（计算机系统结构专业论文）vpn中基于证书的身份认证和密钥交换技术的研究与实现.pdf

东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 摘要 随着i n t e r n e t 及网络经济的快速发展，传统的企业网已很难适应现代企业自身发展的 需要，于是企业在自身网络的扩展性、安全性等方面提出了更多的要求。虚拟专用网v p n 以其独具特色的优势赢得了越来越多企业的青睐。v p n 作为企业实现安全策略的一种安全 技术，借助的仍然是不安全的公共网( 如i n t e r n e t ) ，因此必须有相应的技术来保证其安 全性。v p n 采用的关键技术主要是：隧道技术、加解密技术、密钥交换和身份认证技术。 论文主要研究和分析密钥交换和身份认证技术。在对v p n 的定义和关键技术概述之后， 论文咀基于i p s e c 的v p n 为基础，详细阐述了因特网密钥交换i k e ；同时研究了相关的身 份认证技术及协议，其中，着重介绍了x 5 0 9 证书及其相关的p k i 技术。然后对不同隧道 协议实现v p n 技术时所使用的身份认证方法做了探讨，在此基础上，论文分析在基于i p s e c 的v p n 中采用预共享密钥认证所存在的问题论证了使用x 5 0 9 证书作为身份认证时v p n 的安全性和可扩展性，进而阐述将p k i 技术应用到v p n 中的优点。 在对相关的理论分析和研究的基础上，论文给出了实现基于i p s e c 的v p n 原型系统的 总体设计方案，详细设计了基于证书的身份认证和密钥交换子系统并对相关模块的实现 做了具体的描述。 本论文以国家8 6 3 项目“江苏地区现代集成制造系统总体方案与关键技术攻关”为背 景完成的。 关键词：v p n 密钥身份认证证书 东南大学硕十论文 v p n 中基于证书的身份认证和密钥交换技术的研究与实现 a b s t r a c t a l o n g w i t hi n t e r n e ta n dn e t w o r ke c o n o m y r a p i dd e v e l o p m e n t ，t r a d i t i o n a l e n t e r p r i s en e t w o r k sa r en o ta c c o m m o d a t e dw i t ht h ep r o g r e s so fc u r r e n te n t e r p r i s e h e n c e ，f o re n t e r p r i s en e t w o r k s ，m o r er e q u i r e m e n t sa r eb r o u g h to u tt oi m p r o v et h e i r e x p a n s i b i l i t ya n ds e e u r i t y i nt h i ss i t u a t i o n ，v p ni s f a v o r e db ym o r ea n dm o r e e n t e r p r i s e sf o ri t sp a r t i c u l a ra d v a n t a g e s a so n es e c u r i t yt e c h n o l o g y ，b e c a u s eo f u s i n gp u b l i cn e t w o r k ( s u c ha si n t e r n e t ) w h i c hi sn o ts e c u r e 。v p nm u s tm a k eu s eo f s o m er e l e v a n tt e c h n o l o g i e st og u a r a n t e ei t ss e c u r i t y g e n e r a l l y ，t h ec r i t i c a l t e c h n o l o g i e sa d o p t e db yv p na r e ：t u n n e lt e c h n o l o g y 、e n c r y p t i o na n dd e c r y p t i o n t e c h n o l o g y 、k e ye x c h a n g ea n di d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g i e s t h et h e s i s m a i n l y r e s e a r c h e sa n d a n a l y z e sk e ye x c h a n g e a n d i d e n t i t y a u t h e n t i c a t i o n t e c h n o l o g i e s ，a f t e r d e s c r i b i n gd e f i n i t i o n a n dc r i t i c a lt e c h n o l o g i e s o fv p n t h et h e s i sc o n c r e t e l y e x p a t i a t e si k e ，r e s e a r c h e s r e l a t e d i d e n t i t y a u t h e n t i c a t i o nm e t h o da n dp r o t o c 0 1 e m p h a s i z e so na n a l y s i so fx 5 0 9c e r t i f i c a t e a n d i t sr e l a t e d p k i t e c h n o l o g y t h e n t h e t h e s i sd i s c u s s e sa b o u t i d e n t i t y a u t h e n t i c a t i o nm e t h o dw h i c hi sa p p l i e df o rv p ni m p l e m e n t e db yd i f f e r e n tt u n n e l p r o t o c 0 1 b a s e d o n t h i s ，t h e t h e s i sd r a w sac o n c l u s i o nt h a tu s i n gd i g i t a l c e r t i f i c a t ei sm o r e s u p e r i o r a n ds e c u r et h a ns h a r e d s e c r e t b y c o m p a r i n g a u t h e n t i c a t i o nm e t h o do fs h a r e d s e c r e tw i t hd i g i t a lc e r t i f i c a t eb a s e do ni p s e c v p n l a t e r t h ea d v a n t a g e so fa p p l y i n gp k it e c h n o l o g yt ov p na r eg i v e n i na c c o r d i n gt or e l a t e dt h e o r yr e s e a r c h e sa n da n a l y s i s e s ，t h et h e s i sp u t s f o r w a r d st h eo v e r a l lp r o j e c to fi m p l e m e n t i n gi p s e c v p np r o t o t y p es y s t e m ，t h e na n d e t a i l e ds u b s y s t e m d e s i g na b o u ti d e n t i t y a u t h e n t i c a t i o nw h i c hi sb a s e do n c e r t i f i c a t ea n dk e ye x c h a n g ei sg i v e n t h er e l a t e dm o d u l ei m p l e m e n t a t i o no ft h i s s u b s y s t e m isd e s c r i b e dl a t e r t h et h e s i sisb a s e do nt h en a t t o n a l “8 6 3 ”p r o j e c t ：t h eo v e r a l ls c h e m ea n dk e y t e c h n o l o g yo fc 1 h s i nj i a n g s up r o v i n c e k e y w o r d ：v p nk e yi d e n t i t ya u t h e n t i c a t i o nc e r t i f i c a t e t 5 6 1 0 2 5 东南大学学位论文独创性声明及使用授权的说明 一、学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谓十的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了谢意。 签名：蔫i ) 羲一日期：丝刍辛；日自 二、 关于学位论文使用授权的说明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人 所送交学位论文的复印件和电子文档，可以采用影印、缩印或其他复 制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除 在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括 刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学 薹竺翌：衄吼迸地签名：落文导师签名：型! 竺j 日期：碴堕挲! 唑坌 东南大学硕士论文 v p n 中基于证书的身份认证和密钥交换技术的研究与实现 i 1 论文研究背景 第一章引言 伴随着通信与计算机技术的不断发展，全球信息化已成为人类社会发展的大趋势。与 此同时，网络技术特别是i n t e r n e t i n t r a n e t e x t r a n e t 技术的迅速发展，正在给制造业 带来新的变化和重大影响。制造全球化、制造网络化、制造虚拟化是现代制造业发展的趋 势，而制造全球化、制造敏捷化、制造虚拟化均离不开集成制造网络化的支撑环境。事实 上，越来越多的企业也需要借助于网络这一现代化的通信技术来为自己的企业运营服务。 随着企业分工的细化和经济的国际化，企业必须保持与外部商业环境的密切联系。尤 其是随着网络经济、电子商务的发展，企业规模越来越大，所跨地区越来越广，合作伙伴 越来越多，企业自己投资构建专用的企业网或者企业间协作网也因线路成本过高而越来越 不现实。近几年来。随着互联网络的迅猛发展，i n t e r n e t 已经遍布世界各地，能否利用 i n t e r n e t 来支持企业的运营和合作成为人们关注的课题。由于当初组建i n t e r n e t 的目的 是资源共享，并没有考虑到日后出现的一系列诸如窃取、篡改等等安全方面的问题。而企 业内或者企业间传输的信息又具有确保通信受到保护的要求，因此两者之间便产生了一种 矛盾。那么既然纯粹租用线路的专用网有成本过高的缺陷，而便利的i n t e r n e t 又具有安全 性的问题，怎么更好更快的并且利用现有的公网建立企业网呢? 在这种情况下，虚拟专用 网v p n ( v i r t u a lp r i v a t en e t w o r k ) 这项新技术应运而生。 作为现代网络化集成制造业的一项支撑技术，v p n 是一种以开放公共网络( 如 i n t e r n e t ) 为基础，综合多种网络技术和安全技术，为企业的远程雇员、商业合作伙伴、 资源供应商以及企业客户提供安全的网络应用和资源有限共享的电子商务平台。利用v p n ， 企业只需要租用本地的数据专线，连接上本地公众信息网，各机构间就可以互相传递信息； 同时，企业还可以利用公众信息网的拨号接入设备，让自己的雇员、合作伙伴、客户拨号 到公众信息网上，再利用v p n 技术连接进入企业网中。使用v p n 有节省成本、提供远程访 问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业构建广域网络的发展 趋势。 i 2 论文研究目标 由于v p n 是在不安全的i n t e r n e t 中进行通信，且通信的内容涉及到企业的机密数据， 因此其安全性就显得非常重要必须采取一系列的安全机制来保证。v p n 中采用的关键技 术包括：隧道和隧道交换技术( t u n n e la n dt u n n e ls w i t c h i n g ) ：加解密技术( e n c r y p t i o n d e c r y p t i o n ) ：密钥管理技术( k e ym a n a g e m e n t ) ；使用者或设备身份认证技术 ( a u t h e n t i c a t i o n ) 。通过这四项技术，保证了通信信道的专用性及传输数据的安全性。隧 道技术是为了将私有数据网络的资料在公众数据网络上传输所发展出来的一种信息封装方 式( e n c a p s u l a t i o n ) ，i p s e e 是典型的第三层的隧道技术，现在国内外大多数的v p n 厂商都 采用i p s e c 作为隧道技术的基础。信息加解密技术具有非常久远的历史，在需要秘密通信 的地方都用得到它。 密钥管理( k e ym a n a g e m e n t ) 技术包括密钥的协商、密钥的生成、交换等各方面。在 v p n 技术中，主要是通过一些加密算法、验证算法的使用来确保数据的安全，而加密算法、 验证算法的核心则是密钥。为了保证密钥使用的安全性和方便性，需要一种机制来负责密 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 钥的生成、分配和有效期管理。目前主要的密钥分配方式有静态密钥交换和动态密钥交换。 静态密钥分配方法通常也称作手工密钥分配，由安全管理员事先在实现v p n 的各个系统上 分别配置所需的密钥，这种方式适用于小规模、静态的环境：动态密钥分配方法有 i k e ( i n t e r n e tk e ye x c h a n g e ) 和s k i p ( s i m p l ek e y - m a n a g e m e n tf o ri n t e r n e tp r o t o c 0 1 ) 。 其中s k i p 是由s u n 公司所发展的技术，主要是利用d i f f i e h e l l m a n 密钥交换算法在网络 上传输密钥的一种技术，业界曾试图将s k i p 技术与i p s e c 技术统一，但以失败告终。i k e 即i n t e r n e t 密钥交换，解决了在不安全的网络环境( 如i n t e r n e t ) 中安全地建立或更新 共享密钥的问题，i k e 是非常通用的协议，不仅可为i p s e c 协商安全关联，而且可以为 s n m p v 3 、r i p v 2 、o s p f v 2 等任何要求保密的协议协商安全参数。i e t f ( i n t e r a c t e n g i n e e r t a s k f o u n d a t i o n ) 将i k e 作为i p v 6 的标准，同时也可用于i p v 4 。 认证是对v p n 设备或用户身份的一种确认。身份认证是实现网络安全的重要机制之一。 在安全的网络通信中，涉及的通信各方必须通过某种形式的身份认证机制来证明他们的身 份，验证用户或设备的身份与所宣称的是否一致或是否是合法的，然后才能实现对于不同 用户的访问控制和记录。同样，作为实现网络安全技术之一的v p n 也需要解决认证问题。 错误的身份认证将导致整个v p n 的失效，不管其他安全设施有多严密。实现身份认证的方 法和协议有多种，比如基于口令的认证，基于生物特征的认证，基于数字证书的认证方法 等等。同时，公钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 是目前网络安全建设的基 础与核心，随着p k i 技术的发展和应用的不断普及，将p k i 技术应用到v p n 上是许多厂商 架构v p n 时所考虑的策略方法。 本论文主要以基于i p s e e 的v p n 为背景，完成v p n 原型系统中所需要的密钥交换和 身份认证技术的研究、分析、设计和实现。由于在i p s e c 隧道处理过程中，利用的数据加 解密及封装技术均涉及到密钥的问题，怎样在不安全的网络中实现v p n 中的密钥交换及协 商处理，这是密钥管理部分的主要内容，根据i e t f 规定的i p s e c 协议族中的密钥管理方法， 我们采用了因特网密钥交换即i k e 。同时在隧道建立之前，即协商安全关联s a ( s e c u r i t y a s s o c i a t i o n ) 的过程中，为了防止有非法冒充的v p n 网关，必须对其进行身份认证。认证 部分完成的是利用v p n 通信的对等双方身份的认证，实现认证的方法有多种，为了使系统 具有更强的灵活性和可扩展性，我们的身份认证采用了基于x 5 0 9 证书的认证方式。 1 3 论文章节安排 本论文主要研究在基于i p s e c 的v p n 中，i k e 密钥交换和协商技术以及使用数字证 书的身份认证方法，并在此基础上，予以设计和实现验证。论文章节安排如下： 第一章引言：主要论述论文的研究背景即网络化集成制造以及作为其支撑技术之一的 虚拟专用网v p n 技术的由来，然后说明了论文的研究目标和主要内容。 第二章因特网密钥交换i k e ：简单叙述v p n 的概念及其所使用的安全技术，分析了基 于i p s e c 技术的v p n ，然后着重介绍了安全关联s a 的概念、组成、功能、管理以及i k e 的 消息格式，详细研究i k e 交换的两个阶段i k es a 和i p s e cs a 的协商过程。 第三章v p n 中身份认证技术的研究：对现有的几种身份认证方法做了描述，然后详细 分析了v p n 中的身份认证方案，对不同隧道协议实现的v p n 中身份认证方法做了相关的研 究。比较了在基于i p s e c 的v p n 中使用预共享密钥和证书认证时各自的优缺点，并着重指 出p k i 技术在基于i p s e c 的v p n 中的应用和优势。 第四章系统总体设计：指出了系统设计的背景，i p s e c - v p n 网关实现的方案及其采取 的原则和目标。在分析v p n 网关上i p 数据包的接收和发送过程的基础上，给出基于证书的 身份认证和密钥交换系统的总体设计，最后，说明了系统实现的软硬件环境。 2 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 第五章系统的详细设计与相关实现：阐述了系统与i p s e c 内核模块的交互，对系统的 各模块：i k e 协商模块、证书管理模块以及身份认证模块做了详细的设计，具体描述了各 模块的功能和其相关的实现。 第六章论文总结：对论文进行总结性的叙述。 3 东南大学硕士论文v p n 中基于证书的身份认证和密铜变换技术的研究与实现 第二章因特网密钥交换i k e 2 1 基于i p s e c 的v p n 技术 2 1 1 什么是v p n v p n ( v i r r u a lp r iv a l en e t w o r k 虚拟专用网) 是利_ ：| 开放的公众网络建立专用数据传 输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，并且提供安全的端 到端的数据通信的种广域网技术。v p n 本质e 是一种网络互联业务，通过共享的网络基 础架构满足企业互联需要，在共享使用网络资源的同时具有与专网一样保证用户网络的安 全性、可靠性、可管理性，从而使企业能在价格低廉的共享基础设施上建立种安全的广 域网业务。v p n 具有虚拟的特点：v p n 并不是某个公司专有的封闭线路或者是租用某个网络 服务商提供的封闭线路，但同时v p n 又具有专线的数据传输功能，因为v p n 能够像专线一 样在公共网络上处理自己公司的信息。典型的v p n 网络拓扑结构崮如图2 一l ，企业的公司 总部和分部在与i n t e r n e t 的连接处均设置了v p n 网芙，当分支机构或者移动用户与公司总 部或分部通信时，均可通过v p n 建立的隧道技术米实现秘密通信，从而在一定程度上避免 了通常在崮特网上受到的安全威胁。 图2 - - lv p n 网络拓扑图 i n t e r n e t 服务提供商( i s pi n t e r n e ts e r v i c ep r o v i d e r ) 和企业将是v p n 的直接受 益者。i s p 将v p n 作为一项增值业务推向企业，并从企业得到回报。因为，v p n 的最终目的 是服务于企业，它具有降低企业成本、简化企业网络的设计、便于扩展、易于建立商业伙 伴等优点，从而为企业带来可观的经济效益为现代化企业的信息共享提供安全可靠的途 径。 虽然v p n 技术能够在一定程度上给企业本身或者i s p 带来诸多好处，但是必须有一个 前提保证，即必须满足企业需求的安全性。因而安全性是v p n 应解决的主要问题，也是v p n 存在的理由。 2 1 2v p n 的安全基础 目前v p n 土要采用4 项技术来保证其安全性：隧道技术、加解密技术、密钥管理技术 使用者与设各身份认证技术。 ( 1 ) 隧道技术 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 隧道技术是为了将私有数据网络的资料在公众数据网络上传输所发展出来的一种信息 封装方式，即在公众网络上建立一条秘密通道，让数据包通过这条隧道传输。隧道技术主 要是利用网络隧道协议来实现这种功能的。目前因特网上较为常见的隧道协议大致有两类： 第2 层隧道协议和第3 层隧道协议。常用的第2 层隧道协议有l 2 f 、p p t p 、l 2 t p 等，第3 层隧道协议有g r e 、i p s e c 等。 ( 2 ) 加解密技术 信息加解密技术具有非常久远的历史，在需要秘密通信的地方都用的到它。因为v p n 构建在i n t e r n e t 公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或 篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据 包解密。加解密的作用是保证数据包在基于公网的传输过程中即使被窃听，攻击者也无法 获取其中的信息。破解加密的关键是破译密钥( k e y ) ，否则只能使用耗时的穷举法。鉴于 信息具有时效性的特点，目前为了安全起见，通常使用一次性密钥技术目口对于一次指定 会话，通信双方需为此次会话协商加解密密钥后才能建立安全隧道。 ( 3 ) 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。在v p n 技术中，主要是通过加密算法、验证算法来确保数据的安全。丽加密算法、验证算法的核 心则是密钥。为了保证密钥使用的安全性和方便性，需要一种机制来负责密钥的生成、分 配和有效期的管理。目前主要的密钥分配方式有静态密钥分配和动态密钥分配。静态密钥 分配方法由安全管理员事先在实现v p n 的各个系统上分别配置所需的密钥，这种方式适用 丁_ - 小规模、静态的环境；在基于i p s e c 的v p n 中，动态密钥分配方法有i k e 和s k i p 。其中 s k i p 主要是利用o i f f i e h e l l m a n 密钥交换算法在网络上传输密钥的一种技术；i k e 即因特 网密钥交换，解决了在不安全的网络环境中安全地建立或更新共享密钥的问题。 ( 4 ) 用户与设备身份认证技术 网络上的用户与设备都需要确定性的身份认证，在v p n 中为了其安全性能，同样也需 要解决该问题，在v p n 网关和网关或者网关与客户通信时首先就需要确认用户的身份，以 便系统进一步实施资源访问控制或用户授权。身份认证的实例是口令验证或者数字证书认 证。 2 1 3i p s e c 协议简介 为了克服i p 协议设计中存在的缺陷，i e t f 的i p 安全协议工作组( i p s e c ) 研究制定 了一系列基于加密技术的i p 协议安全机制和标准，以保护使用i p 协议传输的各个高层协 议，这些机制包括鉴别、完整性、访问控制、保密以及它们的组合。i p s e c 为通信双方安 全通信提供了一个标准的途径，因此它能够在一定程度上用来保证v p n 的安全性。i p s e c 实际上是一套协议包，包括三个基本协议：首部鉴别协议( a i a u t h e n t i c a t i o nh e a d e r ) 、 安全封装协议( e s p _ _ e n c a p s u l a t i o ns e c u r i t yp r o t o c 0 1 ) 和密钥交换协议( i k e - - i n t e r n e t k e ye x c h a n g e ) 。其中a h 协议为i p 包提供信息源认证和完整性保证其完整性是保证数 据包不被无意的或恶意的方式改变，而认证则验证数据的来源( 识别主机、用户、网络等) ： e s p 协议通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性， 这样可以避免其他用户通过监听来截取信息交换的内容。e s p 也能提供认证和维持数据的 完接性，由于e s p 实际上加密所有的数据，因而它比a h 需要更多的处理时间，从而导致性 能下降：密钥交换协议( i k e ) 提供双方交流时的共享安全信息，负责密钥的交换，安全关联 s a 的建立，在整个i p 层的安全结构中起重要的作用。 5 东南大学硕士论文 v p n 中基于证书的身份认证和密钥交换技术的研究与实现 2 1 4 基于i p s e c v p n 的优势 前面已经提过，实现v p n 的关键在于隧道技术，隧道又根据其协议的封装层次，被划 分为第2 层隧道协议和第3 层隧道协议。利用隧道方式实现v p n 时，除了要充分考虑隧道 的建立及其工作过程之外，另外一个重要的问题是隧道的安全。i p s e c 是一个第3 层v p n 协议标准，相对于其他协议来说，i p s e c 隧道协议具有以下优点： ( 1 )比其他同类协议具有更好的兼容性，在i n t e r n e t 上，主要使用的就是t c p i p 协议； ( 2 )不仅可以实现密钥的自动管理以降低人工管理密钥的开销，而且多种高层协议和应 用可以共享由网络层提供的密钥管理结构，这大大降低了它们密钥协商的开销： ( 3 )对传输层以上的应用来说是完全透明的，操作系统中原有的软件无须修改就可以自 动拥有i p s e c 提供的安全功能，降低了软件升级和用户培训的开销； ( 4 ) 自动管理密钥和安全关联，在需要很少人工配置的情况下，保证一个公司的v p n 策 略能在外延网络上被方便和精确地实现。 ( 5 )定义了一个开放的体系结构和框架，它为网络层安全提供了一个稳定的、长期持久 的基础。比如，它既能采用目前的加密算法，也允许采用更有力的更新算法。 i p s e c 协议是一个应用广泛、开放的i p 安全协议。由于i p s e c 具有以上很多隧道协议 所没有的优点，而且i p 协议是因特网所用的主要协议，因此越来越多的企业都采用i p s e c 隧道协议来建立v p n 。基于此，本论文分析研究的是基于i p s e c 隧道协议建立的v p n 。 i p s e c 为i n t e r n e t 上传输的i p 包提供一定程度的安全性，主要是通过其安全协议 a h e s p 来保证数据的完整性、真实性和不可否认性。然而i p s e c 中的a l 和e s p 实际上只 是加密的使用者，为了保证通信双方可以互相信任和采用相同的加密算法，i e t f 制定了i k e 用于通信双方进行身份认证，协商加密算法和散列算法、生成公钥，这些参数组合在一起 称作安全关联s a 。 2 2 i k e 协议简介 i e t f 定义的i k e 是一种混合型协议，由i s a k m p ，o a k l e y ，s k e m e 组成。i k e 建立在由 i n t e r n e t 安全关联和密钥管理协议( i s a k i d p ) 定义的一个框架上，同时，i k e 还实现了两 种密钥管理协议的一部分一- - o a k l e y 和s k 删e 。 i s a k m p 由美国国家安全局( n s a ) 开发，定义了通信双方沟通的方法、沟通的消息 以及保障通信安全所需的状态变换。i s a k b l p 提供了对对方的身份进行认证的方法，密 钥交换时交换信息的方法，以及对安全关联进行协商的方法。为提高兼容性和灵活性， 它既没有定义一次特定的密钥交换如何完成，也未定义建立安全关联所属的属性，而 仅仅只为认证和密钥交换提供了一个框架。i s a 聊p 以认证和受保护的形式为网络互联 单元提供这样一种能力：通信双方可以向对方提供自己支持的功能从而协商共同的安 全属性。 o a k l e y 是由亚利桑那大学的安全专家h i l a r i eo r m a n 开发的一种协议，描述了多种密 钥交换的模式以及每种模式提供的服务( 例如身份保护和认证) 。以o a k l e y 为基础， i k e 借鉴了不同模式的思想，并对这些模式进行了规范，将其定义成正规的密钥交换 方法，比如“主模式”、“快速模式”等。 s k e b l e 则由加密专家h u g ok r a w c z y k 设计。s k e m e 定义了验证密钥交换的一种类型。其 中，通信各方利用公共密钥加密实现相互问的验证，同时“共享”交换的组件。每一 方都要用对方的公共密钥来加密一个随机数字，双方的两个随机数都会对最终的密钥 产生影响。i k e 在它的一种验证方法( 公共密钥加密验证) 中，直接借用了s k e m e 的 这种技术。 6 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 i k e 协议在i s a k m p 定义的框架内实现了部分o a k l e y ( 主模式，野蛮模式，快速模式) 和部分s k e m e ( 使用n o n c e 交换进行快速密钥更新的概念) ，通过它们来获得i s a k m p 使用 的密钥素材和其他安全关联使用的密钥素材。 2 3 安全关联s a 2 3 1s a 的定义与组成 安全关联s a 的概念是i p s e c 密钥管理的基础。s a 描述了两个或多个实体如何利用安 全服务来保证安全通讯的一种共享关系。在基于i p s e c 的v p n 中，s a 是通信i p s e e 实体之 间为进行安全的数据交换而建立起来的一种协定。s a 的属性包括鉴别机制、加密算法、算 法模式、密钥长度以及初始向量( i v ) 。利用安全关联可以定义对特定i p 包进行处理的方法。 s a 具有单向性的特征，如两个主机a 和b 正在通过e s p 进行安全通信，主机a 必须获得两 个s a ，s a ( o u t ) 处理外发的数据包，s a ( i n ) 处理进入的数据包。主机a 的s a ( o u t ) 和主机 b 的s a ( i n ) 将共享相同的加密参数( 比如密钥) 。类似地，主机a 的s a ( i n ) 和主机b 的s a ( o u t ) 将共享相同的加密参数。由于s a 是单向的，所以针对外发和进入处理使用的s a ， 分别需要维护一张单独的( 数据) 表。 在i p s e c 中，安全关联用唯一的三元组表示： 。s p i 是一个长度为3 2 位的数据实体，通常被当 作安全协议( a h e s p ) 报头的一部分传送，宿主机根据这个s p i 值检索安全关联数据库( s a b b s e c u r ea s s o c i a t i o nd a t ab a s e ) ，提取与之匹配的s a ，并验证收到的数据包的安全性； i p 宿地址可以是单播地址、广播地址或组播地址，但是目前的s a 管理机制仅仅支持i p 单 播地址。 s a 可以分为两种模式：传输模式和隧道模式。传输模式的s a 用于连接两个主机。在 i p v 4 的情况下，传输模式的i p s e c 安全协议头( a h e s p ) 紧跟在i p 报头和参数之后，上 层协议报文之前，如( i p ( i p s e c ( 上层协议( 如t c p u d p ) ) ) ) 。隧道模式的s a 用于安全 网关到安全网关之间或者安全网关到主机之间，也就是说只要通信的任何一方是安全网关， 就必须使用隧道模式，这样的要求是为了防止i p 分段报文以不同的路径到达宿点时，安全 网关出现重组困难。但是存在一种特殊的情况是：如果安全网关本身并不是以网关方式( 例 如使用s n m p 命令时) 而是以主机身份工作时，则可以使用传输模式s a 。在隧道模式下， s a 使用一个新的i p 报头定义通信另一方i p s e c 实施点( 主机或者网关 的宿地址，原始 的i p 报头定义数据包的最终地址。i p s e c 安全协议头出现在新i p 报头之后原始i p 报头之 前，如( 新的i p 头( i p s e c ( 原始i p 头( 上层协议( 如t c p u d p ) ) ) ) ) 。 2 3 2s a 的功能 由s a 所提供的安全服务取决于所选择的安全协议、s a 模式、s a 的终点以及协议内的 可选服务。例如，a hs a 提供i p 报文数据源认证和无连接完整性保护，因此a hs a 能够提 供防止回放攻击和服务失效攻击，非常适合于在不使用加密的情况下工作。而e s p 与a h 的一大不同是支持加密，所以如果需要使用加密服务，就需要在安全网关之间使用e s p 隧 道模式的s a ，以保护内部i p 报头、加密源地址和宿地址。 2 3 3s a 的组合 一个s a 对i p 数据报不能同时提供a l 和e s p 保护。有时特定的安全策略要求对通信提 供多种安全保护，这就需要使用多个s a 。当把一系列s a 应用于业务流时，称为s a 组合。 s a 组合的顺序由安全策略决定，s a 组合中各个s a 的终点可能不同。例如，一个s a 可能用 7 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 于主机与安全网关之间，面另一个可能用于主机与安全网关内的主机。多个s a 可以用传输 邻接和嵌套隧道两种方式联合起来组成s a 组合。 传输邻接是指同一个i p 数据报使用多个安全协议。见图2 - 2 所示。 图2 - 2 传输邻接方式 嵌套隧道指通过i p 隧道应用多层安全协议。这种方法允许多层嵌套。每个隧道发起 或终结在隧道的不同i p s e c 位景，嵌套隧道有以下三种情况：s a 两端的端点是相同的。见 图( 2 3 ) 所示：s a 一端的端点是相同的，而另一端不同：s a 两端的端点都不相同。 图2 3s a 两端的端点相同 2 3 4s a 的管理 s a 管理的两大主要任务就是创建与删除，s a 管理既可以手工进行，亦可通过一个 i n t e r n e t 标准管理协议来完成，比如i k e 。 ( 1 )创建 s a 的创建分两步进行一一先协商s a 参数，再用s a 更新安全关联数据库s a d b 。在i p s e c 的早期开发及调试过程中，基于电话或电子邮件( 尽管不安全的电子邮件仍然是危险的! ) 的人工协商方式曾得到广泛的应用，通信双方离线协商和交换s a 的各项参数，包括安全参 数索引( s p i ) 的分配、参数的拟定均由人工进行。但是非常明显，这个过程容易出错，既 麻烦、又不安全。此外这些s a 一旦建立了，就永远不会过期，直到再次以人工方式删除。 在已经配置好的i p s e c 的环境中，s a 的建立可以通过一种i n t e r n e t 标准密钥管理协 议( 比如i k e ) 来完成，如果安全策略要求建立安全、保密的连接，但却找不到相应的s a ， i p s e c 的内核便会自动调用i k e 。i k e 会与目标主机或者途中的主机路由器协商具体的s a ， 而且如果策略要求，还需要创建这个s a 。 ( 2 ) 删除 可能有多方面的理由需要删除s a ： 存活时间过期 密钥已遭破解 另一端要求删除这个s a 。 s a 可以手工删除或者通过i k e 来删除。为降低别人破解系统的可能性，经常需要更新 密钥，i p s e c 本身没有提供更新密钥的能力，为此，我们必须先删除现有的s a ，再协商并 8 东南大学碗士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 建立一个新s a ，一旦s a 被删除，它所使用的s p i 便可重新使用。为避免耽搁通信，必须 在现有的s a 过期之前，协商好一个新的s a ，如果s a 的存活周期非常短，那么在即将到期 的s a 被删除之前，拥有多个s a 的通信双方便可利用以前的s a 来保障通信的安全。然而， 最好的做法还是重新建立s a ，尽量避免使用以前的s a 。 2 3 5 安全关联数据库s a d b 为了维护当前活动的s a ，在i p s e c 的实现中需要建立一个s a 数据库。即s a d b 。s a d b 维持着两个通信实体之间进行安全通信的会话场景。它需要保存具体协议规定的信息和一 些通用信息。s a d b 还应该提供其他模块访问自己的接口，最主要的操作就是查找、添加、 删除、更新。s a d b 实现的具体方式可以使用哈希表，使用 安全参数索引，目的地址，协 议) 三元组作为关键码，链接方式解决冲突，同时使用链接方式组成s a 组合，以描述复杂 的报文处理过程。 2 4i k e 消息格式 i n t e r n e t 安全关联密钥管理协议i s a k m p 定义了协商、建立、修改s a 的过程和包格式， 它提供了一个通用的s a 属性格式框。i k e 使用的是i s a k i p 的消息格式。i s a k m p 双方交换 的信息是以载荷的形式传输。 2 4 1 i s a 删p 头格式 i s a k m p 由个定长的头和不定数量的载荷组成。定长的头包含着协议用来保持状态并 处理载荷所需的信息。i s a k m p 的头格式见图2 - 4 。 发起者c o o k i e 响应者c o o k i e 下一载荷主版本剐版本交换类型标志 消息1 0 消息长度 图2 - 4i s a k m p 头格式 发起者的c o o k i e 和响应者的c o o k i e ：分别由发起者和响应者创建，与消息i d 一起 用于标志状态，以便对i s a k m p 交换进行定义，每一个s a 的c o o k i e 应该是独一无二 的。一个可能的生成c o o k i e 的方法是采用m d 5 、s h a 一1 或其他支持的散列函数对通 信方源地址、目的地址、u d p 端口、目的端口、本地生成的保密随机数和当前的日期、 时间的连接进行散列运算。 下一载荷；指出在各个i s a k m p 头之后，由那个载荷尽随在这个头之后表2 一l 说明 了i s a k m p 目前定义的载荷以及为每种载荷分配的值。 主版本和副皈本：标志i s a k m p 版本号。 交换类型：这个8 比特域指定组成消息的交换的类型。i s a i 啦p 目前定义的交换类型 有：基本类型、身份保护类型、野蛮模式类型、信息类型等。 标志：为接收者提供与消息有关的特殊信息。目前使用了这个8 比特域的前3 个， 分别是加密比特、提交比特、仅认证比特。其他比特在传输前被设置为0 。 消息i d ：这个4 字节域包含一个由发起者在阶段二协商生成的随机值。它作为难一 的消息标志，用于在阶段二的协商中标识协议状态。 9 东南大学硕士论文v p n 中基于证书的身份认证和密钥交换技术的研究与实现 长度：这个4 字节域以字节为单位标明整个消息长度( 头加上载荷) 。 表2 - 1i s a k m p 载荷分配的值 下一载荷类型分配的值 无( n o n e )0 安全关联( s a )1 建议( p r o p o s a l ) 2 变换( t r a n s f o r m )3 密钥交换( k e )4 标识( i d e n t i f i c a t i o n )5 证书( c e r t i f i c a t e )6 证书请求( c e r t i f i c a t er e q u e s t ) 7 散列( h a s h )8 签名( s i g n a t u r e ) 9 n o n c e1 0 通知( n o t i f i c a t i o n )1 1 删除( d e l e t e )1 2 厂商( v e r d o r )1 3 2 4 2i s a k m p 载荷 由表2 - 1 可知，在i s a k m p 中定义了多个载荷，包括安全关联s a 载荷、建议载荷、 密钥交换载荷、标识载荷、证书请求载荷、证书载荷、散列载荷、签名载荷等等。对于 各个载荷i s a k m p 都规定了其格式。 每个i s