摘 要：針對(duì)內(nèi)網(wǎng)嗅探、網(wǎng)絡(luò)途徑主動(dòng)泄密等威脅，為提高內(nèi)網(wǎng)通信過(guò)程中數(shù)據(jù)的保密性，設(shè)計(jì)并實(shí)現(xiàn)了一種安全通信組件。組件在Windows系統(tǒng)內(nèi)核層以網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)的形式實(shí)現(xiàn)，可嵌入NDIS體系。在終端通信過(guò)程中，該組件自動(dòng)協(xié)商會(huì)話密鑰，對(duì)數(shù)據(jù)鏈路層數(shù)據(jù)包執(zhí)行加解密操作，實(shí)現(xiàn)過(guò)程對(duì)終端用戶透明。試驗(yàn)結(jié)果顯示，該組件能夠?qū)崿F(xiàn)終端保密通信，抵御內(nèi)網(wǎng)嗅探和防止主動(dòng)泄密，提高Windows系統(tǒng)的通信安全性，達(dá)到預(yù)期目的。

關(guān)鍵詞：內(nèi)網(wǎng)安全；數(shù)據(jù)鏈路層；密鑰管理；Windows內(nèi)核驅(qū)動(dòng)；NDIS

中圖分類號(hào)：TN918 文獻(xiàn)標(biāo)識(shí)碼：B 文章編號(hào)：1004373X(2008)1707604

Design and Implementation of Secure Communication Component

on Data Link Layer in Intranet

DUAN Xiaoliang，ZHANG Quan，TANG Chaojing

(Electronic Science and Engineering College，National University of Defense Technology，Changsha，410073，China)

[JP2〗Abstract：To avoid such threats as sniff attack or divulging secrets on purpose through network，and improve the data security in the process of communication in Intranet，the paper designs and implements a kind of component.The component is designed as the form of network filter driver in the kernel level of windows，which can be well embedded in NDIS architecture.In the process of communication between the terminals in Intranet，the components negotiate the session key automatically and use it to encrypt or decrypt the data link layer packets and the entire procedure is transparent to the user.The result of experiment show that the terminals which have loaded the component can communicate each other secretly and prevent the network sniff attack or the inside from divulging secrets on purpose through network，which improves the security of windows as expected.

Keywords：Intranet security;data link layer;key management;Windows kernel driver;NDIS

1 引 言

近幾年來(lái)，內(nèi)網(wǎng)的信息安全問(wèn)題成為各方熱點(diǎn)。在內(nèi)網(wǎng)的管理過(guò)程中，傳統(tǒng)開(kāi)放式的針對(duì)局域網(wǎng)已經(jīng)不能滿足日益增長(zhǎng)的安全需要。在這種情況下，為了保障內(nèi)網(wǎng)的信息安全，就需要更新內(nèi)網(wǎng)的信息安全內(nèi)涵及其管理手段。

當(dāng)前內(nèi)網(wǎng)系統(tǒng)面臨的安全威脅主要有內(nèi)網(wǎng)嗅探、內(nèi)部人員利用網(wǎng)絡(luò)途徑主動(dòng)泄密、拒絕服務(wù)(Dos)攻擊、發(fā)送廣播包攻擊、超越權(quán)限訪問(wèn)以及病毒木馬等。這些攻擊手段主要源于網(wǎng)絡(luò)內(nèi)部，惡意攻擊者首先控制內(nèi)網(wǎng)中的一臺(tái)主機(jī)，然后通過(guò)此主機(jī)向內(nèi)網(wǎng)中的其他主機(jī)進(jìn)行惡意攻擊，通過(guò)內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)包就有可能被偵聽(tīng)并被轉(zhuǎn)發(fā)到外部世界。雖然防火墻等防范手段在一定程度上提高了內(nèi)網(wǎng)的安全性，但防火墻不能抵御未知類型的攻擊，而且很可能被攻擊者繞過(guò)，所以有必要對(duì)在內(nèi)網(wǎng)中傳播的數(shù)據(jù)進(jìn)行監(jiān)控以及對(duì)敏感信息采取傳輸范圍和傳輸前密碼授權(quán)控制，防止敏感信息的外泄。

從網(wǎng)絡(luò)層次結(jié)構(gòu)上看，可以在各種層次對(duì)內(nèi)網(wǎng)的敏感信息提供安全保護(hù)，如IPSec安全協(xié)議是針對(duì)網(wǎng)際層數(shù)據(jù)包，而本文所設(shè)計(jì)的安全通信組件是在數(shù)據(jù)鏈路層對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行保護(hù)。

2 組件設(shè)計(jì)

2.1 組件設(shè)計(jì)目標(biāo)

組件的主要設(shè)計(jì)目標(biāo)是為數(shù)據(jù)鏈路層數(shù)據(jù)包提供安全保護(hù)，并且對(duì)用戶和上層應(yīng)用透明，主要防止內(nèi)網(wǎng)嗅探攻擊和內(nèi)部人員通過(guò)網(wǎng)絡(luò)途徑主動(dòng)泄密。

組件通過(guò)對(duì)終端間發(fā)送與接收的鏈路層數(shù)據(jù)包進(jìn)行動(dòng)態(tài)加解密，保證內(nèi)網(wǎng)中傳輸?shù)臄?shù)據(jù)為密文，并且自動(dòng)協(xié)商共享會(huì)話密鑰和對(duì)數(shù)據(jù)包進(jìn)行加解密。組件在內(nèi)網(wǎng)中的結(jié)構(gòu)如圖1所示。

組件核心由密鑰管理模塊、安全訪問(wèn)列表服務(wù)模塊組成。密鑰管理模塊分為證書(shū)信息庫(kù)和密鑰協(xié)商模塊，安全訪問(wèn)列表服務(wù)模塊由建立安全訪問(wèn)列表模塊、更新安全訪問(wèn)列表模塊和安全訪問(wèn)列表組成。組件發(fā)送端攔截此終端網(wǎng)際層向下傳遞的MAC層數(shù)據(jù)包，并且在組件處理后，向外進(jìn)行發(fā)送；組件接收端攔截此終端接收到的MAC層數(shù)據(jù)包，并且在組件處理后，向終端的網(wǎng)際層進(jìn)行傳遞。組件內(nèi)部結(jié)構(gòu)如圖2所示。

2.2 密鑰管理模塊

2.2.1 證書(shū)信息庫(kù)

證書(shū)信息庫(kù)包括內(nèi)網(wǎng)其他終端的證書(shū)信息，而證書(shū)信息由終端的MAC地址和其公鑰信息組成，記為Certi=(MACi，Pi)，其中 MACi表示終端i的MAC地址，Pi表示終端i的公鑰參數(shù)。

(1) 建立證書(shū)信息庫(kù)

當(dāng)新終端接入內(nèi)網(wǎng)時(shí)，此終端向內(nèi)網(wǎng)廣播發(fā)送請(qǐng)求建立安全訪問(wèn)列表類型的數(shù)據(jù)包，收到此請(qǐng)求數(shù)據(jù)包的終端組件發(fā)送端則向新終端發(fā)送包括本機(jī)證書(shū)(MAC地址和公鑰參數(shù))的數(shù)據(jù)包，新終端根據(jù)收到的數(shù)據(jù)包在本地建立安全訪問(wèn)列表，過(guò)程如圖3所示。其他終端則對(duì)本地的安全訪問(wèn)列表進(jìn)行更新。

(2) 更新證書(shū)信息庫(kù)

當(dāng)終端需要進(jìn)行密鑰對(duì)更新時(shí)，內(nèi)網(wǎng)中其他終端就會(huì)更新其證書(shū)信息庫(kù)。需要更換密鑰對(duì)的終端首先計(jì)算出新的公共密鑰和秘密密鑰對(duì)，將公共密鑰與本機(jī)的MAC地址一起構(gòu)成新的證書(shū)，接著通過(guò)組件發(fā)送端向內(nèi)網(wǎng)廣播發(fā)送包括本機(jī)新證書(shū)的請(qǐng)求更新密鑰的數(shù)據(jù)包，收到更新密鑰請(qǐng)求的終端從數(shù)據(jù)包的特定字段取出終端的新公鑰證書(shū)，并更新本地的證書(shū)信息庫(kù)，然后通過(guò)組件發(fā)送端向提出更新證書(shū)請(qǐng)求的終端發(fā)送更新確認(rèn)包，請(qǐng)求更新密鑰對(duì)的過(guò)程如圖4所示。

2.2.2 會(huì)話密鑰協(xié)商

當(dāng)終端A需要與終端B進(jìn)行通信，終端A會(huì)向終端B發(fā)起會(huì)話密鑰協(xié)商。會(huì)話密鑰的協(xié)商過(guò)程會(huì)經(jīng)歷以下幾個(gè)步驟，其中設(shè)置密鑰生成算法ID對(duì)應(yīng)的對(duì)稱加密算法為ε。

(1)在終端A中的隨機(jī)計(jì)算出某個(gè)大整數(shù)x，并發(fā)送包括以下數(shù)據(jù)信息的數(shù)據(jù)包給終端B

x，Cert_A，MAC_A和密鑰生成算法ID

(2) 終端B隨機(jī)選取某個(gè)大整數(shù)y，并發(fā)送包括以下數(shù)據(jù)信息的數(shù)據(jù)包給終端A

y，Cert_B，ε_K(sig_B(MAC_B，MAC_A，y))

(3) 終端A發(fā)送包括以下數(shù)據(jù)信息的數(shù)據(jù)包給終端B

Cert_A，ε_K(sig_A(x，y))

其中K=xy=yx，sig_i(*)表示用i的秘密密鑰對(duì)數(shù)據(jù)*進(jìn)行加密操作，ε_K(*)表示以K為參數(shù)，使用對(duì)稱加密算法ε對(duì)*進(jìn)行加密操作。

在以上步驟完全結(jié)束后，終端A，B雙方就可以通過(guò)共享密鑰K加密MAC層數(shù)據(jù)包來(lái)進(jìn)行安全通信。為方便以后的通信，終端A，B的組件分別將對(duì)方的公鑰和MAC地址信息保存到本機(jī)的證書(shū)信息庫(kù)，而將共享密鑰K保存到本機(jī)的安全訪問(wèn)列表中。

2.3 安全訪問(wèn)列表服務(wù)模塊

[JP2〗安全訪問(wèn)列表服務(wù)模塊主要工作包括建立和更新安全訪問(wèn)列表，且與會(huì)話密鑰協(xié)商密切相關(guān)。當(dāng)終端之間會(huì)話密鑰協(xié)商結(jié)束后，終端雙方會(huì)在各自本機(jī)建立安全訪問(wèn)列表用于保存此次密鑰協(xié)商的信息，包括協(xié)商的共享會(huì)話密鑰以及密鑰被使用的次數(shù)。當(dāng)密鑰使用次數(shù)超過(guò)預(yù)定值時(shí)，如果終端雙方需要繼續(xù)通信，則必須再次進(jìn)行會(huì)話密鑰的協(xié)商，即更新安全訪問(wèn)列表的信息。

3 組件實(shí)現(xiàn)

在Windows系統(tǒng)下，組件采用NDIS中間層過(guò)濾驅(qū)動(dòng)的形式實(shí)現(xiàn)。組件初始化時(shí)，通過(guò)NDIS函數(shù)NdisIMRegisterLayeredMiniport和NdisRegisterProtocol將組件注冊(cè)為NDIS中間層驅(qū)動(dòng)接口。注冊(cè)之后，組件就可以在數(shù)據(jù)鏈路層上攔截所有的數(shù)據(jù)包。

組件的實(shí)現(xiàn)主要分為接收端和發(fā)送端兩部分，接收端攔截其他終端向本機(jī)發(fā)送的MAC層數(shù)據(jù)包，然后根據(jù)收到的數(shù)據(jù)包類型，通過(guò)組件發(fā)送端向其他終端發(fā)送相關(guān)類型的數(shù)據(jù)包進(jìn)行回應(yīng)。另外，組件發(fā)送端還應(yīng)根據(jù)終端通信需要向外發(fā)送指定格式的數(shù)據(jù)包。

3.1 數(shù)據(jù)包類型定義

內(nèi)網(wǎng)在數(shù)據(jù)鏈路層以IEEE802.3協(xié)議為基礎(chǔ)，終端在數(shù)據(jù)鏈路層進(jìn)行通信的數(shù)據(jù)包幀頭是以明文的形式，如圖5所示，這符合內(nèi)部網(wǎng)絡(luò)共享傳輸信道的特性，但同時(shí)也帶來(lái)了安全隱患，如數(shù)據(jù)幀的源或目標(biāo)地址被篡改或者敏感信息被截獲、修改和轉(zhuǎn)發(fā)。

通過(guò)設(shè)置MAC層數(shù)據(jù)包的Type字段，組件定義了5種類型的數(shù)據(jù)包，定義見(jiàn)表1。

其中類型為0x05的數(shù)據(jù)包屬于組件定義的安全類型，具體幀格式如圖6所示，陰影部分表示組件發(fā)送端或接收端使用對(duì)稱加密算法ε以密鑰K為參數(shù)對(duì)其原始SDU進(jìn)行加解密后的數(shù)據(jù)。當(dāng)終端之間協(xié)商好共享會(huì)話密鑰K后，發(fā)送數(shù)據(jù)包終端的組件發(fā)送端使用會(huì)[LL〗話密鑰K對(duì)原SDU進(jìn)行加密操作，而接收數(shù)據(jù)包終端的組件接收端使用會(huì)話密鑰K對(duì)SDU進(jìn)行解密，這樣終端雙方就可以實(shí)現(xiàn)安全通信。

3.2 組件接收端實(shí)現(xiàn)

組件接收端主要任務(wù)是截獲由其他終端發(fā)送給本機(jī)的鏈路層數(shù)據(jù)包并判斷其類型，如果為類型0x01，0x03或0x05數(shù)據(jù)包，則需通過(guò)組件發(fā)送端向源終端發(fā)送相應(yīng)類型的數(shù)據(jù)包；如果為其他類型的數(shù)據(jù)包，接收端將數(shù)據(jù)包進(jìn)行相關(guān)處理后完成。整個(gè)組件接收端處理數(shù)據(jù)包的具體流程如圖7所示。

3.3 組件發(fā)送端實(shí)現(xiàn)

組件發(fā)送端的主要任務(wù)是根據(jù)具體需要向目標(biāo)終端發(fā)送預(yù)定格式的數(shù)據(jù)包。當(dāng)本機(jī)需要與其他終端進(jìn)行通信或者組件接收端接收到類型為0x01，0x03或0x05數(shù)據(jù)包時(shí)，組件會(huì)通過(guò)發(fā)送端向目標(biāo)終端發(fā)送相應(yīng)類型的數(shù)據(jù)包。整個(gè)發(fā)送端具體處理流程如圖8所示。

4 試驗(yàn)及結(jié)果說(shuō)明

試驗(yàn)環(huán)境：用交換機(jī)將3臺(tái)終端組成網(wǎng)絡(luò)，3個(gè)終端具體系統(tǒng)信息和網(wǎng)絡(luò)配置如表2所示。設(shè)定終端之間協(xié)商的共享會(huì)話密鑰K為0x99，對(duì)稱加密算法ε為對(duì)數(shù)據(jù)包的SDU字段(數(shù)據(jù)包的第14字節(jié)開(kāi)始)與K進(jìn)行逐字節(jié)異或操作。

試驗(yàn)過(guò)程：終端B，C加載安全組件，終端A不加載。終端C利用ping命令向終端B發(fā)送ICMP數(shù)據(jù)包，與此同時(shí)，終端A和終端B利用工具Sniffer Pro截獲此ICMP數(shù)據(jù)包，試驗(yàn)結(jié)果記錄如下。

試驗(yàn)結(jié)果：

(1) 終端B收到的數(shù)據(jù)包數(shù)據(jù)如圖9所示。

圖9結(jié)果表明終端B可以正確的解析終端C發(fā)送過(guò)來(lái)的數(shù)據(jù)包，且不影響正常的ping命令。

(2) 終端A截獲的數(shù)據(jù)包數(shù)據(jù)如圖10所示。

圖10結(jié)果表明終端A截獲到數(shù)據(jù)包的SDU字段是原數(shù)據(jù)包與密鑰0x99經(jīng)過(guò)逐字節(jié)異操作后的數(shù)據(jù)。

實(shí)驗(yàn)結(jié)果說(shuō)明：在內(nèi)網(wǎng)環(huán)境中，終端A可以嗅探到終端C發(fā)送給終端B的數(shù)據(jù)包，但只能得到B、C雙方通過(guò)共享會(huì)話密鑰K對(duì)SDU字段進(jìn)行加密后的數(shù)據(jù)包，如果沒(méi)有共享密鑰K，終端A不能對(duì)加密后的數(shù)據(jù)包進(jìn)行解密，說(shuō)明組件可以有效地防止內(nèi)網(wǎng)嗅探攻擊；另一方面，如果網(wǎng)絡(luò)內(nèi)部人員想要將敏感信息通過(guò)網(wǎng)絡(luò)方式傳到外網(wǎng)，外網(wǎng)終端得到的也是密文，說(shuō)明組件可以防止網(wǎng)絡(luò)方式的主動(dòng)泄密。

5 結(jié) 語(yǔ)

內(nèi)網(wǎng)安全問(wèn)題日趨嚴(yán)重，內(nèi)網(wǎng)管理人員也逐漸重視。本文設(shè)計(jì)實(shí)現(xiàn)的安全通信組件，在一定程度上可以解決內(nèi)網(wǎng)面臨的安全威脅。從實(shí)際運(yùn)行效果看，加載組件的終端運(yùn)行良好，性能穩(wěn)定。當(dāng)然，安全是相對(duì)的，針對(duì)內(nèi)網(wǎng)的安全研究也將繼續(xù)。

參 考 文 獻(xiàn)

［1］IEEE802.3.IEEE Std 802.3，2000 Edition［S］.

［2］Systems Network Architecture Formats［DB/OL］.IBM document#GA27-3136-12.

［3］ Russinovich M E，Solomon D A.深入解析Windows操作系統(tǒng)——Microsoft Windows Server 2003/Windows XP/Windows 2000技術(shù)內(nèi)幕.4版.潘愛(ài)民，譯.北京:電子工業(yè)出版社，2007.

［4］武安河.Windows 2000/XP WDM設(shè)備驅(qū)動(dòng)程序開(kāi)發(fā).2版.北京:電子工業(yè)出版社，2005.

［5］ 毛文波.現(xiàn)代密碼學(xué)理論與實(shí)踐［M］.王繼林，譯.北京:電子工業(yè)出版社，2004.

［6］Andrew G Mason，Mark J Newcomb.網(wǎng)絡(luò)安全Cisco解決方案［M］.詹文軍，譯.北京:電子工業(yè)出版社，2002.

［7］朱雁輝.Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)［M］.北京:電子工業(yè)出版社，2002.

作者簡(jiǎn)介 段小亮 男，1984年出生，碩士研究生。主要研究方向?yàn)樾畔踩c網(wǎng)絡(luò)攻防技術(shù)。