基于可信根与IP包拓展的局域网安全防护机制研究

陈大文，耿 琦

（江苏金盾检测技术有限公司，江苏 南京 210042）

1 基于可信根的局域网络安全防护机制研究的必要性

局域网络一般都是部署于一个组织内部的区域网络，局域网的覆盖范围通常在几千米以内，它具有安装方便、成本低、易于扩展等特点。早期由于对安全性方面考虑得较少，因此局域网内网络安全存在相当严重的问题，主要面临的威胁有地址解析协议（ARP）攻击，IP欺骗等。常见的ARP攻击方式是ARP欺骗攻击和泛洪攻击。ARP欺骗攻击是通过伪造IP地址和MAC地址来实现ARP欺骗。网络上的计算机可以主动发送ARP响应报文[1]。当其他计算机接收到响应消息时，它们会将其放入本地ARP缓存，而不会检测消息的真实性。这样，攻击者就可以向计算机发送一条伪ARP响应消息，使该消息无法到达预期的计算机或错误的计算机，构成ARP欺骗。ARP泛洪攻击是在局域网中连续发送大量的正常的ARP请求包，这会消耗主机带宽，影响交换机和主机对正常的ARP报文的学习。这种数据包是正常的，所以不会被ARP防火墙过滤。IP欺骗是指通过伪造自己的IP地址向目标系统发送恶意请求，使得目标系统受到攻击但是却没有办法确定攻击的来源，或者通过获取目标系统的信任，从而可以从目标系统中获取到机密信息。IP欺骗对于依赖IP实现用户身份认证和访问许可等有严重的影响[2-3]。

局域网络出现此类攻击主要的原因是局域网数据交互是通过交换机的端口与MAC地址绑定来实现的。MAC地址固化在网卡中，但是IP地址是动态分配，因此在交换机与主机中需要通过ARP映射表来实现MAC与IP地址的映射转换。这个ARP表的建立通过ARP协议来完成，但是没有对应的安全机制来保障ARP协议中声明的可信性，引发了局域网络的上述隐患[4]。

一般应对上述的局域网络安全问题的措施是通过交换机端口与MAC地址绑定，或MAC地址与IP绑定来抵御上述的网络攻击。但是这样的解决方案需要手动去设置，增加了网络管理员的工作负担，特别是对域内主机频繁变动的局域网难以做到。

本文提出了一种基于可信根的局域网络安全防护机制，通过在网卡中内置可信芯片，由可信芯片执行本文提出的认证算法，实现IP数据包的拓展，嵌入数据包的认证信息。由局域网交换机执行防护机制，实现对上述网络攻击的防御。本文提出的解决方案具有自动化防御功能，不需要管理员参与配置，并且可以通过可信根实现主机网络行为的追踪分析，为局域网络安全的防御提供有力的支持。

2 基于可信根的局域网络安全防护机制

2.1 可信计算与可信根

可信是指计算所涉及的组件、操作或过程在任何条件下都是可以进行预测的，并且能够对病毒以及一定程度的物理干扰进行抵御。可信计算是指在硬件中引入可信芯片，通过提供的可信度量、可信存储、可信报告等提高终端系统的安全性，解决了个人计算机体系结构简化带来的脆弱性问题。在用户与计算机、网络平台之间建立信任机制，从根本上实现对各种不安全因素的主动防御[5-6]。

可信芯片是指符合TCG安全标准的安全芯片。它存储特定的密钥和数据，可以有效地保护设备，禁用一切未经授权的程序，并消除非法用户的任何访问。它能有效地保证被监控的计算机不会被第三方通过PIN码窥探，避免重要文件信息被窃取的风险。可信芯片中主要是一对非对称的加密密钥，由可信芯片生成对IP数据包的认证数据。

可信芯片是可信计算技术的基本组成部分，是整个可信平台的“根”。可信芯片存储支撑可信度量、可信存储和可信报告的密钥和关键信息，并执行一些加密操作。它是实现可信计算核心功能的源泉和基础。

2.2 IP数据包拓展

TCP/IP协议定义了一个在因特网上传输的数据包，称为IP数据报。IP层提供的服务是通过对数据报的封装和解包来实现的。IP数据报的格式如图1所示。IP数据报由首部和数据组成，首部是为了能够正确地传输高层数据而添加的各种控制信息，而数据区域包括高层协议需要传输的数据。首部的第一部分是一个固定长度，总共有20个字节，包括版本号、头长度、服务类型、总长度、标识、标志、片偏移、生存空间、上层协议标识、头部校验、源IP地址和目标IP抵制这些信息。所有的IP数据报都必须有这个部分。在首部的固定部分之后是一些长度可变的可选字段。首部中的源地址和目标地址是IP协议地址。数据包中的可选字段是保留部分。本文的机制利用保留部分来保存嵌入的数据包认证数据[7-9]。

图1 IP数据报的格式

2.3 局域网设备对安全防护机制的支持

本文的局域网安全防护机制需要对局域网中的设备做一定的变化，以实现对本文机制的支持，主要的变化集中在网卡与局域网的路由器或交换机上[10-12]。

2.3.1 支持可信芯片与IP数据包认证的网卡

首先，需要在网卡中内置固化的可信芯片，可信芯片中包括MAC地址、一对非对称密钥、随机数生成器和签名算法，以及相关的寄存器。其中寄存器上存储着上一个IP数据包认证使用的随机数。可信芯片的组成部分如图2所示。

图2 可信芯片的组成部分

正常情况下，网卡在发送IP数据包之前，需要根据当前寄存器中生成的随机数，递增后获得一个新的随机数，再将自己网卡上的MAC地址与随机数一起使用私钥签名后发送出去。网卡发送IP数据包流程如图3所示。

图3 网卡发送IP数据包流程

2.3.2 支持IP数据包认证的局域网交换机

本文提出的保护机制也需要在局域网的路由器或交换机中进行一些调整，以达到保护功能。在局域网交换机中要维护一张表，该表的由以下字段组成：。（1）这张表中MAC地址、端口、网卡公钥3个数据值是当主机接入局域网后，通过网卡可信根芯片在局域网中广播收集到的。（2）上一次随机值是通过局域网交换机从接收到的IP数据包认证数据中提取到的。（3）已观察到的包计数是局域网交换机通过接收到的IP数据包，提取IP认证数据后根据MAC地址与网卡公钥作为主键在这张表中查询统计所得。表示某一个端口发送的通过认证的包计数。（4）同样交换机中要增加数据签名认证相关的算法与工具。

2.3.3 机制的执行流程

本文提出的保护机制的执行流程主要分成3个部分，分别是网卡接入局域网的阶段、正常的数据发送阶段以及网卡随机数寄存器溢出处理阶段。具体执行流程如下。

网卡接入局域网的阶段。首先，网卡接入局域网后，应由可信根芯片广播该芯片使用的公钥以及MAC地址；其次，局域网交换机收到广播后，根据接收的公钥，加密一个随机值通过对应的端口发回；最后，网卡收到回复之后，即使用自己的私钥解开回复消息，并将交换机发回的随机值保存在可信根的随机数寄存器中。

正常的数据发送阶段。首先，网卡在发送数据前，可信芯片递增值，并由芯片将MAC地址与递增的随机数值签字后，嵌入到数据包中发送；其次，局域网交换机接收到数据包后，根据端口查到公钥，对嵌入的认证数据解密并取得随机值，与已有表中上一次随机值对比，如果大于则正常发送数据包至目标主机。

网卡随机数寄存器溢出。首先，网卡的随机数寄存器递增值可能会超出寄存器的表达值范围，会出现数据包认证数据中随机数与上次随机数值变小的情况；其次，交换机在收到这类情况包的时候，将通过端口使用公钥加密并发送一个新随机值给对应的网卡；最后，网卡可信根收到这类数据包，使用私钥解密后获得新的随机数，重置寄存器，再重新发送数据包。

3 本文机制对局域网安全的防护能力验证

3.1 对于MAC地址伪造的识别

MAC地址的伪造主要有两种，一种是伪造局域网中没有网卡使用的MAC地址，但是由于本文中每个网卡接入到局域网中，都会通过可信根发送自己的MAC地址与公钥信息，并与端口绑定，伪造MAC地址即使可以绕过可信根芯片发出，也会在局域网交换机的表中查不到对应的纪录，而被丢弃或阻止。另一种是伪造局域网中已有的MAC地址，但是通过数据包中存在有认证数据，且数据中随机值是递增的，因此攻击者无法伪造出合法的数据包认证数据，从而在交换机验证中失败被阻止[13]。

3.2 IP地址的伪造与ARP攻击的抵御

IP地址的伪造同样存在两种方式，一种是伪造局域网中没有使用的IP地址发送数据，这种方式下，如果攻击者绕过可信根芯片直接发送数据包，显然会同伪造MAC地址一样被发现并阻止，如果攻击者通过可信根芯片发送数据包，那么在交换机的缓存表中会出现同一个MAC地址对应两个不同IP，会触发本文防护机制的安全预警事件，向网络管理员报警由管理员来负责查看处理[14]。

另一种是伪造已有的IP地址，但由于同一个局域网中两台主机不可能以同样的IP地址收发数据，会引发IP冲突，所以攻击者无法使用伪造已有的IP地址发送数据。只能采用ARP类似原理的攻击，修改交换机与受害主机的ARP缓存表来实现攻击。

在类ARP攻击的模式下，接收受害者主机发送数据的目标主机被修改成攻击者主机的MAC地址。此时，交换机通过查表必然能发现攻击者的一个端口对应两个IP，同时也能发现同一个IP分别映射到两个不同端口。交换机可以通过缓存表发起仲裁，判断哪个端口是对应IP的真实拥有者。判断的依据是通过交换机的缓存表中已观察到包的计数字段来判断。如上文所述，局域网中不存在不同主机拥有同样的IP地址，否则会发生IP地址冲突，ARP攻击者无法使用被冒充的IP地址发送数据，因此对应的记录中已观察到包的计数字段必然为0，交换机可以判定已观察到包的计数字段不为0的主机是真正的IP地址拥有者[15]。

4 结语

随着无线局域网的应用范围越来越广，网络中存在着较多的安全威胁，攻击者可以通过攻击局域网从而导致网络故障或者盗取有用信息，这需要网络运维人员花费大量的时间和精力去处理这些问题。因此，本文提出了一种基于可信根的局域网络安全保护机制。该方法利用在网卡中嵌入可信芯片，并由可信芯片执行本文提出的认证算法，实现了IP数据包的扩展，并嵌入了数据包的认证信息。由局域网交换机执行防护机制，实现了防止上述网络攻击。本文提出的机制有两个优点，一个是实现了局域网安全防护的自动化，不再需要配置，很方便就可以使用；另一个是通过可信芯片和可信根实现了IP伪造、MAC伪造以及类ARP攻击的防御目标。但该机制也存在一些缺点，如网卡要增加可信芯片以及交换机要增加认证、缓存表以及仲裁判断算法，这些可能会对网络数据的传输性能造成影响，但可以通过轻量级的加密与认证方法减轻这方面的影响。