1、1nIP安全安全nIP安全性概述安全性概述nIPSec协议协议nWeb安全安全nWeb安全概述安全概述nSSL/TLS协议协议2应用层应用层HTTP,SMTP,POP,TELNET,FTP传输层传输层TCP,UDP网络层网络层IP,ARP,RARP,ICMP,IGMP数据链路层数据链路层MAC物理层物理层网卡网卡3 用户数据用户数据用户数据用户数据应用头应用头应用数据应用数据TCP头头应用数据应用数据TCP头头IP头头应用数据应用数据TCP头头IP头头以太网帧头以太网帧头TCP分段分段IP数据报数据报以太网帧以太网帧142020以太网帧尾以太网帧尾446到到1500字节字节应用应用TCPIP以
2、太网以太网驱动程序驱动程序以太网以太网用户数据经过协议栈的封装过程用户数据经过协议栈的封装过程nTCP/IP协议体系是一个开放的协议平台,协议体系是一个开放的协议平台,但是缺乏安全性。但是缺乏安全性。n缺乏对通信双方身份真实性的鉴别能力缺乏对通信双方身份真实性的鉴别能力n缺乏对传输数据的完整性和机密性保护的机缺乏对传输数据的完整性和机密性保护的机制制n由于由于IP地址可软件配置以及基于源地址可软件配置以及基于源IP地址地址的鉴别机制,的鉴别机制,IP层存在:层存在:n业务流被监听和捕获、业务流被监听和捕获、IP地址欺骗、信息泄地址欺骗、信息泄露和数据项篡改(数据完整性的破坏)、身露和数据项篡改
3、(数据完整性的破坏)、身份伪装、拒绝服务等攻击。份伪装、拒绝服务等攻击。5n应用层应用层n电子邮件安全协议电子邮件安全协议(PEM、S/MIME、PGP)n远程登陆的安全协议远程登陆的安全协议(SSH)n SET、Kerberos、SHTTPn传输层传输层 SSL/TLSn网络层网络层IP 安全性安全性(IPSec)6n1994年年IETF专门成立专门成立IP安全协议工作组,来制定和推动一套安全协议工作组,来制定和推动一套称为称为IPSec的的IP安全协议标准。安全协议标准。n1995年年8月公布了一系列关于月公布了一系列关于IPSec的建议标准。的建议标准。n1996年,年,IETF公布下一
4、代公布下一代IP的标准的标准IPv6,把鉴别和加密作为,把鉴别和加密作为必要的特征,必要的特征,IPSec成为其必要的组成部分。成为其必要的组成部分。n1999年底,年底,IETF完成了完成了IPSec扩展,在扩展,在IPSec中加上了中加上了ISAKMP(因特网安全关联和密钥管理协议),(因特网安全关联和密钥管理协议),IKE(密钥交(密钥交换协议)和换协议)和Oakley(密钥确定协议)。(密钥确定协议)。nISAKMP/IKE/Oakley支持自动建立加密、鉴别信道,以及密钥的自动支持自动建立加密、鉴别信道,以及密钥的自动安全分发和更新。安全分发和更新。n幸运的是,幸运的是,IPv4也可
5、以实现这些安全特性。也可以实现这些安全特性。nIPSec成为成为IP层的一部分,在我们的计算机中是层的一部分,在我们的计算机中是TCP/IP协议栈协议栈的一部分软件,它调用原始的一部分软件,它调用原始IP协议的功能,被协议的功能,被TCP或或UDP等等协议调用。协议调用。7nIPsec提供提供n认证(认证(authentication):确保收到的数据报是从报头中):确保收到的数据报是从报头中的源端发出的的源端发出的n机密性(机密性(confidentiality):防止第三方窃听):防止第三方窃听n密钥协商(密钥协商(key management)nIPSec在在IPv6中是强制的,在中是强
6、制的,在IPv4中是可选的,这中是可选的,这两种情况下都是采用在主两种情况下都是采用在主IP报头后面接续扩展报头报头后面接续扩展报头的方法实现的。的方法实现的。nAH(Authentication Header)是鉴别的扩展报头是鉴别的扩展报头nESP header(Encapsulating Security Payload)是实现加密是实现加密和鉴别和鉴别(可选可选)的扩展报头的扩展报头8nIPSec的主要特征是可以支持的主要特征是可以支持IP层所有流量的加密和层所有流量的加密和/或鉴别。因此可以增强所有分布式应用的安全性。或鉴别。因此可以增强所有分布式应用的安全性。nIPSec为在为在L
7、AN、WAN和和Internet上的通讯提供安全上的通讯提供安全性性n 分支办公机构通过分支办公机构通过Internet互连。互连。(Secure VPN)n通过通过Internet的远程访问。的远程访问。n与合作伙伴建立与合作伙伴建立extranet与与intranet的互连。的互连。n增强电子商务安全性。增强电子商务安全性。9n端到端(端到端(end-end):主机到主机的安全通信主机到主机的安全通信n端到路由(端到路由(end-router):主机到路由设备之主机到路由设备之间的安全通信间的安全通信n路由到路由(路由到路由(router-router):路由设备之间路由设备之间的安全通信
8、,常用于在两个网络之间建立虚的安全通信,常用于在两个网络之间建立虚拟私有网(拟私有网(VPN)。)。10一个一个IP安全的方案安全的方案11n弥补弥补IPv4在协议设计时缺乏安全性考虑的在协议设计时缺乏安全性考虑的不足。不足。n位于传输层之下,对应用和最终用户透明。位于传输层之下,对应用和最终用户透明。n在防火墙或路由器中实现时,在防火墙或路由器中实现时,n可以防止可以防止IP旁路。旁路。n可以对所有跨越周界的流量实施强安全性。公可以对所有跨越周界的流量实施强安全性。公司或工作组内部的通信不会导致招致与安全处司或工作组内部的通信不会导致招致与安全处理相关的开销。理相关的开销。n需要时需要时IP
9、Sec可以提供个人安全性。可以提供个人安全性。12n四个主要的组成部分:四个主要的组成部分:n体系结构体系结构n包括总体概念,安全需求,定义,以及定义包括总体概念,安全需求,定义,以及定义IPSec技术的技术的机制;机制;n认证头(认证头(AH)协议)协议n为数据包提供身份验证、完整性和抗重播功能,并签署整为数据包提供身份验证、完整性和抗重播功能,并签署整个数据报,但不加密该包,因此不提供机密性。个数据报,但不加密该包,因此不提供机密性。n封装安全载荷(封装安全载荷(ESP)协议)协议n提供身份验证、完整性、抗重播、机密性和一定程度的流提供身份验证、完整性、抗重播、机密性和一定程度的流量保护。
10、量保护。n密钥管理(密钥管理(IKE)协议)协议n用于密钥交换用于密钥交换1314n密钥管理密钥管理nIKE执行两个阶段的操作:密钥交换和数据保护。执行两个阶段的操作:密钥交换和数据保护。n通过在彼此通信的计算机或网关上协商,从而达成一致的加密和身通过在彼此通信的计算机或网关上协商,从而达成一致的加密和身份验证算法,保证机密性和身份验证。密钥安全交换使用份验证算法,保证机密性和身份验证。密钥安全交换使用DH机制,机制,可以生成可以生成768位或位或1024位的主密钥的密钥材料。位的主密钥的密钥材料。n加密算法:描述将各种不同加密算法用于加密算法:描述将各种不同加密算法用于ESP的文档的文档,加
11、密算法有,加密算法有DES、3DES,ESP中强制实施的加密算法是中强制实施的加密算法是DES-CBC。n鉴别算法鉴别算法:描述将各种不同鉴别算法用于描述将各种不同鉴别算法用于AH以及以及ESP鉴别选项的文鉴别选项的文档;档;身份验证方式有身份验证方式有Kerberos v5、公钥证书和预共享密钥。、公钥证书和预共享密钥。n完整性算法包括完整性算法包括MD5和和SHA1。ESP和和AH的两个强制实施的验证器的两个强制实施的验证器是是HMAC-SHA-96和和HMAC-MD5-96。n解释域解释域n包括一些参数,批准的加密和鉴别算法标识,以及运行参数等。包括一些参数,批准的加密和鉴别算法标识,以
12、及运行参数等。15nIPSec文档文档nRFC2401:安全结构概述安全结构概述nRFC2402:IP扩展的包认证概述(扩展的包认证概述(IPv4和和IPv6)nRFC2406:IP扩展的包加密描述(扩展的包加密描述(IPv4和和IPv6)nRFC2408:特定加密机制特定加密机制 n16nSA的概念是的概念是IPsec的基础,有的地方也译为安全联盟。的基础,有的地方也译为安全联盟。nSA是发送与接收者之间是发送与接收者之间对某些要素的一种协定,如对某些要素的一种协定,如IPsec协议的使用、协议的操作模式、密码算法、密钥、用于协议的使用、协议的操作模式、密码算法、密钥、用于保护它们之间数据流
13、的主密钥的生存期等。保护它们之间数据流的主密钥的生存期等。nSA安全关联是策略和密钥的结合,定义了保护端到端通安全关联是策略和密钥的结合,定义了保护端到端通信的安全服务、机制和密钥。信的安全服务、机制和密钥。nSA可以看成是两个可以看成是两个IPSec对等端之间的一条隧道,可以为对等端之间的一条隧道,可以为不同类型的流量创建独立的不同类型的流量创建独立的SA。比如为。比如为TCP创建独立的创建独立的SA,也可以为,也可以为UDP创建独立的创建独立的SA。nSA是单向的,是单向的,如果需要一个对等关系,即双向安全交换,如果需要一个对等关系,即双向安全交换,则需要两个则需要两个SA。nSA提供的具
14、体安全服务取决于所选的安全协议(提供的具体安全服务取决于所选的安全协议(AH或或ESP)、模式、)、模式、SA作用的两端点和安全协议所需的服务。作用的两端点和安全协议所需的服务。17n每个每个SA通过三个参数来唯一标识通过三个参数来唯一标识 n安全参数索引安全参数索引(SPI,Security Parameters Index):一个一个32位位串,由位位串,由AH和和ESP携带,使得接收系统能选择合适的携带,使得接收系统能选择合适的SA处理接收数据报。处理接收数据报。n对一个单播的对一个单播的SA来说,来说,SPI本身就可确定一个本身就可确定一个SA,或与,或与IPSec协议类协议类型一起来
15、确定型一起来确定SA,这是因为,这是因为SPI的值是由接收端产生的,这时的值是由接收端产生的,这时SPI是是必需的字段;必需的字段;n对多播的对多播的SA束来说,束来说,SPI和可选的和可选的IPSec协议号加上目的地址一起指协议号加上目的地址一起指定一个定一个SA,因为多播的,因为多播的SA束是由一个多播控制器产生而不是束是由一个多播控制器产生而不是IPSec接收者产生,其中接收者产生,其中1-255之间的之间的SPI值被值被IANA保留将来使用。保留将来使用。nIP目的地址目的地址:表示表示SA的目的地址,可以是用户终端系统、的目的地址,可以是用户终端系统、防火墙或路由器。防火墙或路由器。
16、n安全协议标识安全协议标识:表示该关联是一个表示该关联是一个AH安全关联或安全关联或ESP安安全关联。全关联。18nSA管理的两大任务就是管理的两大任务就是SA的创建和删除的创建和删除nSA的管理可以手工进行的管理可以手工进行n安全参数由管理员按安全策略手工指定、维安全参数由管理员按安全策略手工指定、维护。护。n容易出错,手工建立起来的容易出错,手工建立起来的SA没有生存周期没有生存周期限制。限制。n也可以通过也可以通过IKE完成完成n如果安全策略要求建立安全、保密的连接,如果安全策略要求建立安全、保密的连接,但却不存在相应的但却不存在相应的SA,IPsec的内核会自动启的内核会自动启动或触发
17、动或触发IKE进行协商。进行协商。19nIPsec有两种操作模式有两种操作模式n传输模式(传输模式(Transport Mode)n隧道模式(隧道模式(Tunnel Mode)n传输模式适用于端主机的通信,而隧道模式主要传输模式适用于端主机的通信,而隧道模式主要用于网关之间或网关与主机之间,也适用于主机用于网关之间或网关与主机之间,也适用于主机之间的通信。之间的通信。n根据根据RFC2401的规定,这两种模式的区别是:传的规定,这两种模式的区别是:传输模式中输模式中仅对上层协议的报文仅对上层协议的报文提供安全服务,而提供安全服务,而IP报头是不受保护的;而隧道模式是对报头是不受保护的;而隧道模
18、式是对上层协议上层协议和和IP报头报头都提供安全服务。也就是说,两种模式都提供安全服务。也就是说,两种模式的实质区别是对数据包保护的范围不同。的实质区别是对数据包保护的范围不同。20n为上层协议提供保护,增加了为上层协议提供保护,增加了IP包负载的包负载的保护。保护。n使用原始的明文使用原始的明文IP头,源头,源/目的地址不变,目的地址不变,只加密数据部分(包括它的只加密数据部分(包括它的TCP和和UDP头),头),所有安全相关信息包括在所有安全相关信息包括在AH和和/或或ESP头中。头中。n传输模式适合于端到端的安全通信。传输模式适合于端到端的安全通信。21n加密整个加密整个IP数据包数据包
19、包括全部的包括全部的TCP/IP或或UDP/IP头和数据,并用自己的地址作为源地址加头和数据,并用自己的地址作为源地址加入到入到新的新的IP头头。n当通过隧道的数据到达目的网关(即隧道的另一当通过隧道的数据到达目的网关(即隧道的另一头),利用头),利用AP和和/或或ESP头中的相关的安全信息对头中的相关的安全信息对加密过的原加密过的原IP数据报进行处理,将还原的高层数数据报进行处理,将还原的高层数据按原据按原IP数据报所标明的数据报所标明的IP地址递送,完成真正地址递送,完成真正的源到目的之间的安全传输。的源到目的之间的安全传输。n隧道模式适合于路由到路由或端到路由的安全通隧道模式适合于路由到
20、路由或端到路由的安全通信。信。22n然而,在实际的应用中,是对上层数据还是对整个数据包进行保护,其操作然而,在实际的应用中,是对上层数据还是对整个数据包进行保护,其操作方式、执行效率和开销差别很小。方式、执行效率和开销差别很小。n传输模式所能达到的保护目的,隧道模式也完全可以达到。传输模式所能达到的保护目的,隧道模式也完全可以达到。n虽然在使用隧道模式时因为要在数据包外层增加一个新虽然在使用隧道模式时因为要在数据包外层增加一个新IP头而比传输模式多头而比传输模式多占用一定的带宽,但可以使用头部压缩技术来解决。占用一定的带宽,但可以使用头部压缩技术来解决。nIPSec在在VPN的应用中,由于路由
21、器和网关的存在,几乎都是使用隧道模式的应用中,由于路由器和网关的存在,几乎都是使用隧道模式来保护数据。来保护数据。n 23nAH为为IP包提供数据完整性和认证功能,认证包提供数据完整性和认证功能,认证范围为整个包,不提供机密性。范围为整个包,不提供机密性。n利用利用MAC码实现认证,双方必须共享一个密码实现认证,双方必须共享一个密钥,认证算法由钥,认证算法由SA指定指定n认证的范围:整个包认证的范围:整个包n两种认证模式:两种认证模式:n传输模式:不改变传输模式:不改变IP地址,插入一个地址,插入一个AH;n隧道模式:生成一个新的隧道模式:生成一个新的IP头,把头,把AH和原来的和原来的整个整
22、个IP包作为新包作为新IP包的载荷。包的载荷。24nNext Header:8位,指明位,指明AH头之后的载荷类型,值取自于头之后的载荷类型,值取自于IANA(The Internet Assigned Numbers Authority,互联网数字分配机构)的,互联网数字分配机构)的IP协议号协议号的定义,如的定义,如4表明下一个载荷是表明下一个载荷是IPv4,41表示表示IPv6。nPayload Length:8位,以位,以32位字为单位的认证数据字段的长度。采用以位字为单位的认证数据字段的长度。采用以32位的字为单位的值减位的字为单位的值减2。缺省情况下完整性检查值是一个。缺省情况下完
23、整性检查值是一个96位的位的CRC验证验证值,再加上值,再加上3个个32位的固定字段,则这个字段的值应为位的固定字段,则这个字段的值应为4。nReserved:16位,保留位,保留nSPI:数据报识别:数据报识别SA的的32位伪随机数位伪随机数nSequence Number:单调递增计数值,用来避免重放攻击:单调递增计数值,用来避免重放攻击nAuthentication Data:长度可变,但是必须是:长度可变,但是必须是32位的倍数,包含针对这个位的倍数,包含针对这个包的完整性校验值(包的完整性校验值(ICV)或者)或者MAC。传输模式传输模式隧道模式隧道模式应用应用AH之前之前26传输模
24、式传输模式隧道模式隧道模式应用应用AH之前之前27n提供保密功能,包括报文内容的机密性和有限的通提供保密功能,包括报文内容的机密性和有限的通信量的机密性,也可以提供可选的认证服务。信量的机密性,也可以提供可选的认证服务。n将需要保密的将需要保密的IP分组或上层协议部分(即传输层数分组或上层协议部分(即传输层数据)封装到一个据)封装到一个ESP载荷中,然后对此载荷进行相载荷中,然后对此载荷进行相应的安全处理,如进行加密、认证处理等。应的安全处理,如进行加密、认证处理等。ESP只只认证认证ESP头之后的信息。头之后的信息。n加密算法和认证算法由加密算法和认证算法由SA指定。指定。n两种工作模式:两
25、种工作模式:n传输模式:将上层协议部分封装到传输模式:将上层协议部分封装到ESP载荷之中,采用载荷之中,采用当前的当前的IP头部。头部。n隧道模式:将整个隧道模式:将整个IP封装到封装到ESP载荷之中,并在载荷之中,并在ESP头头部添加新的部添加新的IP头部,以网关地址为其源地址。头部,以网关地址为其源地址。28nESP协议数据单元由三部分组成协议数据单元由三部分组成n头部头部n加密数据加密数据n可选的尾部可选的尾部传输模式传输模式隧道模式隧道模式应用应用ESP之前之前30隧道模式隧道模式应用应用ESP之前之前传输模式传输模式313233n完成安全参数的协商和管理。完成安全参数的协商和管理。n
26、通过安全关联(通过安全关联(SA,Sercurity Association)描述描述IPSec数据封装的安全参数。数据封装的安全参数。nSA创建方式:创建方式:n手工的:通过管理员手动的完成手工的:通过管理员手动的完成n自动的:自动的:Internet 密钥交换协议密钥交换协议 IKEn作用:在作用:在IPSec通信双方之间,建立起共享安全参数及验证过通信双方之间,建立起共享安全参数及验证过的密钥(建立的密钥(建立“安全关联安全关联”),),IKE代表代表IPSec对对SA进行协商进行协商34nIKE用于在两个通信实体协商和建立安全伙伴用于在两个通信实体协商和建立安全伙伴SA,交换密钥;,交
27、换密钥;nIKE包含了包含了3个协议的有关部分:个协议的有关部分:ISAKMP、Oakley和和SKEME。IKE是在是在ISAKMP的框架内融合使用了部分的框架内融合使用了部分Oakley和部分和部分SKEME。nOakley和和SKEME定义了通信双方建立共享密钥必须采取的定义了通信双方建立共享密钥必须采取的步骤;步骤;nISAKMP(Internet Security Association and Key Management Protocol)框架,是一个针对认证和密钥交换的框架,是一个针对认证和密钥交换的框架。框架。n为正确实施为正确实施IKEv1,需遵守三个文档的规定:,需遵守三
28、个文档的规定:n基本基本ISAKMP规范(规范(RFC2408)、)、IPSec解释域(解释域(RFC2407)、)、IKE规规范本身(范本身(RFC2409)。)。35nIPSec 协议本身没有提供在通信实体间建立安全协议本身没有提供在通信实体间建立安全伙伴的方法,利用伙伴的方法,利用 IKE 建立安全建立安全伙伴。伙伴。nIKE的用途就是在的用途就是在IPSec通信双方之间,建立起共享安全参数及验证过通信双方之间,建立起共享安全参数及验证过的密钥,亦即建立的密钥,亦即建立“安全关联安全关联”关系,并且实现安全关系,并且实现安全伙伴的集中化管理,伙伴的集中化管理,减少连接时间。减少连接时间。
29、nIKE为为IPSec通信双方提供密钥因子,以用于生成加密密钥和验证密钥。通信双方提供密钥因子,以用于生成加密密钥和验证密钥。另外,另外,IKE也为也为IPSec协议协议AH和和ESP协商协商SA。nIKE协商的最终结果:一个通过验证的密钥,以及建立双方共享的安全协商的最终结果:一个通过验证的密钥,以及建立双方共享的安全服务参数集合(产生服务参数集合(产生IPsec的的SA)n根据生成密钥和保护对象的不同,根据生成密钥和保护对象的不同,IKE协议的执行分成两个独立的阶段:协议的执行分成两个独立的阶段:n第一阶段:协商并创建一个通信信道(第一阶段:协商并创建一个通信信道(IKE SA),对该信道
30、进行验证,为),对该信道进行验证,为双方进一步的双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务;通信提供机密性、消息完整性以及消息源认证服务;n第二阶段:使用已建立的第二阶段:使用已建立的IKE SA来建立来建立IPsec SA36nISAKMP(Internet Security Association Key Management Protocol,Internet安全联盟密钥管理协议)由安全联盟密钥管理协议)由RFC2408定义,定义了协商、建立、定义,定义了协商、建立、修改和删除修改和删除SA的过程和包格式。的过程和包格式。nISAKMP为为SA的属性和协商、修改、删除
31、的属性和协商、修改、删除SA的方法提供了一个通用的的方法提供了一个通用的框架,框架,但没有定义具体的但没有定义具体的SA格式,也没有定义任何密钥交换协议的细格式,也没有定义任何密钥交换协议的细节或具体的加密算法、密钥生成技术、认证机制,它是与密钥交换独节或具体的加密算法、密钥生成技术、认证机制,它是与密钥交换独立的,可以被不同的密钥交换协议使用。立的,可以被不同的密钥交换协议使用。nISAKMP报文可以利用报文可以利用UDP或者或者TCP,端口都是,端口都是500,一般情况下常用,一般情况下常用UDP协议。协议。nISAKMP双方交换的内容称为双方交换的内容称为载荷载荷(payload),),
32、ISAKMP定义了定义了13种种载荷,一个载荷就像积木中的一个载荷,一个载荷就像积木中的一个“小方块小方块”,这些载荷按照某种规则,这些载荷按照某种规则“叠放叠放”在一起,然后在最前面添加上在一起,然后在最前面添加上ISAKMP头部,这样就组成了一头部,这样就组成了一个个ISAKMP报文,这些报文按照一定的模式进行交换,从而完成报文,这些报文按照一定的模式进行交换,从而完成SA的的协商、修改和删除等功能。协商、修改和删除等功能。nISAKMP也是也是IKE中在配置中在配置IPSEC VPN的时候唯一可设置的。的时候唯一可设置的。nISAKMP定义了交换的包结构。定义了交换的包结构。37nISA
33、KMP包含两个协商阶段,不同阶段可以使用不同的密包含两个协商阶段,不同阶段可以使用不同的密钥交换协议定义的交换。钥交换协议定义的交换。n阶段阶段1为通信双方建立一个为通信双方建立一个ISAKMP SA,以建立对通信双方此后的,以建立对通信双方此后的协商过程的保护协定。(协商过程的保护协定。(IKE SA)n阶段阶段2中将最终协商出用于通信双方正常通信的中将最终协商出用于通信双方正常通信的SA。(。(IPSec SA)38nOakley描述了一系列被称为描述了一系列被称为“模式模式”的密钥交换,的密钥交换,以及每一种密钥交换提供的服务。以及每一种密钥交换提供的服务。nSKEME(Secure K
34、ey Exchange Mechanism,安全,安全密钥交换机制)描述了一种提供密钥交换机制)描述了一种提供匿名匿名,抗否认抗否认,和,和快速密钥更新快速密钥更新的通用密钥交换技术。的通用密钥交换技术。nOakley和和SKEME定义了通信双方建立共享的验证定义了通信双方建立共享的验证密钥所必须采取的步骤和方法,包括:密钥所必须采取的步骤和方法,包括:n负载的构建;负载的构建;n信息负载的运送;信息负载的运送;n信息负载处理的顺序;信息负载处理的顺序;n信息负载被使用的方法。信息负载被使用的方法。39nIKEv1提供提供4种身份认证方式(种身份认证方式(IKEv2只保留了前两种):只保留了前
35、两种):n(1)基于数字签名()基于数字签名(Digital Signature),利用数字证书来表示身),利用数字证书来表示身份,利用数字签名算法计算签名来验证身份。份,利用数字签名算法计算签名来验证身份。n(2)基于预共享字符串()基于预共享字符串(PreShared Key),双方事先通过某种方),双方事先通过某种方式商定好一个双方共享的字符串。式商定好一个双方共享的字符串。n(3)基于公开密钥()基于公开密钥(Public Key Encryption),利用对方的公开密),利用对方的公开密钥加密身份,钥加密身份,并检查对方发来的该并检查对方发来的该HASH值作认证。值作认证。n(4)
36、基于修正的公开密钥()基于修正的公开密钥(Revised Public Key Encryption),对),对方式方式(3)进行修正。)进行修正。nIKE使用使用Diffie-Hellman组中的加密算法组中的加密算法,共定义了五个,共定义了五个Diffie-Hellman组,其中三个组使用乘幂算法(模长是组,其中三个组使用乘幂算法(模长是768、1024、1680位),另两个组使用椭圆曲位),另两个组使用椭圆曲线算法(模长是线算法(模长是155、185位)。位)。40nIKE定义了定义了4种工作模式:主模式、嚣张模式、种工作模式:主模式、嚣张模式、快速模式、新组模式。快速模式、新组模式。n
37、前面前面3个用于协商个用于协商SA,最后一个用于协商,最后一个用于协商Diffie-Hellman算法所用的组。算法所用的组。n主模式和嚣张模式用于第一阶段;主模式和嚣张模式用于第一阶段;n快速模式用于第二阶段;快速模式用于第二阶段;n新组模式用于在第一个阶段后协商新的组。新组模式用于在第一个阶段后协商新的组。41n1、策略协商交换、策略协商交换nIKE以以“保护组(保护组(Protectionsuite)”的形式来定义策略。的形式来定义策略。n保护组至少需定义加密算法(选择保护组至少需定义加密算法(选择DES或或3DES)、散列算法(选择)、散列算法(选择MD5或或SHA)、)、Diffie
38、-Hellman组以及验证方法(数字签名,公共密钥加密的两种验证,或者共享组以及验证方法(数字签名,公共密钥加密的两种验证,或者共享密钥认证)。密钥认证)。nIKE的策略数据库列出了所有保护组(按各个参数的顺序)。通信双方决定了的策略数据库列出了所有保护组(按各个参数的顺序)。通信双方决定了一个特定的一个特定的保护组后,以后的通信便必须根据它进行保护组后,以后的通信便必须根据它进行。n2、Diffie-Hellman共享值、共享值、nonce交换交换n交换交换DH算法生成共享密钥所需要的基本材料信息。算法生成共享密钥所需要的基本材料信息。n两端主机可以各自生成出完全一样的共享两端主机可以各自生
39、成出完全一样的共享“主密钥主密钥”,保护紧接其后的认证过程。,保护紧接其后的认证过程。n3、身份验证交换、身份验证交换n对对Diffie-Hellman共享秘密进行验证,同时还要对共享秘密进行验证,同时还要对IKE_SA本身进行验证。本身进行验证。n“主密钥主密钥”结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。n整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的“主密钥主密钥”提供机密性和完整性保证。提供机密性和完整性保证。n可能使用到多个
40、证书负载。可能使用到多个证书负载。42n 43n嚣张模式(嚣张模式(Aggressive mode,也有文献译为野蛮模,也有文献译为野蛮模式、主动模式或积极模式)交换也分为三个步骤,但式、主动模式或积极模式)交换也分为三个步骤,但只交换三条消息:只交换三条消息:n头两条消息协商策略,交换头两条消息协商策略,交换Diffie-Hellman公开值必需的辅公开值必需的辅助数据以及身份信息;助数据以及身份信息;n第二条消息认证响应方;第二条消息认证响应方;n第三条消息认证发起方,并为发起方提供在场的证据。第三条消息认证发起方,并为发起方提供在场的证据。nAggressive模式下,双方在第一次交换时
41、发送的身份模式下,双方在第一次交换时发送的身份信息是没有加密的。信息是没有加密的。nAggressive 模式的优点是信息交换快速,但加密被节模式的优点是信息交换快速,但加密被节省了。省了。44n 45n第二阶段协商建立第二阶段协商建立IPSec_SA,使用快速模式。,使用快速模式。n快速模式交换的信息必须由快速模式交换的信息必须由IKE SA来保护,即除了来保护,即除了ISAKMP报头外,报头外,所有的负载都要加密。所有的负载都要加密。nHASH负载和负载和SA负载必须紧跟在负载必须紧跟在ISAKMP报头后。报头后。HASH用于验证消用于验证消息,同时也提供了参与的证据。息,同时也提供了参与
42、的证据。n快速模式基本上是一次快速模式基本上是一次SA协商和提供重放保护的协商和提供重放保护的nonce交换。交换。nonce用用于产生新的密钥材料并阻止通过重放攻击产生虚假的安全联盟。于产生新的密钥材料并阻止通过重放攻击产生虚假的安全联盟。n密钥交换(密钥交换(KE)负载是可选的。)负载是可选的。n快速模式交换通过三条消息建立快速模式交换通过三条消息建立IPSec_SA:n头两条消息协商头两条消息协商IPSec_SA的各项参数值,并生成的各项参数值,并生成IPSec 使用的密钥。使用的密钥。包括使用哪种包括使用哪种IPSec协议(协议(AH或或ESP)、使用哪种)、使用哪种hash算法(算法
43、(D5或或SHA)、是否要求加密,若是,选择加密算法()、是否要求加密,若是,选择加密算法(DES或或3DES)。在上)。在上述三方面达成一致后,将建立起两个述三方面达成一致后,将建立起两个SA,分别用于入站和出站通信。,分别用于入站和出站通信。n第二条消息为响应方提供在场的证据;第二条消息为响应方提供在场的证据;n第三条消息为发起方提供在场的证据。第三条消息为发起方提供在场的证据。46n 47nIETF组织组织IP安全工作组于安全工作组于2005年发布了年发布了IKE的新版本,即的新版本,即IKEv2。它整合了它整合了IKEvl的相关的相关RFC文档,由文档,由RFC4306单一文档定义单一
44、文档定义IKEv2。nIKEv2协议保留了协议保留了IKEvl的基本功能,同时大幅精简了原有协议,在保证安全性的的基本功能,同时大幅精简了原有协议,在保证安全性的前提下,将第一阶段的交互由六条消息简化为四条,第二阶段改为可选,三条消前提下,将第一阶段的交互由六条消息简化为四条,第二阶段改为可选,三条消息也变为两条。息也变为两条。IKEv2还取消了一些在实际中使用意义不大的概念。还取消了一些在实际中使用意义不大的概念。nIKEvl中,通信双方的中,通信双方的SA生存期必须协商一致,而生存期必须协商一致,而IKEv2中双方可以独立选择中双方可以独立选择SA的生存期。的生存期。nIKEv2每个通用载
45、荷头部每个通用载荷头部要尽可能保持现有的语法和分配值,尽量兼容要尽可能保持现有的语法和分配值,尽量兼容IKEvl。nIKEv2的所有交互消息以请求的所有交互消息以请求/响应消息对的形式存在;响应消息对的形式存在;nIKEv2提供超时重传机制,发起方负责在等待时间到达后的消息重传,响应方则提供超时重传机制,发起方负责在等待时间到达后的消息重传,响应方则不负责消息重传,除非收到对方的重传请求。不负责消息重传,除非收到对方的重传请求。nIKEv2对对IKEvl存在的安全漏洞进行了修订,从抵御中间人攻击、抵御存在的安全漏洞进行了修订,从抵御中间人攻击、抵御DoS攻击、攻击、强身份认证和完美向前保护等方
46、面提高了密钥协商的安全性强身份认证和完美向前保护等方面提高了密钥协商的安全性。nIKEv2支持如扩展认证协议支持如扩展认证协议EAP、远程地址获取、远程地址获取、NAT穿越等新的特性,功能得穿越等新的特性,功能得到了很大的完善。到了很大的完善。nIKEv2取消了模式的概念,不存在取消了模式的概念,不存在“主模式主模式”、“野蛮模式野蛮模式”、“快速模式快速模式”、“带身份带身份保护的主模式保护的主模式”和和“新组模式新组模式”等交换类型。等交换类型。48nIKEv2协商协商SA分为两步实现:分为两步实现:n首先,在通信双方间建立经认证的安全信道首先,在通信双方间建立经认证的安全信道IKE_SA
47、;n然后,在然后,在IKE_SA保护下建立保护下建立CHILD_SA,即,即IKEvl中的中的IPSec_SA。49nIKEv2中的消息交换包括三种基本交换类型:中的消息交换包括三种基本交换类型:n初始交换(初始交换(Initial Exchange)、)、n协商子协商子SA交换(交换(CREATE_CHILD_SA Exchange)n信息交换(信息交换(Informational Exchange)。)。nIKEv2的初始交换对应的初始交换对应IKEvl的第一阶段交换,的第一阶段交换,即即IKE_SA阶阶段,包含两个步骤:段,包含两个步骤:IKE_SA_INIT和和IKE_AUTH,由四条
48、消,由四条消息构成。息构成。nIKE_SA_INIT的一对消息用来协商加密算法,交换的一对消息用来协商加密算法,交换nonce值,以进行值,以进行Diffie_Hellman交换计算,并得到后续各种密钥值。交换计算,并得到后续各种密钥值。nIKE_AUTH的一对消息用于双方认证,并交换身份和证书(可选)、的一对消息用于双方认证,并交换身份和证书(可选)、确定流量选择符。此轮交互用于建立首个确定流量选择符。此轮交互用于建立首个CHILD_SA。如果只需要一。如果只需要一个个CHILD_SA,则无需进行子,则无需进行子SA协商交换。协商交换。50nHDR是是IKE头,包括:版本号、头,包括:版本号
49、、SPIi(发起者给出的(发起者给出的SA标识);标识);nSAi1是发起者支持是发起者支持IKE_SA的密码算法集,包括的密码算法集,包括DH组、加密、认证算法;组、加密、认证算法;nKEi和和KEr是是Diffie-Hellman值;值;nNi和和Nr是是Nonce值;值;nSAr1是响应方在是响应方在SAi1内选择的算法;内选择的算法;nCERTREQ是可选的,指请求首选是可选的,指请求首选CA,表示应答方要求使用数字证书认证;,表示应答方要求使用数字证书认证;n表示载荷受表示载荷受SK_e、SK_a和和IKE 加密和认证算法进行加密和完整性保护;加密和认证算法进行加密和完整性保护;nI
50、Di,IDr用于认证,它基于预共享秘钥用于认证,它基于预共享秘钥SK_pi,SK_pr;nAuth是预共享秘钥是预共享秘钥(SK_pi,SK_pr)+ID或数字证书;或数字证书;nSAi2和和SAr2 用于生成用于生成CREATE_CHILD_SA;nTS标明被标明被SAi2,SAr2所保护的传输层参数(协议、端口范围和地址范围),如所保护的传输层参数(协议、端口范围和地址范围),如TSi=(0,0-65535,192.0.2.202-192.0.2.202),TSr=(0,0-65535,192.0.2.0-192.0.2.255)51nIKEv2在在IKE_SA_INIT中计算出密钥种子中
