié)議及其形式化分析［J］．河北師范大學(xué)學(xué)報，2003(6):570-573．

［3］范紅，馮登國．安全協(xié)議理論與方法［M］．北京：科學(xué)出版社，2003．

［4］Kent S，Atkinson R.IP Encapsulating Security Pay-load ［EB/OL］.http:// www.ietf.org/html.charters/ipsec-charter.html:November1998.

［5］Kent S，Atkinson R.Security Architecture for the Internet Protocol［S］.RFC2401，1998.

［6］Kent S，Atkinson R.IP Encapsulating Security Payload(ESP)［S］.RFC2406，1998.

［7］Kent S，Atkinson R.IP Authentication Header(AH)［S］.RFC2402，1998.

［8］劉淵，范曉嵐，王開云，等．IPSec的安全屬性及其技術(shù)途徑分析［J］．計算機工程與設(shè)計，2005(10)：2 627-2 629．

［9］嚴(yán)新，常黎．IPSec研究及實現(xiàn)計算機工程與設(shè)計［J］ ．2005（9）：2 458-2 460．

［10］Hazem Hamed，Will Marrero.Modeling and Verification of IPSec and VPN Security Policies .ICNP，2005(13):259-278.

作者簡介 曹 進(jìn) 男，1968年出生，揚州大學(xué)信息工程學(xué)院講師，碩士。從事信息技術(shù)教學(xué)與研究工作。