行政院國家科學委員會專題研究計劃成果報告
網 際 網 路 上 高 效 率 之 安 全 促 成 工 具
Efficient IP-based Secur ity Enabler s for Inter net
計劃編號:NSC 88-2213-E-002-066
執行期限:87 年 8 月 1 日至 88 年 7 月 31 日
主持人:雷欽隆 台大電機系教授
一、中文摘要 隨著網際 網路及 電子商務 的快速 成 長,如何在網際網路上提供一個安全的網 路通訊環境已成為一迫切的課題。然而, 現有的網路安全解決方案,大多將安全機 制設計於應用層,因此針對各個不同的應 用程式,必須做個別的修改,方能達到保 密及認證的功能,十分不便,且需耗費許 多額外的人力物力。有鑑於此,本計畫提 出網際網路安全促成工具的概念,作為一 有效的網際網路安全解決方案。網際網路 安全促成工具的概念,在於提供一個可彈 性運用,擴充性高的網路安全介面,讓所 有網路應用程式,毋須做任何修改,即可 使用,並立即享有認證,保密,使用權控 制等網路安全服務。 本計畫所提出的網際網路安全促成工 具之系統架構設計分為三大部分:認證及 密鑰管理部分、網路層協定加密部分以及 安全策略部分。我們已將此系統實作於 FreeBSD 2.2.8 作業系統上。 本計畫所提出之網路安全促成工具, 提供使用者一個強健的網路安全架構,以 及多種的網路安全服務,並具有毋須公開 密鑰憑證,系統設定容易,適用於區域網 路及企業內部網路,且可適用於低計算能 力的行動計算裝置等優點。此外,我們所 實作的系統可直接接受 Kerberos 密鑰分配 中心所發出之通行證作為認證,因此可相 容於目前廣為使用的 Kerberos 認證服務。 關鍵詞:網路安全,網際網路,電子商務, 網際網路安全協定,身份認證,密鑰管理, 隱私性,安全促成工具 Abstr actWith the fast growth of Internet and electronic commerce, how to provide a secure communication environment on the Internet has become an urgent issue. However, Most of the network security solutions place their security mechanisms at the application layer. Therefore, they must modify each application individually to accomplish the purposes of security and authentication. This is very inconvenient and requires much time and work. In this project, we propose the concept of IP-based security enablers to be an efficient Internet security solution. The concept of IP-based security enablers is to provide a flexible and extensible network security interface for network programs. Network programs can enjoy network security services such as authentication, confidentiality, access control immediately without any modification.
The system architecture of the proposed IP-based security enablers contains
three components: an authentication and key management component, a network protocol encryption component, and a security policy component. The implementation is carried out on FreeBSD 2.2.8 operation system.
IP-based security enablers provide a robust network security infrastructure and various security services to users. It has advantages such as: does not need PKI, suitable for Local Area Network (LAN) and Intranet of an enterprise, easy to install, and suitable for low-computation power mobile computing devices. In addition, our system can accept tickets issued by Kerberos Key Distribution Center (KDC); therefore, it is compatible with the widely used Kerberos authentication service.
Keywor ds: Network Security, Internet,
Electronic Commerce, IP Security,
Authentication, Key Management, Privacy, Security Enablers. 二、緣由與目的 在早期的網際網路發展中,網路安全 並未受到太大的重視。然而,隨著電子商 務的快速發展,越來越多的商業應用軟體 及商業交易使用網際網路為媒介,網路安 全已成為一亟待解決的問題。然而,現有 的網路安全解決方案大多將安全機制設計 於應用層,因此針對各個不同的應用程 式,必須做個別修改,方能達到保密及認 證的功能,十分不便。有鑑於此,本計畫 提出網際網路安全促成工具的概念,作為 一有效的網際網路安全解決方案。 網際網路安全促成工具的概念,在於 提供一個可彈性運用,擴充性高的網路安 全介面,讓所有網路應用程式,毋須做任 何修改,即可使用,並立即享有認證,保 密,使用權控制等網路安全服務,且使用 者可視其需要隨時加入新的安全功能。由 於網路應用程式必須透過 IP 層發送封包來 傳送資料,而所接收的資料也必須經由 IP 層方能往上送達位於應用層的網路程式。 因此,我們在網路層做適當的修改,以達 成網際網路促成工具的功能。我們並且融 入了網際網路安全協定(IP Security)及 Kerberos 的概念到我們所設計的網際網路 安全促成工具之中。 三、結果與討論 本子計劃經過一年的執行與研究,我 們已設計並實作出幾種基本的網際網路安 全促成工具(包含認證、加密、密鑰管理 及安全策略促成工具),我們另外提出了 兩種安全促成工具之設計,一為安全通道 促成工具(Tunnel Enabler),其設計目的 在提供無法安裝網際網路安全促成工具的 使用者,可以經由一個安裝網際網路安全 促成工具的閘道器或路由器,間接得到網 際網路安全促成工具之保護。另一為公開 密鑰促成工具(Public-Key Enabler),其 設計目的在引入公開密鑰的機制,以加強 本促成工具之認證功能,此兩種安全促成 工具將是我們未來實作的重點。 我們所提出的網際網路安全促成工具 的系統架構設計分為三個主要的部分:認 證及密鑰管理部分、網路層協定加密部分 以及安全策略部分。在認證及密鑰管理部 分,我們自行設計出了一個基於 Kerberos 認證服務的密鑰管理協定,稱為通行票式 密鑰管理協定,此協定可適用於無公開密 鑰基礎建設建置之網路環境下。在網路層 協定加密部分,我們採用網際網路安全協
定(IP Security),用來做 IP 封包的加密。 在安全策略部分,我們利用過濾封包的輸 出及輸入做分析,將之歸納成四種安全策 略。 在 實 作 方 面 , 我 們 的 實 作 平 台 為 FreeBSD 2.2.8 作業系統。網際網路安全促 成工具的網路架構如圖(一)所示。其系統架 構如圖(二)所示。圖(三)展示我們在 X-Windows 上所實作的網際網路安全促成工 具圖形使用者介面。我們亦對我們的系統 做實際測試,圖三為我們我們利用協定分 析儀捕捉 IP 封包,以顯示測試結果。 四、 計劃成果自評 本計畫提出一個在網際網路上高效 率的安全促成工具,做為一個有效的網際 網路安全解決方案。網際網路安全促成工 具提供使用者一個具彈性且擴充性高的安 全機制與介面,讓使用者在毋須修改應用 程式的情況下,即可達成其所要求的安全 功能。使用者可視其需要隨時加入新的安 全功能。另外,本促成工具對於網際網路 應用程式而言是透通的(Transparent)。我 們所設計的網際網路安全促成工具提供使 用者包含身份認證、加密、資料完整性、 密鑰管理、存取控制等基本安全功能。我 們另外提出了一個適用於無公開密鑰基礎 建設(Public-Key Infrastructure)建置之環 境下的密鑰管理協定,稱為通行票式密鑰 管理協定,此協定毋須做指數計算,相較 於基於公開密鑰密碼系統的密鑰管理協 定,我們的協定需要較少的計算,因此可 適用於低計算能力的行動計算裝置。在實 作方面,我們已在 FreeBSD 2.2.8 作業系統 上完成基本網際網路安全促成工具的實 作。 未來,我們將繼續完成安全通道促 成工具之實作。基於公開密鑰基礎建設的 快速成長,我們會透過公開密鑰促成工具 的實作將公開密鑰基礎建設整合進來。此 外,我們將繼續設計新的促成工具以擴充 網際網路安全促成工具的功能,並加強其 安全性與系統效能。 五、參考文獻 GUI GUI IP Engine IP Engine
Network Device Driver
Network Device Driver
SA D atabase IPSec Engine IPSec Engine Key Engine Key Engine Policy Engine Policy Engine Crypto Engine Crypto Engine GUI GUI Policy User Inter face Policy User Inter face Manual Keying Manual Keying AH Agent AH AgentAgentESP
ESP Agent Ticket Database Applications Applications TCP UDP TCP UDP Internet USER KERNEL 圖(二) 安全促成工具之系統架構 Security Enablers Security Enablers Internet Security Enablers Security Enablers Kerberos KDC 圖(一) 安全促成工具之網路架構 圖(三) 安全促成工具圖形使用者介面 。
[1] 張譽鐘,網際網路安全促成工具之設計與實 作,台大電機所碩士論文,八十八年六月。 [2] P. C. Cheng, J. A. Garay, A. Herzberg, H.
Krawczyk, “A Security Architecture for the Internet Protocol,” IBM Systems Journal, Vol. 37, No.1, 1998.
[3] D. Harkins and D. Carrel, “The Internet Key Exchange (IKE),” RFC 2409, Nov. 1998. [4] S. Kent and R. Atkinson, “Security Architecture
for the Internet Protocol,” RFC 2401, Nov. 1998. [5] S. Kent and R. Atkinson, “IP Authentication
Header,” RFC 2402, Nov. 1998.
[6] S. Kent and R. Atkinson , “IP Encapsulating Security Payload (ESP),” RFC 2406, Nov. 1998. [7] J. Kohl and C. Neuman, “The Kerberos Network
Authentication Service (V5),” RFC 1510, Sep. 1993.
[8] C. Neuman and J. Wray, “Public Key Cryptography for Initial Authentication in Kerberos,” draft-ietf-cat-kerberos-pk-init-03.txt, 1997.
[9] W. Stallings, Cryptography and Network Security, 2nd Edition, Prentice-Hall, 1999.
