1、补充内容补充内容网络层安全网络层安全内 容 提 要lIPsec概述lAH协议lESP协议lIKE协议lIPsec问题IPsec概述概述l产生背景l发展概述l设计目标l协议特点l系统架构实现模式工作模式安全关联安全策略IPsec是什么?是什么?l为了弥补TCP/IP协议的安全缺陷,为IP层及其以上层协议提供保护而设计的,由IETF工作组于1998年制定的一组基于密码学的安全的开放网络安全协议,成为IPsec安全体系结构,IP security。l“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保
2、密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 lIPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机
3、构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。lIPSec 有两个目标: 保护 IP 数据包的内容。 通过数据包筛选及受信任通讯的实施来防御网络攻击。 l这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。lIPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识,但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只
4、有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全,因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换,否则仅从源向目标路由数据的计算机不要求支持 IPSec。 l该模式允许为下列企业方案成功部署 IPSec:局域网 (LAN):客户端/服务器和对等网络 广域网 (WAN):路由器到路由器和网关到网关 远程访问:拨号客户机和从专用网络访问 Internet l通常,两端都需要 IPSec 配置(称为 IPSec 策略)来设置选项与安全设置,以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft® Win
5、dows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。lIPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Ex
6、change (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。lIPSec的安全特性主要有:不可否认性 “不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但“不可否认性”不是基于认
7、证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。反重播性 “反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。数据完整性 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。 数据可靠性(加密) 在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读
8、。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。 认证 数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的系统才可以建立通信连接。IPsec产生背景产生背景l以IPv4为代表的TCP/IP协议没有考虑安全性问题,主要存在的安全隐患有:IP协议没有为通信提供良好的数据源认证机制。而是采用基于IP地址的身份认证机制。IP地址伪造就可以冒充他人。IP协议没有为数据提供完整性保护机制。只是通过IP头的校验和为IP分组提供了一定程度的完整性保护。IP协议没有为数据提供任何形式的机密性保护机制,明文传输成为电子商务等的应用瓶颈。协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞
9、。IPsec发展过程发展过程lIETF(The Internet Engineering Task Force )lRFC相关标准TCP/IP协议族安全架构协议族安全架构应用程序vv链路层网际层传输层应用层IPsec设计目标与功能设计目标与功能l设计目标:为IPv4/6提供可互操作的、高质量的、基于密码学的安全性保护机制。l安全服务功能:在IP层提供:访问控制+数据报源认证+数据报完整性验证+数据报加密通信机制+流数据的有限机密机制+抗重放攻击机制l为什么在IP层?IP层可以为上层协议无缝的提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,不必设计自己的安全机制,减少密钥协商的
10、开销。IPsec安全实现的方法安全实现的方法l安全通信协议: 主要包括: 头协议AH , 封装协议ESP。 功能:定义了对通信的各种保护方式。l密钥交换协议: 主要使用:IKE协议。 功能:定义了如何为安全协议协商保护参数,以及如何认证通信实体的身份。l两个数据库:安全策略数据库SPD,安全关联数据库SADIPsec协议安全机制特点协议安全机制特点l在TCP/IP的关键层上提供安全服务功能l允许传输层与应用层共享网际层安全服务l对网际层、传输层与应用层提供一致的安全服务l为上层协议提供无缝透明的安全服务l各个应用层程序共享IP层安全机制(安全服务+密钥管理),无需设计自己的安全机制。IPsec
11、体系结构(体系结构(1)IPsec体系结构(体系结构(2)lIPsec体系:思想+需求+术语+技术机制lAH&ESP:防控+源认证+完整性+抗重放+加密l解释域DOI:通信消息字段语义解释规则集合l算法:ESP加密&认证算法,AH认证算法l密钥管理:IKE=SA+可信密钥材料(=ISAKMP+Oakley+SKEME)l通信策略实体通信协商:没有形成标准IPsec实现模式(实现模式(1)IPsec实现方式(实现方式(2)l集成模式:在IP协议源代码中增加IPsec模块lBITS模式:在IP层与链路层之间增加IPsec层lBITW模式:直接主机/通信子网中实现IPsecl集成模式在主机/安全网关
12、中实现lBITS模式主机中实现lBITW模式内网直接主机/路由器/网关中实现l传输模式:保护IP数据报有效载荷,AH和ESP拦截从传输层到网络层的数据包,由IPsec组建添加AH或ESP头InternetA主机IP头IPsec 头 TCP/UDP头应用数据B主机安全网关安全网关IPsec保护区优点:内网保密通信+负载均衡(各主机分担IPSEC处理负荷)缺点:公共IP+端用户不透明+可泄露内网拓扑新增的保护头受保护的内容IPsecIPsecIPsec工作模式(工作模式(1)IPsec工作模式(工作模式(2)l隧道模式:保护整个IP数据报InternetA主机B主机安全网关安全网关IPsec保护区
13、优点:内网用户透明+保护内网拓扑+可用私有IP缺点:内网明文通信+安全网关负载较重旧IP头IPsec 头TCP/UDP头应用数据新IP头新增的保护头受保护的内容比较:比较:lESP:如果要求在主机A和主机B之间流通的所有 传输数据包都要加密,应采用ESP模式。lAH:如果只需要对传输层的数据包进行认证,采用AH传输模式。安全关联安全关联SA概念概念安全关联SA: security association 安全关联是IPsec的基础,AH,ESP都是采用SA.IKE协议的一个主要功能就是建立动态的SA。为实现数据流安全服务而与通信对等方关于某些要素的一种协定,如:lIPSec协议l协议的操作模式
14、:传输、隧道l密码算法与密钥l用于保护数据流的密钥的生存期安全关联安全关联SA概述概述 SA通过像IKE这样的密钥管理协议在通信对等方之间协商而生成,当一个SA协商完成后,两个对等方都在其安全关联数据库(SAD)中存储该SA参数。lSA具有一定的生存期,当过期时,要么中止该SA,要么用新的SA替换,终止的SA将从SAD中删除。lSA使用三元组唯一标示,SPI是一整数,在AH/ESP传输,用于接收方索引SA,目的IP地址目前只能使用单播地址。安全关联安全关联SA类型类型lSA类型:隧道模式SA+传输模式SAl隧道模式SA:定义用于隧道模式通信的SA为隧道模式SA,用于保护隧道通信,一方是安全网关
15、时需使用隧道模式SA。l传输模式SA:定义用于传输模式的SA为传输模式SA,主要用于主机间的安全通信,如果主机使用隧道通信,也能使用隧道模式SA。安全关联安全关联SA特性特性lIPsec SA使用IPsec保护某一数据流时建立的安全关联lSA单向性与被保护的数据流方向相关,双向通信的主机既有输出数据流也有输入数据流,对输出数据流需要输出SA保护,输入数据流需要输入SA保护,SA保护数据流的实质是保护数据流对应的输出/输入缓冲区。lSA单功能性一个SA只能完成一种安全保护功能(AH或ESP),一个数据流根据其安全要求可能需要多个SA保护,这些SA称为SA集束(SA Bundle),构成SA束的方
16、式主要有传输邻接与嵌套隧道两种方式。安全关联安全关联SA传输邻接传输邻接SA束束传输邻接是指将多个安全协议应用于一份IP数据报中,应用过程中不出现隧道。这种方式仅允许AH和ESP进行一层联合。如SA中的算法强度足够,则没有必要将多个SA嵌套。因为,数据包到达目的地后,只由一个IPsec实例来处理。安全关联安全关联SA嵌套隧道嵌套隧道SA束束重复隧道是指将多个SA嵌套用于一份数据报。这些SA的起点和终点可以不同。注意:对一份数据报同时使用AH和ESP传输模式时,应先应用ESP,再应用AH。隧道模式无此要求。安全关联安全关联SA特性特性lSA时效性一个SA不是与通信数据流相始终的,而是具有一定的时
17、效性/生存期,这个时效性/生存期可以是一段给定时间段进行标示,也可以按其处理数据量的多少进行设定,SA的时效性/生存期的长短与标示形式取决于通信双方的协商。当一个SA的生存期结束时,要么终止该SA的使用,并将它从SAD中删除,要么使用一个新的SA对原来的SA进行替换。安全关联安全关联SA小结小结SAnSA3SA2SA1安全参数索引32位整数,唯一标识SA1255被IANA保留将来使用0被保留用于本地实现安全关联安全关联SA小结小结SAnSA3SA2SA1输出处理SA的目的IP地址输入处理SA的源IP地址安全关联安全关联SA小结小结SAnSA3SA2SA1AHESP安全关联安全关联SA小结小结S
18、AnSA3SA2SA132位整数,刚开始通常为0每次用SA来保护一个包时增1用于生成AH或ESP头中的序列号域在溢出之前,SA会重新进行协商安全关联安全关联SA小结小结SAnSA3SA2SA1用于外出包处理标识序列号计数器的溢出时,一个SA是否仍 可以用来处理其余的包安全关联安全关联SA小结小结SAnSA3SA2SA1使用一个32位计数器和位图确定一个输入的 AH或ESP数据包是否是一个重放包安全关联安全关联SA小结小结SAnSA3SA2SA1AH认证密码算法和所需要的密钥安全关联安全关联SA小结小结SAnSA3SA2SA1ESP认证密码算法和所需要的密钥安全关联安全关联SA小结小结SAnSA
19、3SA2SA1ESP加密算法,密钥,初始化向量(IV)和IV模式IV模式:ECB,CBC,CFB,OFB安全关联安全关联SA小结小结SAnSA3SA2SA1传输模式隧道模式通配模式:暗示可用于传输隧道模式安全关联安全关联SA小结小结SAnSA3SA2SA1路径最大传输单元是可测量和可变化的它是IP数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的IP数据 包的最大长度安全关联安全关联SA小结小结SAnSA3SA2SA1包含一个时间间隔外加一个当该SA过期时是被替代还是终止采用软和硬的存活时间:软存活时间用于在 SA会到期之前通知内核,便于在硬存活时间 到来之前内核能及时协商新的SA
20、安全策略安全策略概念概念l安全策略SP:指定用于到达或源自特定主机/网络的数据流的策略,即SP指定了对于给定的外出数据流需要使用那些需要使用SA进行保护,那些不需要,那些丢弃;同时指定了对输入流的数据包需要进行怎样的处理。l安全策略数据库SPD:包含策略条目的有序列表,用于指定数据流中的某一特定输出数据包使用什么SA,指定输入数据流中的某一特定输入包怎样处理。l通过使用一个或多个选择符来确定每个条目安全策略安全策略目的目的IPIP地址地址32位IPv4或128位IPv6地址可以是:主机地址、广播地址、单播地址、任意播地址、多播组地址地址范围,地址加子网掩码通配符号等SRnSR3SR2SR1安全
21、策略安全策略源源IPIP地址地址SRnSR3SR2SR132位IPv4或128位IPv6地址可以是:主机地址、广播地址、单播地址、任意播地址、多播组地址地址范围,地址加子网掩码通配符号等安全策略安全策略传输层协议传输层协议SRnSR3SR2SR1指定传输协议(只要传输协议 能访问)许多情况下,只要使用了ESP, 传输协议便无法访问,此时需 使用通配符安全策略安全策略传输层协议传输层协议SRnSR3SR2SR1完整的DNS名或e-mail地址安全策略安全策略传输层协议传输层协议SRnSR3SR2SR1完整的DNS用户名如或X.500 DN安全策略安全策略传输层协议传输层协议SRnSR3SR2SR
22、1应用端口如无法访问,则使用通配符安全策略安全策略传输层协议传输层协议SRnSR3SR2SR1采取的动作DiscardBypass IPSecApply IPSec安全策略安全策略传输层协议传输层协议SRnSR3SR2SR1包括:指向一个SA或SA集的指针应用的IPSec协议运用的密码算法生成ICV的算法输入数据报处理输入数据报处理SPDSAD输出数据报处理输出数据报处理SPDSADAH协议协议lAH协议概述lAH协议服务lAH协议头格式lAH操作模式lAH处理流程AH协议概述协议概述l为IP包提供数据完整性和鉴别功能l利用MAC码实现鉴别,双方必须共享一个密钥l鉴别算法由SA指定 鉴别的范围
23、:整个包l两种鉴别模式: 传输模式:不改变IP地址,插入一个AH 隧道模式:生成一个新的IP头,把AH和原来的整个IP包放到新IP包的载荷数据中AH协议服务协议服务l数据源认证l无连接的完整性l可选的抗重放服务l不提供保密性AH协议头格式协议头格式结构结构AH协议头格式协议头格式下一个头下一个头l8比特,指出AH后的下一载荷的类型(RFC1700)AH协议头格式协议头格式载荷长度与载荷长度与SPIl载荷长度:包含以32比特为单位的AH头的长度减 2l安全参数索引SPI:32bit,用于和源/目的IP地址、IPSec协议(ESP/AH)共同唯一标识一个SAAH协议头格式协议头格式序列号与序列号与
24、认证数据认证数据l序列号:SA建立时,发送方和接收方SN初始化为0,通信双方每使用一个特定的SA发送一个数据报则将它们增1,用于抵抗重放攻击,AH规范强制发送者必须发送SN给接收者,而接收者可以选择不使用抗重放特性,这时它不理会该SN,若接收者启用抗重放特性,则使用滑动接收窗口机制检测重放包。具体的滑动窗口因IPSec的实现而异l认证数据:该变长域包含数据报的认证数据,称为完整性校验值(ICV),生成ICV的算法由SA指定,具体视IPSec的具体实现而定,为保证互操作性,AH强制所有的IPSec必须实现两个MAC(消息认证码): HMAC-MD5, HMAC-SHA-1AH协议协议操作模式操作
25、模式l操作模式:传输模式+隧道模式l传输模式:保护的端到端的通信,通信终点必须是IPsec的终点。l隧道模式:AH插在原始IP头之前,并重新生成一个新的IP头放在AH前AH协议协议传输模式特点传输模式特点l传输模式特点:保护端到端+通信终点需是Ipsec终点AH认证AH协议协议隧道模式特点隧道模式特点l保护点到点通信l通信的终点必须是IPSec终点l克服了传输模式的一些缺点AH认证AH处理过程处理过程l外出处理:IPsec从IP协议栈中收到外出的数据包时:检索SPD,查找应用于该数据的策略。以IP地址、端口等选择符为索引,确认那些策略适用于该数据包。查找对应的SA,如果需要对数据包进行IPse
26、c处理,并且到目的主机的SA已经建立,通过隐形指针SPI指向相应的SA;如果没有SA,IPsec实现将调用IKE协商一个SA.构造AH载荷,填充AH的各个字段。为AH添加IP头其他处理,重新计算IP头校验和等。AH处理过程处理过程l进入处理:IPsec对进入的数据包:分段重组,设置了MF位的数据包到达一个IPsec目的节点时,表明还有分段没有到达,等待所有序列号相同的包到达后,重组之。查找SA,使用作为索引检索SAD,找到处理该分组的SA.如果没有找到,丢包并日志记录。抗重放处理,检查是否重放,如是丢弃并日志。检查完整性,使用SA指定的MAC算法计算数据包的ICV,并与认证数据字段的值比较,如
27、不同,丢包并日志。嵌套处理,如果是嵌套包,返回第二步。检验策略的一致性:使用IP头中的选择符进入SPD中查找一条与选择符匹配的策略,检查是否与步骤2查到的SA是否一致,如不一致,丢包。AH输出输入处理输出输入处理ESP协议协议lESP协议概述lESP协议服务lESP协议头格式lESP操作模式lESP处理流程ESP概述概述l提供保密功能,包括报文内容的机密性和有限的通信量的机密性,也可以提供鉴别服务(可选)l将需要保密的用户数据进行加密后再封装到一个新的IP包中,ESP只鉴别ESP头之后的信息lESPAH+数据机密性+有限流机密性l加密算法和鉴别算法由SA指定l两种模式:传输模式和隧道模式ESP
28、服务服务提供的服务包括l数据保密性l有限的数据流保密性l数据源认证(认证是可选的)l无连接的完整性l抗重放服务ESP包格式包格式ESP格式字段格式字段lSPI:32b,取值256232-1,唯一标示对本数据包进行保护的SAlSN:32b,单调增加的无符号整数,抗重放攻击l载荷数据:变长字段l填充项:0255B,引入原因一:与分组加密相关;4字节的整数倍,原因二:隐藏载荷长度。l认证数据:变长字段,内容是ICVESP加密与认证算法加密与认证算法l加密算法 3DES、RC5、IDEA、3IDEA、CAST、Blowfishl鉴别算法 ICV计算应支持: HMAC-MD5-96、HMAC-SHA-1
29、-96, 仅用96位ESP传输模式传输模式工作范围工作范围ESP传输模式传输模式数据包封装数据包封装ESP隧道模式隧道模式工作范围工作范围ESP隧道模式隧道模式数据包封装数据包封装ESP输出输入处理流程SA组合组合l某些通信数据需要同时调用AH和ESP服务l某些通信数据需要主机之间和防火墙之间的服务l传输邻接:同一分组应用多种协议,不形成隧道l循环嵌套:通过隧道实现多级安全协议的应用SA组合组合加密与认证组合使用加密与认证组合使用加密与认证组合使用加密与认证组合使用 传输邻接使用两个捆绑的传输SA 内部是ESP SA(没有鉴别选项),外部是AH SAIKE协议协议lIKE协议概述lISAKMP
30、协议l密钥交换阶段l密钥交换模式lIKE与ISAKMP小结IKE协议概述协议概述l设计目的:手工方式(SA数量少、密钥更新频率低)、自动方式(用户多、规模大)。用于对SA的 动态管理与维护l协议构成:ISAKMP+Oakley+SKEMEl协议特点:两阶段+4模式+4认证+请求-应答l与ISAKMP关系:ISAKMP定义了一个Internet上通用的密钥交换框架,IKE在前者的框架基础上实际定义了一个密钥交换协议IKE设计目的设计目的lIPsec使用SA保护通信数据SA如何建立?lSA建立方式:手工创建+动态创建l手工创建使用环境:用户少+密钥更新慢l动态创建使用环境:用户多+密钥更新快l动态
31、创建要求自动创建与维护规则协议l动态创建、维护与管理SA的协议就是IKEIKE协议特点协议特点l两阶段:创建保护者IKE SA被保护IPsec SAlIKE ISA创建:协商保护套件执行D-H交换认证D-H交换认证IKE SA(基于ISAKMP)lIPsec SA创建:加密交换消息+消息与源认证l4模式:主模式+野蛮模式+快速模式+新群模式l4认证:数字签名认证+公钥加密认证+修正的公钥加密认证+预共享密钥认证Diffie-Hellman lDiffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分 lWhitefield与Martin Hellm
32、an在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥.然后可以用这个密钥进行加密和解密.但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密.双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息.l该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换.这种密钥交换技术的目的在于使得两
33、个用户安全地交换一个秘密密钥以便用于以后的报文加密. Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度.简言之,可以如下定义离散对数:首先定义一个素数p的原根,为其各次幂产生从1 到p-1的所有整数根,也就是说,如果a是素数p的一个原根,那么数值 a mod p, a2 mod p, ., ap-1 mod p 是各不相同的整数,并且以某种排列方式组成了从1到p-1的所有整数. 对于一个整数b和素数p的一个原根a,可以找到惟一的指数i,使得 b = ai mod p 其中0 i (p-1) 指数i称为b的以a为基数的模p的离散对数或者指数.该值被记为inda ,p(b)
34、. l基于此背景知识,可以定义Diffie-Hellman密钥交换算法.该算法描述如下: 1,有两个全局公开的参数,一个素数q和一个整数a,a是q的一个原根. 2,假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA3,用户A产生共享秘密密钥的计算方式是K = (YB)XA mod q.同样,用户B产生共享秘密密钥的计算是K = (YA)XB mod q.这两个计算产生相同的结果: K = (YB)XA mod q = (aXB mod q)XA mod q = (aXB)XA mod q (根据取模运算规则得到) = aXBXA mod q = (aXA)XB mod q
35、= (aXA mod q)XB mod q = (YA)XB mod q 因此相当于双方已经交换了一个相同的秘密密钥. 4,因为XA和XB是保密的,一个敌对方可以利用的参数只有q,a,YA和YB.因而敌对方被迫取离散对数来确定密钥.例如,要获取用户B的秘密密钥,敌对方必须先计算 XB = inda ,q(YB) 然后再使用用户B采用的同样方法计算其秘密密钥K. Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难.对于大的素数,计算出离散对数几乎是不可能的. l下面给出例子.密钥交换基于素数q = 97和97的一个原根
36、a = 5.A和B分别选择私有密钥XA = 36和XB = 58.每人计算其公开密钥 YA = 536 = 50 mod 97 YB = 558 = 44 mod 97 在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下: K = (YB)XA mod 97 = 4436 = 75 mod 97 K = (YA)XB mod 97 = 5058 = 75 mod 97 从|50,44|出发,攻击者要计算出75很不容易. ISAKMP协议协议lISAKMP概述lISAKMP头格式lISAKMP载荷格式lISAKMP安全协商lISAKMP交换类型ISAKMP概述概述lISAKMP
37、定义协商、建立、修改和删除SA的过程和包格式 (RFC2408),属于请求-应答协议l ISAKMP被设计为与密钥交换协议无关的协议,即不受任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制l 通信双方通过ISAKMP向对方提供自己支持的功能从而协商共同的安全属性l ISAKMP消息可通过TCP和UDP传输:Port号500ISAKMP协议头协议头发起者与接收者发起者与接收者cookiel8bit串,由ISAKMP交换的发起者/接收者生成l会话过程中保持不变,用于验证l生成的方法可不同,建议采用MD5、SHA-1或其它支持的hash函数利用通信方源地址、目的地址、UDP/TCP源端口、目
38、的端口、生成时间等生成l 必须保证唯一下一载荷下一载荷交换类型交换类型标志标志 使用8bit中的低3位,用于加密同步 1加密比特 2提交比特 3仅认证比特消息消息ID与长度与长度消息ID密钥交换保护协议ID,在IKE中指相同IKE SA保护下的不同协议SA,IKE协议建立时为0长度包括ISAKMP头部在内的所有载荷总长度ISAKMP载荷类型载荷类型通用载荷安全关联载荷建议载荷变换载荷密钥交换载荷标识载荷证书载荷证书请求载荷杂凑载荷签名载荷nonce载荷通知载荷删除载荷厂商ID载荷ISAKMP报文格式报文格式ISAKMP载荷格式载荷格式见文档(RFC2408)ISAKMP协议标准SA数据属性数据
39、属性ESP加密算法加密算法ISAKMP安全协商安全协商安全通道协商+安全服务协商安全通道协商建立一个已通过身份验证和安全保护的通道;安全服务协商为其它协议提供协商安全服务定于了5种密钥交换:不分阶段+不完整交换(没有具体定义密钥交换协议)+先cookie,后才能与SPI标示SAISAKMP策略协商策略协商概述概述要建一个SA,首先要协商好采用的安全策略。由于策略可能非常复杂,所以要能灵活地解析SA,提案以及转码载荷,这样才能构建和处理复杂的策略。一个SA内,可能包含一个或多个提案,而每个提案可能包含一种或多种转码方式。ISAKMP策略协商策略协商报文报文SA载荷的DOI字段定义了一个特殊的解释
40、域。一个DOI定义了如何用ISAKMP为那种特定的服务建立SA。ISAKMP策略协商策略协商解释解释提案载荷中包含了一个提案编号(可能存在多个提案),还有一个特殊字段,指出后面跟随有多少转码载荷。转码载荷中,包含了一个转码编号,以及一个转码标识符,指出具体的转码类型。紧跟在转码之后,是一些特殊的属性(如有),与那种具体的转码方式有关(用属性载荷进行编码)ISAKMP策略协商策略协商提案示提案示例例提案ESP转码1:随HMAC-SHA使用3DES转码2:随HMAC-MD5使用3DES转码3:随HMAC-SHA使用DES转码4:随HMAC-MD5使用DESIKE交换机制交换机制概述概述ISAKMP
41、本身没有定义具体的密钥交换。IKE用ISAKMP语言来定义密钥交换。IKE并非IPSec专用。其它协议需要,比方说RIPv2或OSPF,便可用它协商具体的安全服务。IKE使用了两个阶段的ISAKMP。 IKE SA阶段+ IPSec SA,与ISAKMP不一样,在IKE载荷中,只为自身SA的属性进行了定义。IKE交换机制交换机制概述概述IKE载荷中没有定义IPsec SA的属性。这种定义留在解释域(DOI)进行。DOI规定了IKE在阶段2交换中需要协商解决的可选及必需属性两种阶段1交换模式+一种阶段2交换模式+两种额外的交换(维护SA)。阶段1交换:主模式+野蛮模式,其中前者是必需的,后者是可
42、选的。阶段2交换:快模式IKE交换机制交换机制参数参数IKE SA提供了各种各样的参数,它们是由通信双方协商制定所有的参数称为一个保护组件(加密算法,散列算法,验证方法以及D-H组)。保护组件中的每一种属性都包含在转码载荷中。IKE定义了5个组(3个属D-H交换,2个属椭圆曲线加密算法) D-H组定义了交换时通信双方要采用的参数。IKE交换机制交换机制D-H交换示交换示例例通信双方可以通过不安全的途径协商共享密钥A、B通信双方P是大素数,q是P有限域的乘法群的原根Ar1=random,y1=qr1mod PBr2=random,y2=qr2mod Pr1=0p-2KAB=y2r1mod P=q
43、r1r2mod P KAB=y1r2mod P=qr1r2mod P IKE交换机制交换机制预共享密钥预共享密钥IKE SA与IPSec SA的区别在于前者是双向的使用数字签名算法(DSS)得到的数字签名;使用RSA算法得到的数字签名;通过交换加密的nonce,从而实现的两种类似的验证方法。通信双方会生成四种机密:SKEYID,SKEYID-d, SKEYID-a, SKEYID-eIKE交换机制交换机制主模式交换主模式交换三个步骤:模式协商D-H交换nonce交换第一次交换:协商SA的各项参数:在cookie中第二次交换:D-H交换,并生成SKEYID状态;第三次交换:通信双方标定自己的身份
44、,并相互验证散列摘要,报文是用SKEYID-e加密的nonce交换用于对对方身份验证使用六条报文,建立IKE SA。特点:身份保护,ISAKMP协商能力的完全利用IKE交换机制交换机制主模式交换主模式交换IKE交换机制交换机制数字签名主数字签名主模式模式Nx-x的nonce载荷,NonceCert-证书,SIG-签名最后的两条报文也是加密了的。IKE交换机制交换机制公钥加密主公钥加密主模式模式Nx-加密的nonce载荷,其中,pub-x指用x的公钥进行加密。两次加密是一个不足。不能把两个载荷连起来加密,接收者无法确定两种载荷的真实长度。IKE交换机制交换机制改进公钥加主模式改进公钥加主模式 k
45、e-x表示用密钥Ne-x进行对称密钥加密。密钥的生成:Ne-i=PRF(Ni, CKY-I),Ne-r=PRF(Nr, CKY-R)这里PRF是伪随机函数(散列函数),CKY-I是发起者Cookie, CKY-R是响应者的Cookie。IKE交换机制交换机制野蛮交换模式野蛮交换模式3条报文完成交换。不提供身份保护。发起者:保护组件列表,D-H公共值,nonce以及身份资料。响应者:保护组件列表,D-H公共值,nonce,身份资料和验证载荷(散列载荷/签名载荷)发起者:验证载荷(散列载荷/签名载荷)IKE交换机制交换机制野蛮交换模式缺陷野蛮交换模式缺陷远程访问时,由于发起者的地址不可能被响应者提
46、前知道,而且双方都想用预共享密钥验证方法,要建立IKE SA,只有用此模式才可行。发起者已知响应者的策略,或者对策略的理解非常全面,用此模式可更快地建立IKE SAIKE交换机制交换机制阶段阶段2-快速交换模式快速交换模式IKE SA建立后,可用它为其它安全协议(如IPSec)生成相应的SA。这些SA是通过快速模式交换建立的。在一个SA之下,可以并发地使用快速模式交换建立多个SAIKE交换机制交换机制新群模式新群模式IKE交换机制交换机制阶段阶段2-快速交换模式快速交换模式IPsec优点优点机密性:IKE使用D-H组中的加密算法。IKE定义了5个D-H组,其中3个组使用乘幂算法(模数位数分别是
47、768、1024、1680位),另两个组使用椭圆曲线算法(字段长度分别是155、185位)。因此,IKE的加密算法强度高,密钥长度大。完整性:在阶段1和2交换中,IKE通过交换验证载荷(包含散列值或数字签名)保护交换消息的完整性,并提供对数据源的身份验证。IKE列举了4种验证方法:预共享密钥、数字签名、公钥加密和改进的公钥加密。IPsec优点优点抗DOS:对任何交换来说,第一步都是cookie交换。每个通信实体都生成自己的cookie,cookie提供了一定程度的抗拒绝服务攻击的能力。对任何交换来说,第一步都是cookie交换。每个通信实体都生成自己的cookie,cookie提供一定程度抗拒
48、绝服务攻击的能力。防中间人攻击:中间人攻击包括窃听、插入、删除、修改报文、反射报文回到发送者、重放旧报文以及重定向报文。ISAKMP的特征能阻止这些攻击。IPsec优点优点完美的向前保密:完美向前保密(PFS),指即使攻击者破解了一个密钥,也只能还原这个密钥加密的数据,而不能还原其他的加密数据。要达到理想的PFS,一个密钥只能用于一种用途,生成一个密钥的素材也不能用来生成其他的密钥。可以把采用短暂的一次性密钥的系统称为“PFS”。IPsec的解释域的解释域DOIDOI专用协议标识的一套命名方案;域的解释;安全策略集合;DOI专用安全载荷内容的语法;DOI专用安全关联特性的语法;额外的密钥交换类型;附加的提示信息类型IPsec问题问题更小子集:AH与ESP功能重复更小子集与NAT协同:NAT改变IP头通不过AH+NAT新校验和通不过传输层校验+ NAT改变IP头共享密钥IKE通不过+NAPT修改端口号认证通不过+IKE使用固定端口号使得NATP不能区分不同连接与L2TP结合:互补不足,问题:重复封装、包过长、反复认证。支持VPN缺陷:不支持基于用户认证+不支持动态地址与多种VPN应用+不支持多协议+IKE过于灵活与复杂导致管理不可控没有也不能增强IP网的QoS保证机制
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。