（计算机软件与理论专业论文）基于ipsec的端到端安全通信技术研究与实现.pdf

摘要 随着i n t e r n e t 的迅速发展，网络安全越来越受到人们的关注i p s e c 的重要性 也越柬越被队识，现有的i p s e c 策略管理机制和i e t f 提出的安全策略系统模型 无法满足刚络安全的细粒度需求。本文针对金航网内部安全应用需要，围绕着端 到端网络通信的安全问题展丌讨论，对基于i p s e c 的i k e 、安全策略管理等技术 进行了重j 、i 研究，并运用于实际的系统设计中。 论文首先列i p s e c 安全协议体系进行了深入分析，讨论了端到端通信中的安 全问题，提出了利用i p s e c 实现端到端安全通信的思想。 论文针对用户普遍采用w i n d o w s 平台的实际情况，提出了基于w i n d o w s 平 台的i p s e c 实现方案，完成了i p s e c 驱动模块、底层驱动与应用层接口模块、i k e 模块的i 5 计与实现。 论文接着探讨了现有的i p s e c 策略管理机制及安全策略系统( s p s ) 巾可能 会出现的问题，提出基于虚拟绢的组安全策略系统模型，并在会航网内部实现原 型系统。 最后提出了系统需要进。步完善和改进的方向。 关键词：i p s e ci k e 组安全策略 安全策略系统端到端安全通信 a b s t r a c t w i t ht h e d e v e l e p m e n t o f i n t e r n e t ，p e o p l ep a y m o r ea t t e n t i o nt on e t w o r k s e c u r i t y t h ee s s e n t i a l i t y o fi p s e cs t a n d so u t n o wi p s e c s p o l i c ym a n a g e m e n t m e c h a n i s ma n dt h es e c u r i t yp o l i c ys y s t e mm o d e la d v a n c e db yi e t fc a n t s a r i s f yt h e a c t n a l r e q u i r e m e n t s o fn e t w o r k s e c u r i t ya i m i n g a tt h e s e c u r i t yr e q u i r e m e n t s o f a n i c n e t ，w ed i s c u s st h es e c u r i t yf r o me n dt oe n df i r s t ，t h e nr e s e a r c ht h et e c h n o l i g y o fi k ea n dm a n a g e m e n to f s e c u r i t yp o l i c ya p p l i e di nt h ep r a c t i c a ld e s i g no fs y s t e m f i r s tr e s e a r c h e st h es y s t e mo f1 p s e cs e c u r i t yp r o t o c o ld e e p l y , t h e nd i s c u s s e st h e p r o b l e m so fs e c u r i t y i ne n d t o - e n dc o m m u n i c a t i o n ，a d v a n c e st h ei d e ao fr e s o l v i n g p r o b l e m si ne n d t o e n ds e c u r i t yc o m m u n i c a t i o nu s i n gi p s e c a i m i n ga tt h ei n s t a n c eo f m o s tc l i e n tu s e ra p p l yw i n d o w s ，t h i st h e s i sa d v a n c e s i p s e cr e a l i z a t i o n p r o j e c t b a s e do n w i n d o w s ，d e s i g n s a n dr e a l i z e si p s e cd r i v e r m o d u l e ，d r i v e ra n da p p l i c a t i o n si n t e r f a c em o d u l e ，i k em o d u l e t h e nd i s c u s s e st h e p r o b l e m s o c u r r i n g i n e x i s t e n t i n g i p s e c s p o l i c y m a n a g e m e n t m e c h a n i s ma n d s e c u r i t yp o l i c ys y s t e m ( s p s ) ，a d v a n c e s t h e g r o u p s e c u r i t yp o l i c ys y s t e m m o d e lb a s e do nv i s u a lg r o u p ，a n dr e a l i z e s t h e s y s t e m i n a n i c n e t a tl a s tt h et h e s i sp o i n t st h i ss y s t e m 、sn e x tw o r k w a y k e yw o r d s ： i p s e ci k e g r o u ps e c u r i t yp o l i c ys e c u r i t yp o l i c ys y s t e m e n d - t o e n ds e c u r i t yc o m m u n i c a t i o n 眄北。、人学坝i 学位论文：* - i p s e cn 1 端到端k 辛迪竹技术埘圮- 埘 i 1 研究背景意义 第一章绪论 航空工业综合信息网( 令航网) 是覆盖全行业所自企事业单位的q l k 专l 碉， 是航空工业c a d 应用工程( a v i c c a d ) 和航空工业管理信息系统( a v i c c m i s ) 的支持平台，是航空工业信息化建设的基础。令航网主要由主干网络中心、次级 网络中心和备企事业单位园区网构成的一个分层网络，通过防火墙实现了与外部 的安全隔离， j 是网络内部的安全问题没有得到有效解决。 会航嘲( j 9 3 - 干刚终中心和子次级网络中一c j 、2 _ n 发有链路加密设各，保证了_ i 二 t i 【：i 4 到次级中心问数据的安全性，但它无法保证次级中心到园区网、及园区网内 部各部门之阃数据的保密性。金航网经过多年的发展，上面有许多应用系统，有 e l ：f个或多个系统组成一个工作组来完成一项任务，工作组可能在一个园区网 内，也有可能跨越多个园区阿。工作组内的数据要求对外保密，组外用户不可访 问和修改，这就要求在网络内主机之问的通信提供数据机密性、完整性、身份验 证的要求。 目前，i p s e c 协议是i e t f 丌发的一套互联网安全标准，为i p 数掘报提供数 扼完整性、$ 2 l g 性、数据源认证等安全服务。在网络层上实现i p s e c 协议不需要 对一e 层应用做修改，就可以透明地提供安全保护，因此可以采片j 基于网络层的 i p s e c 技术实现在会航网内部的工作组主机之问通信的机密性、完整性、身份验 证的要求。现有的i p s e c 技术主要用于构建v p n ，而用i p s e c 实现的v p n 主要 采用两种形式：种是安全网关，它是独立的硬件设备，完成对内都资源的访问 控制，以及提供和远程子网或主机问的加密信道；一种是单机，i p s e c 直接实现 于本机，保护远端子网或主机与主机的安全通信，包括单个服务器、p c 机t 便 携式计算机以及p d a 和其他的无限移动设备。i p s e c 的本地实现方式的优点在于 端到端安全特性，它保证数据从发送者安全到达接收者a 而安全网关实现方式则 不具备这种端到端的安全特性，加密的通道终止于安全通信，内部网的通信是明 文的。对于v p n 的应用而者，不具备端到端安全性不是什么安全闽题，因为v p n 假啦内部网用，、t 匙可信赖的，内郎删发生的安全性问题不在v p n 的考虑范幽内u p q 北丁业人学似1 学位论：捕十i p s c c 的端到端奠争通信技术 【= 冗，实现 但是对于金航网内部成员问的安全通信需求，我们需要采用i p s e c 的本地实现。 l p s e c 为i p 报文提供保护，这种保护依赖于本地安全策略数据库 s p d ) 中定 义的策略。安全策略描述了两个实体间的安全通信特性，定义了在引么模式下使 用什么协议，还定义了如何列待i p 包等，所以如何保证安全策略的正确性是很 重要的点。在个大规模的网络环境中，如果为每台主机进行手动的策略配胃 管理，可能会带来配置复杂以及策略冲突的安全隐患，因此如阿建立一个安全策 略系统，自动完成整个网络中各台主机的策略的f 确配置和管理是必要的。 基于i p s e c 的虚拟专用网( v p n ) 技术以及安全策略系统可以有效的解决会航 网内部主机之间信息传递的安全性。 1 2i p s e c v p n 技术发展现状 i p s e cv p n 技术主要包括隧道技术、加解密技术、密钥安全协商技术和身份 认证技术。其中隧道技术和加解密技术已经很成熟，可以通过标准的协议实现。 目前存在几个问题：一是i k e 密钥协商标准由于过于复杂，i e t f 工作组限在考 虑用一种新的协议替代i k e ( i m e r n e tk e ye x c h a n g e ) 【3 】实现密钥协商。j f k ( j a s t f a s tk e y i n g ) 是由a t & t 实验室丌发的，能够完成与i k e 相同的功能，但更加简单 安全，极有可能替代i k e 协议【3 】。二是对安全策略没有标准的协议规定，因此在 策略表示语言的规范、策略集中发布、策略冲突的检测方面还存在大量的工作。 三是不同产品对协议支持的程度不同，加之策略发布机制，认证机制的不同产品 互操作成为问题。 国内l p s e cv p n 产品较多，比如基于号有操作系统的华为q u i d w a y 系列、 中网黑客愁、阿尔卡特o m i n i a c c e s s 2 1 0 0 0 1 。基于w i n 9 x n t 2 0 0 0 的联想网御防 火墙集成了i p s e cv p n 功能，可咀用作安全网关。清华得实的紫荆盾防火墙 n e t s t 与硬件v p n 进行结合，用于满足大型企业骨干网络，数据中心的需求“。 这些产品大都与防火墙技术结合，功能复杂而庞大。适合少量部署在子网边 界，作为安全网关来保护子网到子网的数据安全，而不适合保护端到端的数据通 信。我们要解决金航网内工作组成员间通信数据的机密性，势必要保护主机到主 机的数掘，要在主机上实施i p s e cv p n 软件，功能过于庞大的软件会影响整个网 络和主机的性能。 1 q 北1 - 业人学坝 学位论奠：基十i p s c c 的端到端曩争通侪技术删。，ij 实观 微软提供丁套部署 p s e cv p n 的机制，w i n 2 0 0 0 系统本身已经实现丁 i p s e cv p n ，而且利用w i n 2 0 0 0s e r v e r 活动目录服务可以实现策略的集中发却和 k e r b o r o s 身份认证i 】。但是微软的源代码不开放，并且没有提供可以添加加密认 证算法的接口无法加入自己的加密和身份认证模块，难以满足余航网内部特定 的安全需求，所以不适台我们系统的一定的安全性要求。 由于令航网特殊的安全需求，网中主机的操作系统平台并不唯，有u n i x 操作系统、w i n d o w s 系统和l i n u x 操作系统，因此有必要丌发适合内网安全需 求跨平台的i p s e cv p n 软件。 1 3 安全策略系统研究现状 随着v p n 规模的不断扩大，从几十个到几百个甚至上千个，安全策略的配 置和管理问题就变得越来越突出。如果一个网络管理员必须逐一访问每个安全实 体，并且依照他的系统安全策略对网络实体进行手2 2 r e 置，这不仅要花费相当一 部分州问，同时，势必还会引发网络中存在的一些潜在的错误，甚至影响整个网 络的安全。随着网络的不断扩展，如何以一种可扩展的安全可靠的方式表示、发 现、交换和管理v p n 的安全策略成为网络安全领域的一个新的研究课题，为此， i n t e m e t ： 程任务组最近刚刚成立了i p s p ( i ps e c u r i t y p o l i c y ) 工作组寻求剥这个 l 训题的解决方案m 1 。 i e t f 针对v p n 的策略管理提出了s p s 模型，它应用s p s l 拉6 1 柬描述安全策 略，用s p p 2 s l 束分发策略指向本地策略数据库的服务器提供给客户端代理策 略信息。当本地服务器不能决定某个特定的主机或者网关身份的时候，它将会 与其他服务器进行交互请求。安全策略的存储采用l d a p 协议”和中心式存储 模型，策略的管理通过策略服务器进行，策略信启、的传递通过安全策略协议 ( s p p ) 。网关之削利用实现的网关发现机制，使得异构安全域之间或者相互之 恻未认证的安全域之阳j 可以进行i p s e c 通讯。实施点( 主机或网关) 定期向安全 域中的策略服务器发出策略信息请求，请求更新其s p d 。当实施点在进行i p s e c 处理的过程中没有找到策略时，将立即发出策略信息请求。不同的安全域的策略 n n 器2 _ f b j ，在相互已经认证的情况下，同样定期交换策略信息，保持相互之问 策略的一致性 2 9 1 ， 从概念上束说s p s 满足i p s e c 策略框架所提出的所有要求，但是s p s 在应用 的过稃中存在很多问题 3 0 1 。s p s 采用i p s e c 进行s p p 交换的认证，当通讯路径 中存在有多个安全域时，情况将变得很复杂，并且，在所有的安全域间协商、建 立i p s e cs a 将产生很大丌销。这将使得利用i p s e c 保护s p p 代价很大。而且无 论怎样配置i p s e c ，总会有初始数量的未经认证的s p p 通讯。一些安全域可以将 之考虑为一个无法接受的安全冒险，从而放弃它。s p s 的实现过程中，采用信任 链和认证机制，造成s p s 的复杂性，从而影响其可靠性操作。s p s 对策略的冲突 问题没有很好的解决，因为s p s 机制在某些方面定义的过于灵活，而且可能导 致不同实体角色的混乱。认证是i n t e r n e t 的普遍需求，随之而产生的问题有：策 略的描述、策略的发现、交换和管理，它们控制了对网络资源进行可靠、安全以 及可伸缩的存耿方式，s p s 的目标就是要解决上述问题。目前的s p s 还处于研究 阶段，存在很多问题需要我们进一步改进。 1 4 研究内容 金航网上实现i p s e cv p n 要解决以下问题，首先实现端到端的安全通信，即 两实体之间的i p s e cv p n 互通信：其次设计一个安全策略系统完成在金航网内部 i p s e c 策略的自动管理配置。对于第一个问题考虑采用w i n d o w s 网络驱动开发技 术、系统编程技术与s o c k e t 套接字通信技术等开发技术进行w i n 2 k 平台上i p s e c 实现；对于第二个问题，提出在虚拟组网环境卜，在安全策略系统与虚拟工作组 概念结合的基础上，开发适合具体应用需求的虚拟组安全策略系统，保证网内各 成员之间的安全通信。 目前该系统已经完成部分开发，在w i n 2 k 下利用n d i s 中间层驱动技术实现 了i p s e c 底层核心程序，i p s e c 底层驱动加密使用静态配置密钥，而i p s e c 协议 标准规定使用由应用层的i k e 协商密钥，所以我们下一步的工作首先要做完整 的i p s e c 客户端软件实现，包括i k e 子系统以及与底层驱动的接口设计实现。 沦文的研究内容如下： 1 、i p s e c 关键技术的研究，主要研究i k e 协议 4 两北 业人学坝f 学位论殳：璀十i f s e c 的端到端奠_ 牟：通竹救术研究。实现 2 、通过列基丁w i n d o w s 甲台的i p s e c 实现关键技术研究，进行i p s e c 客户 端软件的设计实现，对应用层的i k e 子系统以及ji p s e c 驱动子系统的 接口作详细设计实现； 3 、分析i p s e c 策略管理机制及安全策略系统存在问题，结合虚拟组网概念， 进行满足余航网具体应用需求的基于虚拟组的安全策略系统； 4 、在金航网内部设计实现组安全策略系统，提出策略系统实现中所涉及到 的难点与关键技术： 论文的组织如下： 第一章介绍本文的研究背景和课题来源。主要介绍i p s e ev p n 技术、安全策 略系统研究现状，提出为满足余航网内部端到端安全通信，要对这些技术进行研 究和改进。 第= - _ - 章首先对i p s e c 安全协议及其实现方式进行了深入研究，从理论角度论 述了| p s e c 安全标准的体系结构、安全协议、密钥管理、安全联盟和加密算法等 关键技术；然后介绍端到端虚拟网系统思想，提出基于i p s e c 的端到端系统实现 方案。 第三章在分析w i n d o w s 平台i p s e cv p n 实现技术的基础上，提出端到端安 全通信模型，最后进行系统设计实现，对i p s e c 底层驱动子系统、i k e 子系统、 应用层与核心层的接口作了详细设计实现。 第四章首先分析原有的i p s e c 策略管理机制及其在具体实现中可能会出现的 问题，研究目前的解决方案一一安全策略系统，结合虚拟组网概念，提出组安全 策略系统实施方案，深入研究探讨在组安全策略系统实现中的所遇到的技术难点 和关键技术。 第五章根据前面设计的组安全策略系统模型，对系统中各个模块的设计与实 现进行了详细的阐述。 最后，对本文的主要研究结果进行了总结，并提出了下一步的研究方向。 两北丁业人学坝卜学位论文：糠十i p s e c 的端到端宜争通仃i 技术训究t _ 宴m 第二章i p s e c 安全协议 2 1 i p s e c 体系结构i _ i ) i p s e c 协议族山i e t f 制定先成，主要包括4 个部分：安全协议、安全联盟、 密钥管理与由习南算法。i p s e c 提供一整套基于i p v 4 和i p v 6 、互操作性强、性能好 的安全机制。它能提供访问控制、无连接数据的完整性验证、数掘传输的机密性 保护、抗重播保护等功能m 1 。 i p 包本身并不继承任何的安全特性，很容易便可以伪造出i p 包的地址、修 改其内容、重播以前的包以及在传输中拦截并查看包的内容，采用i p s e c 能够满 足i p 数据_ j ；r n 9 这砦安全需求。i p s e c 的安全体系结构如图2 1 所示。 i p s e c 可以运行在主机和安全网关。i p s e c 体系由i p s e c 协议、i n t e r n e t 密钥 管理协议( i n t e r n e t k e y m a n a g e m e n tp r o t o c o l ，i k m p ) 和i p s e c 安全策略( i ps e c u r i t y s p d b 繁略管理模块 安全协商模块 策略管理模块 安全协商模块 壹兰焉l 坠1 ；簿苣 蚓21i p s e c 体系结构幽 s p d b p o l i c y ，i p s p ) 三个模块，以及安全策略数据库( s p d b ) 、安全关联数据库( s a d b ) 两个数据库组成。 i p s e c 协议主要由i p s e c 处理模块实现，完成对i p 包的安全封装和解封。发 送包时对i p 包用认证算法或者加密算法处理，形成安全协议头，插入到原始i p 包中。接收到包时，按照相应的安全关联，对包进行解密和完整性检查。i p s e c 规范中定义了两种安全协议e s p ( e n c a p s u l a t i n g s e c u r i t yp a y l o a d ) 和a h ( a u t h e n t i c a t i o nh e a d e r ) 。i p s e c 协议处理模块有两种实现方式，一是与操作系 啊北丁、i k 人学坝1 学位论史：蕞十i p s e c 的端到端曩伞通信拙术州宄。j 实观 统的集成，可以作为l 冽络层的一部分来实现，这需要了解操作系统，访问操作系 统的i p 堆栈。第二种方式，将i p s e c 作为堆栈内的块来实现，通常以一个额外 填充物的形式出现，插入到网络层和数据链路层中间，负责从i p 堆栈提取数掘 报，处理之后再将其插入。 安全协商模块利用i s a k m p ( i n t e r n e ts e c u r i t y a s s o c i a t i o nk e ym a n a g e m e n t p r o t o c 0 1 ) f d1 k e ( i n t e r n e tk e ye x c h a n g e ) 协议与要建立安全连接的对方主机咖商 安全联盟。 策略管理模块负责对策略数据库进行操作，完成策略的添加、删除、修改等 操作。 s p d ( 安全策略数据库) 中定义了对外出包和进入包是否进行安全保护，s a d ( 安全关联数据库) 中定义了对外出包和进入包实施的具体保护措施。 2 1 1 安全协议 l p s e c 防议包括鉴别头( a u t h e n t i c a t i o nh e a d e r ，a h ) 和封装安全负载 ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，e s p ) 两个协议。a h 和e s p 既可以单独使用， 也司以联合起来同时使用于同一次数据通信中。 1 ) a t i 协议 a h 协议为i p 数据包提供无连接的完整性和数据源的身份鉴别，以及反重发 ( a n t i r e p l a y ) 保护，其中后者是可选的。所谓“重发”，就是数据发送方( 或者 第三方) 多次发送已经发送过的数据。受到重发攻击的接收方如果缺乏相应的检 测措施，就会多次处理相同的数据，造成数据错误。a h 反重发保护的方法是在 数掘包中加入依次递增的序列号( s e q u e n c e n u m b e r ) ，数据接收方收到数据包时 检查序列号，即可知道该包是否已经收到过，作出处理或丢弃的选择a a h 协议通过在i p 层头部加入一个附加的a h 头部来实现，此a h 头部包含 数据完整性等安全要求所需的完整性检查值( i n t e g r i t y c h e c k y a l u e ，i c v ) 。 2 ) e s p 协，议 e s p 协议为l p 数据包提供机密性、数据源的鉴别、无连接的完整性、反重 发服务和有限的通信量的机密性。其中数据源的鉴别和无连接的完整性两种安全 服务是可选的。通信量的机密性是指利用隧道模式传输数据，安全网关把通信双 方的所有信息( 包括身份，如i p 地址、端口号) 隐减起来，不为第三方所知哓。 e s pm 议通过加密整个传输层数据报柬实现。它在i p 包头部之厉加入一个 e s p 头部，之后跟着经过加密的传输层数据报，如果需要提供鉴别服务，则在尾 部再加上完整性检查值i c v 。 3 ) 数据封装的模式 i p s e c 协议规定了两种数掘封装的模式：传输模式( t r a n s p o r tm o d e ) 和隧道 模x t ：( t u n n e lm o d e l 。 传输模式，只对i p 数据包中的上层胁议数据部分进行加密或鉴别。此 采川e s p 之后 区堕晒 i，j。一 原i p 包头 e s p 头部l 数据 l e s p 尾部 e s p 鉴别l ljl 1 1 加南 7 剀2 , 2e s p 协议以传输模式封装的i p v 4 报文格式转换图 刚，继续使朋以前的i p 头部，只修改l p 头部的部分字段，而把i p s e c 协议头部 插入到i p 头部和传输层头部之削。我们以e s p 协议对i p v 4 报文的转换过程为例， 如图2 2 所示。 隧道模式，对整个i p 数据包进行加密和或鉴别。此时，需要产生一个新的 i p 头部i p s e c 头盘b 放在新的i p 头部和以前的i p 数据包之间。我们以e s p 协议 对i p v 4 报文的转换过程为例，如图23 所示。 两北t 业人学f i ! ； 学位论文：蜒十i p s e c 的端到端虫拿通信拙术驯宄，j 嵌肌 采川e s p 之 j i f 匝亘习玉习 i 新的l p 包头 e s p 头部i 原【p 包头i 数据| e s p 尾部 e s p 鉴别j ij i 、 拥紊 7 幽2 3e s p 协议以隧道模式封装的i p v 4 报文格式转换图 2 1 2 安全策略数据库( s p d b ) 、安全关联数据库( s a d b ) i p s e c 连接是由安全联盟( s a ) 来定义的，s a 由两个想建立通信的网关通 过交换安全关键字来建立，s a 规范了以下安全参数：i p s e c 协议、认证和加密 算法、关键字以及整个s a 的有效期。由于s a 是单向的，因而每建立一个i p s e c 连接部需要建立两个s a ，即每一端各建立一个。 s a 的建立和保持是由i k e 完成的，每个s a 是由s p i ( 安全参数索引) 、i p 目的地址与安全协议标识( a h 或e s p ) 3 个参数共同来唯一标记的。s a 也分为 两种类型，即传输模式和隧道模式。 s p d b 是i p s e c 体系中所有安全策略的集合，它是由有序的策略项( p o l i c y e n t r v ) 组成的表。策略项以一个或多个选择符( s e l e c t o r ) 为关键字，定义符合 此关键字的通信数据应采取的安全策略，如直接通过、丢弃或进行i p s e c 处理。 如果进行i p s e c 处理，该策略项要包括一个或多个s a 特征的详细定义，包括使 用的i p s e c 协议、封装模式、算法、密钥等安全要求。 s a d b 为进入和外发i p 数据包维持一个活动的s a 队列。外发s a 用来保障 外发包的安全，进入s a 用柬处理带有i p s e c 头的进入包。s a d b 是所有s a 的 集合，其管理要么手工，要么通过i k e 之类的一个自动密钥管理系统来进行。 2 1 3 安全协商协议 i n t e r n e t 密钥交换协议( i k e ) 是一种混合型的协议，它沿用了i n t e r n e t 安全联 l 儿j 北r 业凡学坝 。学位论文：幕十i p s e c 的端到端立争通竹扯术研- 9 t 。，实现 接和密钥管理协议( i s a k m p ) 的基础，o k l a y 密铜管理协议中传输模式的概念 及s k e m e 密钥交换协议的共享和密钥更新技术，定义出了自己的验证加密材 料( k e y i n g m a t e r i a l ) 生成技术，协商安全关联过程。它是i p s e cv p n 实施最复 杂n 勺酃分， 2 1 3 1i s a k m p 协议 i n t e r n e t 安全联接和密钥管理协议( i s a k m p ) 在r f c 2 4 0 8 中定义吐它主 要舰定了协商双方进行协商的浯言“，包括胁、商的两个阶段，构成协商消息的1 3 种载荷，及k 种交换( 即协商s a ) 方式。 ( 1 ) 协商的两个阶段 i s a k m p 协议描述了协商的两个独立阶段。在第一阶段，通信双方彼此建 立一个通过身份认证和安全保护的通道，用来保护阶段二的通信。协商结果是建 立了个i s a k m ps a 。第一：阶段的协商在i s a k m ps a 的保护下进行，即在通 过验证和安全保护的通道下为另一个不同的协议( 比如i p s e c ) 协商安全服务， 结果产生保护实际通信数据的i p s e cs a 。可见i s a k m ps a 和i p s e cs a 不同， 但也有相同之处。 ( 2 ) 消息载荷 i s a k m p 协泌进行s a 的协商过程中，所有消息都是由i s a k m p 头和载荷链 接征一起构成的。i s a k m p 头的定义如图2 4 所示： 发起者c o o k i e 响席者c o o k i e rt 载衙主版本副版本 交换类州标占 消息1 d 消息妖度 幽2 4i s a k m p 头 c o o k i e ：由每个1 s a k m p 实体产生。对任何交换来说，第一步都要交换 c o o k i e 。c o o k i eq - ：成建议在本机的私有信息和i p 源地址，目的地址，u d p 源目 - 一旦韭二些型立型堕上兰些堡兰二j 生生坐壁燮型型些竺竺生些查型型! ! 苎型 的端口上进行快速h a s h 运算产生。私有信息防e 了攻击者伪造c o o k i e 因此 c o o k i e 可以用水标识协商通信实体。阶段一的i c o o k i e 利r c o o k i e 唯一标识了一 个i s a k m ps a 。 r 一载荷：说明了i s a k m p 头后紧跟的载荷类型。 交换类型：i s a k m p 定k t5 种交换类型如下所示 b a s e l i d e n t i l 3 一p r o t e c t i o n2 a u f l l e n t i c a t i o no n l y 3 a g g r e s s i v e4 i n f o r m a t i o n a l 5 交换类型决定了随后为建立s a 和密钥素材( k e y i n g m a t e r i a l ) 而交换的消息 顺序和消息中的载荷顺序。 消息i d ：用束在阶段二的协商中标识协议状态，由发起者在阶段二咖商中 随机产生，在阶段一协商中设置为零。当同时进行两个s a 协商时，它的值由于 独立产生，所以不同。 i s a k m p 中定y t 十三种载荷，每个载荷都有通用的载荷头，通用载荷头中 部有、卜一载倚字段r 所有的载荷靠这个字段琏接在一起构成一个i s a k m p 消息。 如图25 所示： 5 图25 ( 3 ) 交换方式 i s a k m p 中定义了五种交换( 协商s a ) 方式，不同的方式中协商的消息数 和消息、构成都不同。 第一种：b a s e 交换如下 胁商发起者力向 协商响廊者注释 ( 1 ) h d r ：s a ；n o n c e f 2 ) ( 3 ) h d r ：k e ；i d i i ；a u t h ( 4 ) 分析 特点：没有进行密谓的交换，减少了通信次数。只进行身份认证，而不提供机密 性保护。 第四种：野蛮交换( a g r r e s s i v ee x c h a n g e ) 发起者方向 响应者 ( 1 ) h d r ；s a ；k e ：n o n c e ；1 d i i 2 f 2 1 错通矢【j 莉i 册0 除通知j 特点：只有一条单向消息，消息中只包含通知载荷或删除载荷。消息用束通知对 力发生了错误或已经从s a d b 库中删除了一i s a 。信息交换可以插入到任何前四 种交换中进行，何时发通知依赖于本地安全策略和程序实现。 i s a k m p 定义的五种变换方式并没有明确用于阶段还是阶段二协商，而且 我们可以注意到在前四种交换方式中，如果要验证密钥交换的过程，则通过密钥 交换过程双方交换过的信息产生验证信息放入a u t h 载荷，但在i s a k m p h h 并没 有定义a u t h 载荷。a u t h 的内容和具体采用1 3 种载荷中的哪种载荷提供验证信 启、；殳有明确定义。这个问题由i k e f 力、议来解决，i k e 中定义了几种验证交换的方 式，见下一节。 2 1 3 2i k e 协议 i n t e m e t 密钥交换协议( i k e ) 1 在r f c 2 4 0 9 中定义。i k e 沿n t i s a k m p c p 定_ 义的协商的两个阶段：阶段一建立i s a k m ps a ；阶段二在i s a k m k ps a 的保护 下协商建立j p s e cs a 来保护实际要保护的通信数据。但i k e 在i s a k m p 协商框架 平u 语言规范的基础上做了进一步的完善：它定义了协n j s a 的n 性和及其耿值， 明确了阶段一协商的两种模式，主模式和野蛮模式。其中主模式对应于i s a k m p r = _ 1 定义的i d 保护交换，野蛮模式对应于i s a k m p 中定义的野蛮模式交换。另外， i k e 为阶段二协商定义一种快速模式交换。它新定义的新组模式交换不属于阶段 ，也不属于阶段二，它是在阶段一协商 i s a k m ps a 后，1 办商一个新的 d i f f i e h e l l m a n 组，为以后的协商作准备。i k e 标准规定主模式和快速模式是必 须实现的。 ( 1 ) s a 属性 i k e 阶段一协n i s a k m ps a ，开始的两条协商消息中包含s a 载荷，s a 载荷 中必须包含的协商属性、必选和可选的属性值及其用途如图2 6 所示。 加密算法用柬在密钥交换完成( 一般是第三、四条消息交换后) 并生成加密 密钥后，保护阶段一剩余的协商消息和阶段二协商消息。 认证算法用来在协商过程中验证对方身份。 h a s h 算法一般用在协商的最后两条消息中，利用前面交换过的信息，产生 h a s h 值形成h a s h 载荷，用束验证整个交换过程。另外，在没有指定密钥生成 伪随机函数的情况下，h a s h 函数来生成s k e y i d 一。密钥，保护阶段一、二的协商 和最终的1 , j j t 议密钥( 比女n e s p i j h 密密钥k e y m a t ) ，见下节。 必颂支持的傩法州途必须支持的属性可选的属睦值 加密算法加密随后的阶段一干阶 d e s c b ci d e a - c b c b l o w 段协商数据f i s h c b c ，r c 5 r 1 6 一b 6 4 - c b c 认扯博法认证对方的身份预共享密钥认证公钥认证( r s a 签 名，d s s 签名r s a 加密) ，政进的公钥 认证 算法计算各种s k e y i d + 密m d 5 s h a t l g e r 钥，产生验证交换的验证 信息 娴利川该组的公共信息千7 2 8 忙m o d p 纲 1 0 2 4f 市 戟苘中的私有信息产生 m o d p , e c 2 n e n 2 n 再种s k e yl d + 密钥素 材 剀2 6s a 属性表 d i f f i e h e l l m a n 密钥交换技术邺1 用来在一个不保密的、不受信任的通信信道 上，在交换双方之浏建立起一个安全的共享密钥g “a b 。 d i f f i e h e l l m a n 密钥交换的第一步是在通信每一端( 在加密技术中通常成为 a l i c e 和b o b ) 选耳艾一个私人数字，并在双方预先设定的d h 组内( s a 协商中 指定每个组有吲定的g 和p 值) 进行乘幂运算，产生一个公共值，如下所示： a l i c eb o b a = g “am o dpb 。g “b r o o d p 然后，a l i c e 和b o b 交换a 和b 的值( 在i k e 中通常将该值放入k e 载荷， 存i , j 3 , i 5 a i , ) f 4 息中传送，见下节) 。然后它们分别用b 和a 作底数，按同样的方法最 终产生丁共享的个信息。 a l i c eb o b b “a m o d p = 矿( a b ) m o dp a b r o o d p 2g ( a b ) m o dp i k e 利用g “a b 的值产生加密、认迁密钥s k e y l d ，见下肖， i k e 定义了丘个d i m e - h e l l m a n 组，每个组对应一缉吲定的组参数，用r d h 交换时作为通信双方预先共享的信息。其中第i ，2 ，5 组是基于传统乘幂运算的 组( m o d p 组) ，3 ，4 组为基于椭圆曲线的运算的组( e c 2 n 组) 。图2 6 中表明了i k e 必须和可选支持的组。 以上讨论了阶段- - i s a k m ps a 协商的属性，对于阶段二i p s e cs a 的属性在 d o i ( r f c 2 4 0 7t h ei n t e r n e ti ps e c u r i t yd o m a i no fi n t e r p r e t a t i o nf o ri s a k m p ) q 3 自 定义1 2 m ，一般是a h 或e s p t 力、议及其算法。 ( 2 ) i k e 交换 i k e 协商过程中采用的认证方法不同，则协商的载荷类型和消息构成也不 同：i k e 支持预共享密钥认证、公钥签名认证、公钥加密认证、改进的公钥加密 认证。i k e 中阶段一主模式和阶段二快速模式是必须实现的，下面我们分析预共 享密钥认证和公钥加密认证在主模式和快速模式下的实现，并且分析各种密钥的 生成。 预共享密钥阶段。协商( 主模式) 发起者响应者 h d r 、s a一 一h d r s a h d r ，k e ，n i - - 2 - 一h d r ，k e ，n r h d r + ，i d i i h a s h i 一 一h d r ，s a h d r k e ，fh a s h ( f ) ，】， 一一一! 1 1 1 f 坐叁堂型! ：兰丝堡兰：苎三! ! ! ! ! 塑堂型堂! 竺塑笪丝查型堑! 盎坐 f 一 h d r + h a s h h d r ，k e ，( _ ：| d i r b p u b k e y 一 p u b k e y i 【，i d c i ，i d c r 】 协商在s k e y i de 的保护卜进行，计算的认证数掘如下： h a s h ( 1 ) = p r f f s k e y i d a ，m i d is a 】n i 【i k e 【j i d c i i d c r 】 6 【j 北r 业人学坝f 学位论文：幂- t - i p s c c 的端到端安伞通f 青拙术研究。实肌 h a s h ( 2 ) 。p r f ( s k e y i d a ，m i d1n i b1s a fn r 1k e 】 1i d c i d c r 】 h a s i - i ( 3 ) = p r f ( s k e y i da ，0m i d i n ib i n rb ) 最终协商得到的i p s e cs a 中协议算法的密钥如下： k e y m a t 2 p r f ( s k e y i d d ，p r o t o c o lis p i 【n i biy r _ b ) ( 没交换k e 载倚) k e y m a t 2 p r f ( s k e y i d d g ( q m ) “x yip r o t o c o l 【s p ien i in r b ) ( 交换了k e 载荷，g ( q m ) n x y 是快速模式中d h 交换产生的共享秘密) f k e 中的i n f ( ) r m a t i o n a le x c h a n g e 与i s a k m p 中定义的相f 司，新组 模式交换用束协商新的d h 组，这羁不再详述。 2 1 4 加密算法 i p s e c 是一系列在其内部使用认证与加密算法的协议，其中两种认证与七种 加密算法已经确定下来。a h 、e s p 协议都是用两种认证算法：h m a c m d 5 和 h m a c s h a i 。它们部是基于密钥的认证算法，通过它们，会话参与者共享一1 个 私钥。 h m a c 提供的数据完整性与数据的原始性依据密钥的分配范围而定。如果 h m a c 密钥只被信源和信宿所掌握，则h m a c 即可以保证在两端点之问传送的 分组报文的完整性，也可以保证其原始性。 具有初始化向量的d e s 算法是在e s p 协议中缺省使用的认证算法。但是只 使用一种加密算法的i p s e c 协议是没有意义的，以下几种算法已经被确定为d e s 的替代算法：3 d e s ，c a s t - 1 2 8 、i d e a 等m 】。 2 2 基于i p s e c 的端