防窃听数据链路安全协议的设计与实现

　　0 引 言

　　网络窃听是一把双刃剑， 一方面各国政府常用来防范恐怖袭击、监视非法资金交易， 另一方面黑客和一些情报机构也用来非法获取机密信息。据统计， 全球约20 秒就有一次计算机入侵事件发生， 约1/ 4 的网络防火墙被突破， 约有70% 以上的网管人员报告机密信息泄露。与各种网络攻击手段相比， 网络窃听更加隐蔽，是目前威胁计算机网络安全的主要问题之一， 它通过、分析数据流来窃取敏感信息。

　　2008 年2 月在DEFCON 公司， 两个网络安全研究院演示了如何利用BGP协议窃听和篡改未加密的数据， 用他们自己的网络对这家公司的全部流量进行重新路由， 在该公司不知情的情况下将流量送到目标地址。2008 年6 月18 日， 瑞典议会通过了一项窃听法案， 允许监控所有的跨国通信， 包括窃听和检查邮件， 而不用申请法庭许可。2008 年9 月9 日， 美国国会参议院表决通过新的窃听法案， 取代 国外情报检查法 ， 为反恐需要可以对一方在境外的国际间通信进行未经法庭授权的窃听， 并对参与实施的通信公司予以法律豁免。从1997 年至今， 我国的银行、证券等机构的计算机网络相继遭到无数次攻击。因此， 如何做到既安全快速传递信息， 又不泄漏机密信息， 成了国家和企业要害部门重点考虑的安全问题之一。

　　无论是软件窃听技术还是硬件捕包技术， 前提是建立稳定的链路连接， 才能恢复出正确的报文流， 所以可以设计特定速率的报文流保证连接的专用性; 其次， 可以对专用链路上传输的数据进行加密处理。利用通用的以太网物理层器件， 建立新的数据链路协议来有效防范网络窃听， 安全地传输数据正是本文研究的内容。

　　1 协议关键技术

　　以太网物理层负责MAC 层和物理介质之间的数据转换与收发工作， 由PCS、PMA 和PMD 三个子层组成。

　　以太网物理层器件一般分为两类， 即PHY 和Tranceiver。PHY 完成了整个物理层的功能， 而Tranceiv er 芯片只完成数据的串并转换和时钟恢复， 相当于PMA 子层以下的功能。以太网物理层器件的核心功能是以一定的链路速率传输以太网帧结构的报文， 实际上对报文内部的负载数据并不敏感， 具体的协议处理由MAC 层完成。因此在安全性要求较高的链路中， 可以采用插入式的结构， 从时钟和加密技术两个方面实现新的网络链路协议， 并使得这种协议技术具有很好的安全性能。其结构如图1 所示。

图1 链路协议原理和结构。

　　从图1 可以看出， 协议实现的硬件单元结构独立，两端都是传输介质， 可以根据需要组合使用， 既易于在用户端实现， 也易于在交换机端实现。