1、信息安全原理与技术信息安全原理与技术郭亚军 宋建华 李莉清华大学出版社 第第7 7章章 网络安全协议网络安全协议 主要知识点:主要知识点:-简单的安全认证协议简单的安全认证协议 -Kerberos-Kerberos协议协议 -SSL-SSL协议协议 -IPSec-IPSec协议协议 -PGP-PGP 网络安全协议网络安全协议按照其完成的功能可以分为:(1 1)密钥交换协议)密钥交换协议:一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密,通常用于建立在一次通信中所使用的会话密钥。(2 2)认证协议)认证协议:认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证
2、协议等,用来防止假冒、篡改、否认等攻击。(3 3)认证和密钥交换协议)认证和密钥交换协议 :这类协议将认证和密钥交换协议结合在一起,是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证,如果认证成功,进一步进行密钥交换,以建立通信中的工作密钥,也叫密钥确认协议。网络层的安全协议:网络层的安全协议:IPSecIPSec 传输层的安全协议:传输层的安全协议:SSL/TLSSSL/TLS 应用层的安全协议应用层的安全协议:SHTTPSHTTP(Web安全协议)PGPPGP(电子邮件安全协议)S/MIMES/MIME(电子邮件安全协议)MOSSMOSS(电子邮件安全协议)PEMPEM
3、(电子邮件安全协议)SSHSSH(远程登录安全协议)Kerberos Kerberos(网络认证协议)等。常见的网络安全协议常见的网络安全协议7.17.1简单的安全认证协议简单的安全认证协议 Needham-Schroeder Needham-Schroeder 认证协议认证协议 是最为著名的早期的认证协议,许多广泛使用的认证协议都是以Needham-Schroeder协议为基础而设计的。Otway-ReesOtway-Rees协议协议 Otway-Rees协议的主要功能是完成身份的双向认证,使用对称密码。7.1.1 7.1.1 Needham-Schroeder Needham-Schroe
4、der 认证协议认证协议 Needham-Schroder协议的目的是使得通讯双方能够互相证实对方的身份并且为后续的加密通讯建立一个会话密钥(session key)。协议涉及三个主体:A和B,以及A,B信赖的可信第三方,也叫认证服务器(authentication server)S。Needham和Schroeder于1978年提出的基于共享密钥基于共享密钥体系的协议过程:体系的协议过程:图7.1 Needham-Schroeder认证过程 其中,Kas是A与S之间的共享密钥,Kbs是B与S之间的共享密钥。Kab 是认证服务器临时生成的密钥,用于A、B双方认证之后的加密通讯,称为会话密钥。N
5、a和Nb分别是A和B生成的随机量(nonce)。ABS13452(1)A S:A,B,Na(2)S A:Na,B,Kab,Kab,AKbsKas(3)A B:Kab,AKbs(4)B A:NbKab(5)A B:Nb-1Kab Needhaul-Scllroeder Needhaul-Scllroeder共享密钥协议的漏洞共享密钥协议的漏洞 假定有攻击者H记录下A与B之间执行Needham-Schroeder 共享密钥协议的一轮消息,并且进而破获了其会话密钥Kab(如经过蛮力攻击等),攻击者可以在第3步冒充A利用旧的会话密钥欺骗B。在这个攻击中,攻击者H首先向B发送一个他记录的从A发出的旧消息
6、,此消息用于向B表明是A在与B通讯并且Kab是会话密钥。B无法知道这是不是一个A发送的正常通讯请求,也不记得他过去曾经用过Kab作为会话密钥。遵循协议,B将向A发送一个加密的新随机量作为挑战。H截获之,并用Kab 解密得到此随机量,然后向B返回一个响应消息,使得B相信他正在用会话密钥 Kab与A通讯,而实际上A根本没有参加这一轮协议的运行。除非B记住所有以前使用的与A通信的会话密钥,否则B无法判断这是一个重放攻击,攻击者由此可以随意冒充A与B进行通讯了!DenningDenning协议协议使用时间戳修正了这个漏洞,改进的协议如下:其中T表示时间戳。T记录了认证服务器S发送消息(2)时的时间,A
7、、B根据时间戳验证消息的“新鲜性”,从而避免了重放攻击。(1)A S:A,B(2)S A:B,Kab,T,Kab,A,TKbsKas(3)A B:Kab,A,TKbs(4)B A:NbKab(5)A B:Nb-1Kab7.1.2 7.1.2 Otway-ReesOtway-Rees协议协议 图7.2 Otway-Rees认证过程 标号1表示A产生一消息,包括用和S共享的密钥Kas加密的一个索引号R、A的名字、B的名字和一随机数Ra。标号2表示B用A消息中的加密部分构造一条新消息。包括用和S共享的密钥Kbs加密的一个索引号R、A的名字、B的名字和一新随机数Rb。ABS1234 标号3表示S检查两
8、个加密部分中的索引号R是否相同,如果相同,就认为从B来的消息是有效的。S产生一个会话密钥Ks用Kb和Ka分别加密后传送给B,每条消息都包含S接收到的随机数。标号4表示B把用A的密钥加密的消息连同索引号R一起传给A。7.2 7.2 KerberosKerberos协议协议 在一个开放的分布式网络环境中,用户通过工作站访问服务器上提供的服务时,一方面,工作站无法可信地向网络服务证实用户的身份,可能存在着以下三种威胁:用户可能访问某个特定工作站,并假装成另一个用户在操作工作站。用户可能会更改工作站的网络地址,使从这个已更改的工作站上发出的请求看似来自伪装的工作站。用户可能窃听他人的报文交换过程,并使
9、用重放攻击来获得对一个服务器的访问权或中断服务器的运行。另一方面,在开放的网络环境中,客户也必须防止来自服务端的欺骗。以自动取款机ATM为例,如果存在欺骗,那么客户将泄漏自己的帐户信息。如何使用一个集中的认证服务器,提供用户对服务器的认证以及服务器对用户的认证,这就是Kerberos要解决的问题。7.2.1 7.2.1 KerberosKerberos概述概述 Kerberos是由美国麻省理工学院(MIT)提出的基于可信赖的第三方的认证系统,它是基于Needham-Schroeder协议设计的,采用对称密码体制。Kerberos一词源自希腊神话,在希腊神话故事中,Kerberos是一种长有三个
10、头的狗,还有一个蛇形尾巴,是地狱之门的守卫者。现代取Kerberos这个名字意指要有三个“头”来守卫网络之门,这“三头”包括:-认证认证(authentication)-清算清算(accounting)-审计审计(audit)KerberosKerberos协议中的一些概念协议中的一些概念 Principal(Principal(安全个体安全个体)被鉴别的个体,有一个 名 字(name)和 口 令(password)。KDC(Key distribution centerKDC(Key distribution center,密钥分配中心密钥分配中心)可信的第三方,即Kerberos服务器,提
11、供ticket和临时的会话密钥。TicketTicket(访问许可证)访问许可证)是一个记录凭证,客户可以用它来向服务器证明自己的身份,其中包括客户的标识、会话密钥、时间戳,以及其他一些信息。Ticket中的大多数信息都被加密,密钥为服务器的密钥。AuthenticatorAuthenticator(认证符)认证符)是另一个记录凭证,其中包含一些最近产生的信息,产生这些信息需要用到客户和服务器之间共享的会话密钥。CredentialsCredentials(证书)证书)由一个ticket加上一个秘密的会话密钥组成。7.2.2 7.2.2 KerberosKerberos协议的工作过程协议的工作
12、过程 KerberosKerberos基本思想基本思想 采用对称密钥体制对信息进行加密,能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos 服务器)获取该应用服务器的访问许可证(ticket)。认证服务器认证服务器ASAS(Authentication Server)许可证颁发服务器许可证颁发服务器TGSTGS(Ticket Granting Server)7.2.2 7.2.2 KerberosKerberos协议的工作过程协议的工作过程 认证服务器认证服务器AS许可证颁发服务器许可证颁发服务器TGS用户用户C应用服务应用服务器器V图7.
13、3 Kerberos的认证过程 用户想要获取访问某一应用服务器的许可证时,先以明文方式向认证服务器AS发出请求,要求获得访问TGS的许可证。AS以证书(credential)作为响应,证书包括访问TGS的许可证和用户与TGS间的会话密钥。会话密钥以用户的密钥加密后传输。用户解密得到TGS的响应,然后利用TGS的许可证向TGS申请应用服务器的许可证,该申请包括TGS的许可证和一个带有时间戳的认证符(authenticator)。认证符以用户与TGS间的会话密钥加密。TGS从许可证中取出会话密钥、解密认证符,验证认证符中时间戳的有效性,从而确定用户的请求是否合法。TGS确认用户的合法性后,生成所要
14、求的应用服务器的许可证,许可证中含有新产生的用户与应用服务器之间的会话密钥。TGS将应用服务器的许可证和会话密钥传回到用户。用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符(认证符以用户与应用服务器之间的会话密钥加密)。应用服务器从许可证中取出会话密钥、解密认证符,取出时间戳并检验有效性。然后向用户返回一个带时间戳的认证符,该认证符以用户与应用服务器之间的会话密钥进行加密。据此,用户可以验证应用服务器的合法性。KerberosKerberos的主要优点:的主要优点:通过对实体和服务的统一管理实现单一注册,也就是说用户通过在网络中的一个地方的一次登录就可以使用网络上他可以获得
15、的所有资源。KerberosKerberos存在的问题:存在的问题:Kerberos服务器的损坏将使得整个安全系统无法工作;AS在传输用户与TGS间的会话密钥时是以用户密钥加密的,而用户密钥是由用户口令生成的,因此可能受到口令猜测的攻击;Kerberos使用了时间戳,因此存在时间同步问题;要将Kerberos用于某一应用系统,则该系统的客户端和服务器端软件都要作一定的修改。7.3 7.3 SSLSSL协议协议 SSLSSL(安全套接字层,Secure Socket Layer)协议是网景(Netscape)公司提出的基于WEB应用的安全协议,是一种用于传输层安全的协议。传输层安全协议的目的是为
16、了保护传输层的安全,并在传输层上提供实现保密、认证和完整性的方法。SSL指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。7.3.1 7.3.1 SSLSSL协议概述协议概述 图7.4 SSL的体系结构 SSL握手协议SSL修改密文协议SSL告警协议HTTPSSL记录协议TCPIP SSL中有两个重要概念:SSLSSL连接连接:连接是提供恰当类型服务的传输。SSL连接是点对点的关系,每一个连接与一个会话相联系。SSLSSL会话:会话:SSL会话是客户和
17、服务器之间的关联,会话通过握手协议(在SSL协议的高层)来创建。会话定义了加密安全参数的一个集合,该集合可以被多个连接所共享。会话可以用来避免为每个连接进行昂贵的新安全参数的协商。7.3.2 7.3.2 SSLSSL记录协议记录协议 SSL SSL从应用层取得的数据需要重定格式(分片、可选的压缩、应用MAC、加密等)后才能传给传输层进行发送。同样,当SSL协议从传输层接收到数据后需要对其进行解密等操作后才能交给上层的应用层。这个工作是由SSL记录协议完成的。上层报文分片1分片2分片n压缩(可选)加密增加MAC增加SSL记录首部图7.6 SSL记录协议的发送方执行的操作步骤 SSL记录协议中发送
18、方发送方执行的操作步骤:从上层接受传输的应用报文;分片:将数据分片成可管理的块,每个上层报文被分成16KB或更小的数据块;进行数据压缩(可选):压缩是可选的,压缩的前提是不能丢失信息,并且增加的内容长度不能超过1024字节,缺省的压缩算法为空;应用MAC:加入信息认证码(MAC),这一步需要用到共享的密钥;加密:利用IDEA、DES、3DES或其他加密算法对压缩报文和MAC码进行数据加密;增加SSL首部:增加由内容类型、主要版本、次要版本和压缩长度组成的首部。将结果传输到下层。SSL记录协议中接收方接收数据的工作过程从低层接受报文;解密;用事先商定的MAC码校验数据;如果是压缩的数据,则解压缩
19、;重装配数据;传输信息到上层。7.3.3 7.3.3 SSLSSL修改密文规约协议修改密文规约协议 SSL修改密文规约协议用来发送修改密文规约协议信息。任何时候客户都能请求修改密码参数,比如握手密钥交换。在修改密文规约的通告发出以后,客户方就发出一个握手密钥交换信息(如果可得到的话),鉴定认证信息,服务器则在处理了密钥交换信息之后发送一个修改密文规约信息。此后,新的双方约定的密钥就将一直使用到下次提出修改密钥规约请求为止。7.3.4 7.3.4 SSLSSL告警协议告警协议 SSL告警协议是用来将SSL有关的告警传送给对方实体的。和其他使用SSL的情况一样,告警报文按照当前状态说明被压缩和加密
20、。SSL告警协议的每个报文由两个字节组成。第一个字节的值用来表明警告的的级别,第二个字节表示特定告警的代码。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种:一种是 Fatal错误,如传递数据过程中,发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录;第二种是Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。7.3.5 7.3.5 SSLSSL握手协议握手协议 一个SSL会话工作在不同的状态,即会话状态和连接状态。会话状态会话状态:会话标识符对方的证书压缩方法密文规约主密钥可重新开始标志 连接状态连
21、接状态:服务器和客户随机数服务器写MAC密钥客户写MAC密钥服务器写密钥客户写密钥初始化向量序号 SSL握手协议用于鉴别初始化和传输密钥,它使得服务器和客户能相互鉴别对方的身份,并保护在SSL记录中发送的数据。因此在传输任何应用数据前,都必须使用握手协议。图7.7 SSL握手过程 SSL客户端SSL服务器端发送”hello”消息传送数据回复”hello”消息,发出服务器证书,服务器密钥交换信息,证书请求,服务器HELLO DONE发送证书,客户密钥交换信息,证书验证信息,结束发修改密文规约信息结束发修改密文规约信息传送数据21435SSLSSL握手的详细过程握手的详细过程 第一步:客户发出一个
22、带有客户HELLO信息的连接请求。这信息包括:想要使用的SSL版本号。时间信息,以标准的UNIX32位格式标识的现时和日期。会话标识(可选),如果没有指定的话,则服务器便重用上一次的会话标识或返回一个错误信息密文组(客户方所支持的各种加密算法选项清单。包括认证码、密钥交换方法、加密和MAC算法)。客户方所支持的压缩算法。随机数。SSL握手的详细过程 第二步:服务器评估客户方发来的HELLO信息中的各项参数,并且返回一个服务器方的HELLO信息,其中含有服务器选来用于SSL会话的各项参数(版本号、时间信息、以标准的UNIX32位格式标识的现时和日期、会话标识、密文组、压缩方法、随机数)。在服务器
23、HELLO信息之后,服务器发出如下信息:服务器证书,如果服务器需要被鉴别的话。服务器密钥交换信息,如果得不到证书或证书仅仅用作签名的话。证书请求,如果客户要求被鉴别的话。最后,服务器发出一个服务器HELLO DONE信息,开始等待客户的回音。SSL握手的详细过程 第三步:客户发送下列信息:如果服务器发出了一个证书请求,那么客户方必须发送一个证书或非证书信息。如果服务器发送了一个服务器密钥交换信息,那么客户方就发送一个基于公钥算法的由HELLO信息决定的密钥交换信息。如果客户方已经发送了一个证书,那么客户方就需验证服务器方的证书并且发出一个证书验证信息指明结果。然后,客户方发出一个结束信息,指出
24、协商过程已经完成。客户方还发送一个修改密文规约信息来产生共享的常规密钥。应该注意这部分工作不是由握手协议控制,是由修改密文规约协议管理的。SSL握手的详细过程 第四步:服务器发出一个结束信息指出协商协商阶段完成。然后服务器发出一个密文修改规约信息。第五步:会话双方分别产生一个加密密钥,然后他们再根据这些密钥导出会话主密钥。握手协议改变状态至连接状态。所有从应用层的来的数据传输作为特定信息传输给对方。7.3.6 7.3.6 TLSTLS协议协议 传输层安全TLS(Transport Layer Security)协议是IETF正在定义一种新的协议。它建立在Netscape所提出的SSL3.0协议
25、规范基础上。两个互相不知其代码的应用程序可用TLS来安全地通信。7.3.7 7.3.7 SSLSSL协议应用协议应用 一个使用WEB客户机和服务器的范例 WEB客户机通过连接到一个支持SSL的服务器,启动一次SSL会话。支持SSL的典型WEB服务器在一个与标准HTTP请求(默认为端口80)不同的端口(默认为443)上接受SSL连接请求。当客户机连接到这个端口上时,它将启动一次建立SSL会话的握手。当握手完成之后,通信内容被加密,并且执行消息完整性检查,直到SSL会话过期。SSL创建一个会话,在此期间,握手必须只发生过一次。步骤1:SSL客户机连接到SSL服务器,并要求服务器验证它自身的身份。步
26、骤2:服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链,直到某个根证书权威机构(CA)。通过检查有效日期并确认证书包含有可信任CA的数字签名,来验证证书。步骤3:服务器发出一个请求,对客户端的证书进行验证。但是,因为缺乏公钥体系结构,当今的大多数服务器不进行客户端认证。步骤4:协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户机提供它支持的所有算法列表,然后由服务器选择最强健的加密算法。步骤5:客户机和服务器通过下列步骤生成会话密钥:a.客户机生成一个随机数,并使用服务器的公钥(从服务器的证书中获得)对它加密,发送到服务器上。b.服务器用更加随机的数据(从客户机
27、的密钥可用时则使用客户机密钥;否则以明文方式发送数据)响应。c.使用哈希函数,从随机数据生成密钥。SSLSSL协议的优点协议的优点 机密性机密性 即连接是私有的。在初始握手阶段,双方建立对称密钥后,信息即用该密钥加密。完整性完整性 在信息中嵌入信息鉴别码(MAC)来保证信息的完整性。其中使用了安全哈希函数(例如SHA和MD5)来进行MAC计算。鉴别鉴别 在握手阶段,客户鉴别服务器用不对称密钥或公开密钥。SSLSSL协议的不足协议的不足 SSL要求对每个数据进行加密和解密操作,因而在带来高性能的同时,对系统也要求高资源开销。SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机
28、密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。SSL为带有安全功能的TCP/IP套接字应用程序接口提供了一个替代的方法,理论上,在SSL之上可以安全方式运行任何原有TCP/IP应用程序而不需修改,但实际上,SSL目前还只是用在HTTP连接上。7.4 7.4 IPSecIPSec协议协议 由于协议IPv4最初设计时没有过多地考虑安全性,缺乏对通信双方真实身份的验证能力,缺乏对网上传输的数据的完整性和机密性保护,并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制,使IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄漏和数
29、据项被篡改等多种攻击,而IP是很难抵抗这些攻击的。为了实现安全IP,因特网工程任务组IETF于1994年开始了一项IP安全工程,专门成立了IP安全协议工作组IPSEC,来制定和推动一套称为IPSec的IP安全协议标准。IPSecIPSec协议组协议组 网络认证协议网络认证协议 Authentication HeaderAuthentication Header(AHAH)封装安全载荷协议封装安全载荷协议Encapsulating Security PayloadEncapsulating Security Payload(ESPESP)密钥管理协议密钥管理协议Internet Key Exch
30、ange Internet Key Exchange(IKEIKE)网络认证及加密算法网络认证及加密算法 7.4.1 IPSec7.4.1 IPSec安全体系结构安全体系结构图7.8 IPSec安全体系结构 IPSec体系结构ESP协议AH协议加密算法DOI密钥管理认证算法 ESP协议规定了为通信提供机密性和完整性保护的具体方案,包括ESP载荷的格式、语义、取值以及对进入分组和外出分组的处理过程等。DOIInterpretation of Domain,DOI规定了每个算法的参数要求和计算规则,如算法的密钥长度要求、算法强度要求以及初始向量的计算规则等。AH协议定义了认证的应用方法,提供数据源
31、认证和完整性保证。IKE协议是IPSec目前唯一的正式确定的密别交换协议,为AH和ESP提供密钥交换支持,同时也支持其他机制,如密钥协商。安全关联(安全关联(Security AssociationSecurity Association,SASA)为了正确封装及提取IPSec数据包,有必要采取一套专门的方案,将安全服务/密钥与要保护的通信数据联系到一起;同时要将远程通信实体与要交换密钥的IPSec数据传输联系到一起。换言之,要解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。这样的构建方案称为安全关联(Security Association,SA)。SA是单向的,要么对数
32、据包进行“进入”保护,要么进行“外出”保护。也就是说,在一次通信中,IPSec 需要建立两个SA,一个用于入站通信,另一个用于出站通信。若某台主机,如文件服务器或远程访问服务器,需要同时与多台客户机通信,则该服务器需要与每台客户机分别建立不同的SA。7.4.2 AH7.4.2 AH(Authentication HeaderAuthentication Header)协议协议 AH协议规定了AH头在AH实现中应插入IP头的位置、AH头的语法格式、各字段的语义及取值方式,以及实施AH时进入和外出分组的处理过程。AH机制涉及到密码学中的核心组件鉴别算法。AHAH的功能的功能 AHAH的两种模式的两
33、种模式 AHAH的格式的格式 认证算法认证算法AHAH的功能的功能 AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列(可以将其当作数字签名,只是它不使用证书),此hash散列在整个数据包中计算,因此对数据的任何更改将致使散列无效这样就提供了完整性保护。AH不能提供加密服务,这就意味着分组将以明文的形式传送。由于AH的速度比ESP稍微快一点,因此仅当需要确保分组的源和完整性而不考虑机密性的时候,可以选择使用AH。AHAH的两种模式的两种模
34、式 传输模式传输模式:传输模式用于两台主机之间,只对上层协议数据(传输层数据)和IP头中的固定字段提供认证,主要保护传输层协议头,实现端到端的安全;隧道模式隧道模式:隧道模式对整个IP数据项提供认证保护,把需要保护的IP包封装在新的IP包中,既可用于主机也可用于安全网关,并且当AH在安全网关上实现时,必须采用隧道模式。图7.9 AH传输模式 图7.10 AH隧道模式 AHAH的格式的格式 图7.11 AH报头格式 下一个报头长度安全参数索引(SPI)序列号认证数据(hash检查和)AH报头 Next Header(下一个报头,占8字节):识别下一个使用IP协议号的报头,例如,Next Head
35、er值等于6时,表示紧接其后的是TCP报头。对于UDP,它的值将是17。Length(长度,占8字节):AH报头长度。Security Parameters Index(SPI,安全参数索引,占32字节):这是一个为数据报识别安全关联的 32 位伪随机值。其中,SPI 值0 被保留,用来表明“没有安全关联存在”。Sequence Number(序列号,占32字节):这是一个无符号单调递增的计数器,从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。对于一个特定的SA,它实现反重
36、传服务。这些信息不被接收对等实体使用,但是发送方必须包含这些信息。当建立一个SA时,这个值被初始化为0。如果使用反重传服务重传,那么这个值决不允许重复。由于发送方并不知道接受方是否使用了反重传功能,该字段中的值不能被重复的事实就要求终止SA,并且在传送第23个分组之前建立一个新的SA。Authentication Data(AD,认证数据,可变长):包含完整性检查和。接收端接收数据包后,首先执行hash计算,再与发送端所计算的该字段值比较,若两者相等,表示数据完整,若在传输过程中数据遭修改,两个计算结果不一致,则丢弃该数据包。通过这个值,通信双方能实现对数据的完整性保护、分组级数据源鉴别以及通
37、信的抗重放攻击。认证算法认证算法 用于计算完整性校验值(ICV)的认证算法由SA指定,对于点到点通信,合适的认证算法包括基于对称密码算法(如DES)或基于单向Hash函数(如MD5或SHA-1)的带密钥的消息认证码(MAC)。7.4.3 7.4.3 ESPESP(Encapsulating Security PayloadEncapsulating Security Payload)协议协议 ESP涉及到密码学中的核心组件加密和鉴别算法。ESPESP的功能的功能 ESPESP的两种模式的两种模式 ESPESP的格式的格式 加密算法和认证算法加密算法和认证算法 ESPESP处理处理 ESPESP
38、的功能的功能 ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级AH”,因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联(SA)是可选的。一些限制:完整性检查和认证一起进行。仅 当 与 完 整 性 检 查 和 认 证 一 起 时,“重 播(Replay)”保护才是可选的。“重播”保护只能由接收方选择。ESP的加密服务是可选的,但如果启用加密,则也就同时选择了完整性检查和认证。因为如果仅使用加密,入侵者就可能伪造包以发动密码分析攻击。ESP可以单独使用,也可以和AH结合使用。ESPESP的两种模式的两种模式 图7.12 ESP传输模式 图7.13 ESP隧道模式 ESPES
39、P的格式的格式 ESP协议包括ESP报头、ESP报尾、ESP认证报尾三个部分。图7.14 ESP报头、报尾和认证报尾 加密算法和认证算法加密算法和认证算法 ESP所采用的加密算法由SA指定。为了提高加密效率,ESP设计使用的是对称密码算法。由于IP包可能会失序到达,因此每个IP包必须携带接收者进行解密所要求的密码同步数据(如初始化向量IV)。这个数据可以在有效负载字段中明确携带,也可以从包头中推导出来。由于机密性是可选择的,因此加密算法可以是“空”。ESP中的认证算法同AH的认证算法一样。由于认证算法是可选的,因此认证算法也可以是“空”。虽然加密和认证算法都可为空,但二者不能同时为空。因为这样
40、做不仅毫无安全保证可言,而且也为系统带来了无谓的负担。ESPESP处理处理 ESP 的处理过程发生在发送时的IP分割之前以及接受时的IP重新组合之后。发送时的处理ESP头定位:在传输模式下,ESP头插在IP头和上一层协议头之间;在隧道模式下,ESP头在整个源IP数据项之前。查找:只有当与此会话相关的有效的SA存在时,才进行ESP处理。包加密:把数据封装到ESP的有效负载字段,在传输模式下,只封装上层协议数据;在隧道模式下、封装整个原IP数据项。应使用由SA指定的密钥和加密算法对上述结果加密。接受时的处理过程 当接收方收到一个IP数据项时,先根据包中目的IP地址、安全协议ESP和SPI查找SA,
41、若没有用于此会话的SA存在,则接收者必须丢弃此包,并记入日志,否则就按SA中指定的算法进行解密并重新构造原IP数据项格式。7.4.4 7.4.4 IKEIKE(Internet Key ExchangeInternet Key Exchange)协议协议 IKE主要完成两个作用:安全关联的集中化管理,减少连接时间;密钥的生成和管理。IKE协议是IPSec目前唯一的正式确定的密钥交换协议,它为AH和ESP提供密钥交换支持,同时也支持其他机制,加密钥协商。IKE是由另外三种协议(ISAKMP、Oakley 和SKEME)混合而成的一种协议。PGPPretty Good Privacy(相当好的保密
42、)是由MIT的P.R.Zimmerrmann提出的,主要用于安全电子邮件,它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。7.5 7.5 PGP PGP 表7.1 PGP的功能 功能使用的算法解释说明保密性IDEA、CAST或三重DES,Diffie-Hellman或RSA发送者产生一次性会话密钥,用会话密钥以IDEA或CAST或三重DES加密消息,并用接收者的公钥以Diffie-Hellman或RSA加密会话密钥签名RSA或DSS,MD5或SHA用MD5或SHA对消息散列并用发送者的私钥加密消息摘要压缩ZIP使用ZIP压缩消息,以便于存储和传输E-mail兼容性Radi
43、x64交换对E-mail应用提供透明性,将加密消息用Radix64变换成ASCII字符串分段功能-为适应最大消息长度限制,PGP实行分段并重组7.5.17.5.1鉴别鉴别 图7.15(a)PGP的操作过程只进行鉴别 其中,图7.15记号的含义为:Ks:会话密钥 EP:公钥加密Kra:用户A的私钥 DP:公钥解密KUa:用户A的公钥 EC:常规加密H:散列函数 DC:常规解密|:连接 Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式 Z-1:解压缩MMHEPH|ZZ-1DP比较EKRaH(M)KRaKUa发送者A接收者B PGP鉴别的过程发送者产生消息M;用SHA-1对M
44、生成一个160位的散列码H;H用发送者的私钥加密,并与M连接;接收者用发送者的公钥解密并恢复散列码H;对消息M生成一个新的散列码,与H比较。如果一致,则消息M被认证,即报文作为已鉴别的报文而接受。(提供DSS/SHA-1可选替代方案和签名与消息分离的支持。)7.5.27.5.2机密性机密性 PGP提供的另一个基本服务是机密性,它是通过对将要传输的报文或者将要像文件一样存储在本地的报文进行加密来保证的(如图7.15(b)所示)。图7.15(b)PGP的操作过程只保证机密性 KsMMEPECDC|ZZ-1DPKUbEKUbKsKRb7.5.37.5.3鉴别与机密性鉴别与机密性 PGP可以同时提供机
45、密性与鉴别。当加密和认证这两种服务都需要时,发送者先用自己的私钥签名,然后用会话密钥加密,再用接收者的公钥加密会话密钥(如图7.15(c)所示)。图7.15(c)PGP的操作过程鉴别与机密性 MHEP|ZKRaDCDPEKUbKsKRbKsEP|KUbECMHZ-1DP比较EKRaH(M)KUa7.5.4 7.5.4 压缩压缩 PGP对报文进行压缩,这有利于在电子邮件传输和文件存储时节省空间。但压缩算法的放置位置比较重要,在默认的情况下,放在签名之后加密之前。这是因为:对没有经过压缩的报文进行签名更好些。这样,为了将来的验证就只需要存储没压缩的报文和签名。如果对压缩文档签名,那么为了将来的验证
46、就必须或者存储压缩过的报文、或者在需要验证时更新压缩报文;即使个人愿意在验证时动态生成重新压缩的报文,PGP的压缩算法也存在问题。算法不是固定的,算法的不同实现在运行速度和压缩比上进行不同的折衷,因此产生了不同的压缩形式。但是,这些不同的压缩算法是可以互操作的,因为任何版本的算法都可以正确地解压其他版本的输出。如果在压缩之后应用散列函数和签名,将约束所有的PGP实现都使用同样的压缩算法。在压缩之后对报文加密可以加强加密的强度。因为压缩过的报文比原始明文冗余更少,密码分析更加困难。7.5.5 7.5.5 电子邮件的兼容性电子邮件的兼容性 当使用PGP时,至少传输报文的一部分需要被加密。因此,部分
47、或全部的结果报文由任意的8bit二进制流组成。但是,很多电子邮件系统只允许使用ASCII文本。为了满足这一约束,PGP提供了将原始8位二进制流转换成可打印的ASCII字符的服务。为实现这一目的采用的方案是Radix64转换,每三个字节的二进制数据为一组映射成四个ASCII字符。这种格式附加了CRC校验来检测传输错误。7.5.6 7.5.6 分段与重组分段与重组 电子邮件设施经常受限于最大的报文长度,例如最大50kb的限制。任何长度超过这个数值的报文都必须划分成更小的报文段,每个段单独发送。为了满足这个约束,PGP自动将太长的报文划分成可以使用电子邮件发送的足够小的报文段。分段是在所有其他的处理(包括Radix64转换)完成之后才进行的,因此会话密钥部分和签名部分只在第一个报文段的开始位置出现一次;在接收端,PGP将各段自动重新装配成完整的原来的分组。7.5.7 7.5.7 PGPPGP密钥管理密钥管理 PGP包含四种密钥:一次性会话密钥 公开密钥 私有密钥 基于口令短语的常规密钥
