第4章网络层安全通信协议.ppt

第四章网络层安全通信协议 内容提要 IPsec概述AH协议ESP协议IKE协议IPsec问题 IPsec概述 产生背景发展概述设计目标协议特点系统架构 实现模式工作模式安全关联安全策略 IPsec是什么 为了弥补TCP IP协议的安全缺陷 为IP层及其以上层协议提供保护而设计的 由IETF工作组于1998年制定的一组基于密码学的安全的开放网络安全协议 成为IPsec安全体系结构 IPsecurity Internet协议安全性 IPSec 是一种开放标准的框架结构 通过使用加密的安全服务以确保在Internet协议 IP 网络上进行保密而安全的通讯 Microsoft2000 WindowsXP和WindowsServer2003家族实施IPSec是基于 Internet工程任务组 IETF IPSec工作组开发的标准 IPSec是安全联网的长期方向 它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击 在通信中 只有发送方和接收方才是唯一必须了解IPSec保护的计算机 在WindowsXP和WindowsServer2003家族中 IPSec提供了一种能力 以保护工作组 局域网计算机 域客户端和服务器 分支机构 物理上为远程机构 Extranet以及漫游客户端之间的通信 IPSec有两个目标 保护IP数据包的内容 通过数据包筛选及受信任通讯的实施来防御网络攻击 这两个目标都是通过使用基于加密的保护服务 安全协议与动态密钥管理来实现的 这个基础为专用网络计算机 域 站点 远程站点 Extranet和拨号用户之间的通信提供了既有力又灵活的保护 它甚至可以用来阻碍特定通讯类型的接收和发送 IPSec基于端对端的安全模式 在源IP和目标IP地址之间建立信任和安全性 考虑认为IP地址本身没有必要具有标识 但IP地址后面的系统必须有一个通过身份验证程序验证过的标识 只有发送和接收的计算机需要知道通讯是安全的 每台计算机都假定进行通讯的媒体不安全 因此在各自的终端上实施安全设置 除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换 否则仅从源向目标路由数据的计算机不要求支持IPSec 该模式允许为下列企业方案成功部署IPSec 局域网 LAN 客户端 服务器和对等网络广域网 WAN 路由器到路由器和网关到网关远程访问 拨号客户机和从专用网络访问Internet通常 两端都需要IPSec配置 称为IPSec策略 来设置选项与安全设置 以允许两个系统对如何保护它们之间的通讯达成协议 Microsoft2000 WindowsXP和WindowsServer2003家族实施IPSec是基于 Internet工程任务组 IETF IPSec工作组开发的业界标准 IPSec相关服务部分是由Microsoft与CiscoSystems Inc 共同开发的 IPSec协议不是一个单独的协议 它给出了应用于IP层上网络数据安全的一整套体系结构 包括网络认证协议AuthenticationHeader AH 封装安全载荷协议EncapsulatingSecurityPayload ESP 密钥管理协议InternetKeyExchange IKE 和用于网络认证及加密的一些算法等 IPSec规定了如何在对等层之间选择安全协议 确定安全算法和密钥交换 向上提供了访问控制 数据源认证 数据加密等网络安全服务 IPSec的安全特性主要有 不可否认性 不可否认性 可以证实消息发送方是唯一可能的发送者 发送者不能否认发送过消息 不可否认性 是采用公钥技术的一个特征 当使用公钥技术时 发送方用私钥产生一个数字签名随消息一起发送 接收方用发送者的公钥来验证数字签名 由于在理论上只有发送者才唯一拥有私钥 也只有发送者才可能产生该数字签名 所以只要数字签名通过验证 发送者就不能否认曾发送过该消息 但 不可否认性 不是基于认证的共享密钥技术的特征 因为在基于认证的共享密钥技术中 发送方和接收方掌握相同的密钥 反重播性 反重播 确保每个IP包的唯一性 保证信息万一被截取复制后 不能再被重新利用 重新传输回目的地址 该特性可以防止攻击者截取破译信息后 再用相同的信息包冒取非法访问权 即使这种冒取行为发生在数月之后 数据完整性防止传输过程中数据被篡改 确保发出数据和接收数据的一致性 IPSec利用Hash函数为每个数据包产生一个加密检查和 接收方在打开包前先计算检查和 若包遭篡改导致检查和不相符 数据包即被丢弃 数据可靠性 加密 在传输前 对数据进行加密 可以保证在传输过程中 即使数据包遭截取 信息也无法被读 该特性在IPSec中为可选项 与IPSec策略的具体设置相关 认证数据源发送信任状 由接收方验证信任状的合法性 只有通过认证的系统才可以建立通信连接 IPsec产生背景 以IPv4为代表的TCP IP协议没有考虑安全性问题 主要存在的安全隐患有 IP协议没有为通信提供良好的数据源认证机制 而是采用基于IP地址的身份认证机制 IP地址伪造就可以冒充他人 IP协议没有为数据提供完整性保护机制 只是通过IP头的校验和为IP分组提供了一定程度的完整性保护 IP协议没有为数据提供任何形式的机密性保护机制 明文传输成为电子商务等的应用瓶颈 协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞 IPsec发展过程 IETF TheInternetEngineeringTaskForce RFC相关标准见教材 郑州轻工业学院计算机与通信 TCP IP协议族安全架构 IPsec设计目标与功能 设计目标 为IPv4 6提供可互操作的 高质量的 基于密码学的安全性保护机制 安全服务功能 在IP层提供 访问控制 数据报源认证 数据报完整性验证 数据报加密通信机制 流数据的有限机密机制 抗重放攻击机制为什么在IP层 IP层可以为上层协议无缝的提供安全保障 各种应用程序可以享用IP层提供的安全服务和密钥管理 不必设计自己的安全机制 减少密钥协商的开销 IPsec安全实现的方法 安全通信协议 主要包括 头协议AH 封装协议ESP 功能 定义了对通信的各种保护方式 密钥交换协议 主要使用 IKE协议 功能 定义了如何为安全协议协商保护参数 以及如何认证通信实体的身份 两个数据库 安全策略数据库SPD 安全关联数据库SAD IPsec协议安全机制特点 在TCP IP的关键层上提供安全服务功能允许传输层与应用层共享网际层安全服务对网际层 传输层与应用层提供一致的安全服务为上层协议提供无缝透明的安全服务各个应用层程序共享IP层安全机制 安全服务 密钥管理 无需设计自己的安全机制 IPsec体系结构 1 IPsec体系结构 2 IPsec体系 思想 需求 术语 技术机制AH ESP 防控 源认证 完整性 抗重放 加密解释域DOI 通信消息字段语义解释规则集合算法 ESP 加密 认证算法 AH 认证算法密钥管理 IKE SA 可信密钥材料 ISAKMP Oakley SKEME 通信策略 实体通信协商 没有形成标准 IPsec实现模式 1 郑州轻工业学院计算机与通信 IPsec实现方式 2 集成模式 在IP协议源代码中增加IPsec模块BITS模式 在IP层与链路层之间增加IPsec层BITW模式 直接主机 通信子网中实现IPsec集成模式 在主机 安全网关中实现BITS模式 主机中实现BITW模式 内网直接主机 路由器 网关中实现 郑州轻工业学院计算机与通信 传输模式 保护IP数据报有效载荷 AH和ESP拦截从传输层到网络层的数据包 由IPsec组建添加AH或ESP头 Internet A主机 B主机 安全网关 安全网关 IPsec保护区 优点 内网保密通信 负载均衡 各主机分担IPSEC处理负荷 缺点 公共IP 端用户不透明 可泄露内网拓扑 新增的保护头 受保护的内容 IPsec IPsec IPsec工作模式 1 郑州轻工业学院计算机与通信 IPsec工作模式 2 隧道模式 保护整个IP数据报 Internet A主机 B主机 安全网关 安全网关 IPsec保护区 优点 内网用户透明 保护内网拓扑 可用私有IP缺点 内网明文通信 安全网关负载较重 新增的保护头 受保护的内容 比较 ESP 如果要求在主机A和主机B之间流通的所有传输数据包都要加密 应采用ESP模式 AH 如果只需要对传输层的数据包进行认证 采用AH传输模式 郑州轻工业学院计算机与通信 安全关联SA 概念 安全关联SA securityassociation安全关联是IPsec的基础 AH ESP都是采用SA IKE协议的一个主要功能就是建立动态的SA 为实现数据流安全服务而与通信对等方关于某些要素的一种协定 如 IPSec协议协议的操作模式 传输 隧道密码算法与密钥用于保护数据流的密钥的生存期 郑州轻工业学院计算机与通信 安全关联SA 概述 SA通过像IKE这样的密钥管理协议在通信对等方之间协商而生成 当一个SA协商完成后 两个对等方都在其安全关联数据库 SAD 中存储该SA参数 SA具有一定的生存期 当过期时 要么中止该SA 要么用新的SA替换 终止的SA将从SAD中删除 SA使用三元组唯一标示 SPI是一整数 在AH ESP传输 用于接收方索引SA 目的IP地址目前只能使用单播地址 郑州轻工业学院计算机与通信 安全关联SA 类型 SA类型 隧道模式SA 传输模式SA隧道模式SA 定义用于隧道模式通信的SA为隧道模式SA 用于保护隧道通信 一方是安全网关时需使用隧道模式SA 传输模式SA 定义用于传输模式的SA为传输模式SA 主要用于主机间的安全通信 如果主机使用隧道通信 也能使用隧道模式SA 郑州轻工业学院计算机与通信 安全关联SA 特性 IPsecSA 使用IPsec保护某一数据流时建立的安全关联SA单向性 与被保护的数据流方向相关 双向通信的主机既有输出数据流也有输入数据流 对输出数据流需要输出SA保护 输入数据流需要输入SA保护 SA保护数据流的实质是保护数据流对应的输出 输入缓冲区 SA单功能性 一个SA只能完成一种安全保护功能 AH或ESP 一个数据流根据其安全要求可能需要多个SA保护 这些SA称为SA集束 SABundle 构成SA束的方式主要有传输邻接与嵌套隧道两种方式 安全关联SA 传输邻接SA束 传输邻接是指将多个安全协议应用于一份IP数据报中 应用过程中不出现隧道 这种方式仅允许AH和ESP进行一层联合 如SA中的算法强度足够 则没有必要将多个SA嵌套 因为 数据包到达目的地后 只由一个IPsec实例来处理 安全关联SA 嵌套隧道SA束 重复隧道是指将多个SA嵌套用于一份数据报 这些SA的起点和终点可以不同 注意 对一份数据报同时使用AH和ESP传输模式时 应先应用ESP 再应用AH 隧道模式无此要求 安全关联SA 特性 SA时效性 一个SA不是与通信数据流相始终的 而是具有一定的时效性 生存期 这个时效性 生存期可以是一段给定时间段进行标示 也可以按其处理数据量的多少进行设定 SA的时效性 生存期的长短与标示形式取决于通信双方的协商 当一个SA的生存期结束时 要么终止该SA的使用 并将它从SAD中删除 要么使用一个新的SA对原来的SA进行替换 安全关联SA 小结 安全参数索引32位整数 唯一标识SA1 255被IANA保留将来使用0被保留用于本地实现 安全关联SA 小结 输出处理SA的目的IP地址输入处理SA的源IP地址 安全关联SA 小结 AHESP 安全关联SA 小结 32位整数 刚开始通常为0每次用SA来保护一个包时增1用于生成AH或ESP头中的序列号域在溢出之前 SA会重新进行协商 安全关联SA 小结 用于外出包处理标识序列号计数器的溢出时 一个SA是否仍可以用来处理其余的包 安全关联SA 小结 使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是一个重放包 安全关联SA 小结 AH认证密码算法和所需要的密钥 安全关联SA 小结 ESP认证密码算法和所需要的密钥 安全关联SA 小结 ESP加密算法 密钥 初始化向量 IV 和IV模式IV模式 ECB CBC CFB OFB 安全关联SA 小结 传输模式隧道模式通配模式 暗示可用于传输隧道模式 安全关联SA 小结 路径最大传输单元是可测量和可变化的它是IP数据报经过一个特定的从源主机到目的主机的网络路由而无需分段的IP数据包的最大长度 安全关联SA 小结 包含一个时间间隔外加一个当该SA过期时是被替代还是终止采用软和硬的存活时间 软存活时间用于在SA会到期之前通知内核 便于在硬存活时间到来之前内核能及时协商新的SA 安全策略 概念 安全策略SP 指定用于到达或源自特定主机 网络的数据流的策略 即SP指定了对于给定的外出数据流需要使用那些需要使用SA进行保护 那些不需要 那些丢弃 同时指定了对输入流的数据包需要进行怎样的处理 安全策略数据库SPD 包含策略条目的有序列表 用于指定数据流中的某一特定输出数据包使用什么SA 指定输入数据流中的某一特定输入包怎样处理 通过使用一个或多个选择符来确定每个条目 安全策略 目的IP地址 32位IPv4或128位IPv6地址可以是 主机地址 广播地址 单播地址 任意播地址 多播组地址地址范围 地址加子网掩码通配符号等 安全策略 源IP地址 32位IPv4或128位IPv6地址可以是 主机地址 广播地址 单播地址 任意播地址 多播组地址地址范围 地址加子网掩码通配符号等 安全策略 传输层协议 指定传输协议 只要传输协议能访问 许多情况下 只要使用了ESP 传输协议便无法访问 此时需使用通配符 安全策略 传输层协议 完整的DNS名或e mail地址 安全策略 传输层协议 完整的DNS用户名如hjbin 或X 500DN 安全策略 传输层协议 应用端口如无法访问 则使用通配符 安全策略 传输层协议 采取的动作DiscardBypassIPSecApplyIPSec 安全策略 传输层协议 包括 指向一个SA或SA集的指针应用的IPSec协议运用的密码算法生成ICV的算法 输入数据报处理 输出数据报处理 AH协议 AH协议概述AH协议服务AH协议头格式AH操作模式AH处理流程 AH协议概述 为IP包提供数据完整性和鉴别功能利用MAC码实现鉴别 双方必须共享一个密钥鉴别算法由SA指定 鉴别的范围 整个包两种鉴别模式 传输模式 不改变IP地址 插入一个AH 隧道模式 生成一个新的IP头 把AH和原来的整个IP包放到新IP包的载荷数据中 AH协议服务 数据源认证无连接的完整性可选的抗重放服务不提供保密性 AH协议头格式 结构 AH协议头格式 下一个头 8比特 指出AH后的下一载荷的类型 RFC1700 AH协议头格式 载荷长度与SPI 载荷长度 包含以32比特为单位的AH头的长度减2安全参数索引SPI 32bit 用于和源 目的IP地址 IPSec协议 ESP AH 共同唯一标识一个SA AH协议头格式 序列号与认证数据 序列号 SA建立时 发送方和接收方SN初始化为0 通信双方每使用一个特定的SA发送一个数据报则将它们增1 用于抵抗重放攻击 AH规范强制发送者必须发送SN给接收者 而接收者可以选择不使用抗重放特性 这时它不理会该SN 若接收者启用抗重放特性 则使用滑动接收窗口机制检测重放包 具体的滑动窗口因IPSec的实现而异认证数据 该变长域包含数据报的认证数据 称为完整性校验值 ICV 生成ICV的算法由SA指定 具体视IPSec的具体实现而定 为保证互操作性 AH强制所有的IPSec必须实现两个MAC 消息认证码 HMAC MD5 HMAC SHA 1 AH协议 操作模式 操作模式 传输模式 隧道模式传输模式 保护的端到端的通信 通信终点必须是IPsec的终点 隧道模式 AH插在原始IP头之前 并重新生成一个新的IP头放在AH前 AH协议 传输模式特点 传输模式特点 保护端到端 通信终点需是Ipsec终点 AH协议 隧道模式特点 保护点到点通信通信的终点必须是IPSec终点克服了传输模式的一些缺点 郑州轻工业学院计算机与通信 AH处理过程 外出处理 IPsec从IP协议栈中收到外出的数据包时 检索SPD 查找应用于该数据的策略 以IP地址 端口等选择符为索引 确认那些策略适用于该数据包 查找对应的SA 如果需要对数据包进行IPsec处理 并且到目的主机的SA已经建立 通过隐形指针SPI指向相应的SA 如果没有SA IPsec实现将调用IKE协商一个SA 构造AH载荷 填充AH的各个字段 为AH添加IP头其他处理 重新计算IP头校验和等 郑州轻工业学院计算机与通信 AH处理过程 进入处理 IPsec对进入的数据包 分段重组 设置了MF位的数据包到达一个IPsec目的节点时 表明还有分段没有到达 等待所有序列号相同的包到达后 重组之 查找SA 使用作为索引检索SAD 找到处理该分组的SA 如果没有找到 丢包并日志记录 抗重放处理 检查是否重放 如是丢弃并日志 检查完整性 使用SA指定的MAC算法计算数据包的ICV 并与认证数据字段的值比较 如不同 丢包并日志 嵌套处理 如果是嵌套包 返回第二步 检验策略的一致性 使用IP头中的选择符进入SPD中查找一条与选择符匹配的策略 检查是否与步骤2查到的SA是否一致 如不一致 丢包 AH输出输入处理 郑州轻工业学院计算机与通信 ESP协议 ESP协议概述ESP协议服务ESP协议头格式ESP操作模式ESP处理流程 ESP概述 提供保密功能 包括报文内容的机密性和有限的通信量的机密性 也可以提供鉴别服务 可选 将需要保密的用户数据进行加密后再封装到一个新的IP包中 ESP只鉴别ESP头之后的信息ESP AH 数据机密性 有限流机密性加密算法和鉴别算法由SA指定两种模式 传输模式和隧道模式 郑州轻工业学院计算机与通信 ESP服务 提供的服务包括数据保密性有限的数据流保密性数据源认证 认证是可选的 无连接的完整性抗重放服务 ESP包格式 ESP格式字段 SPI 32b 取值256 232 1 唯一标示对本数据包进行保护的SASN 32b 单调增加的无符号整数 抗重放攻击载荷数据 变长字段填充项 0 255B 引入原因一 与分组加密相关 4字节的整数倍 原因二 隐藏载荷长度 认证数据 变长字段 内容是ICV ESP加密与认证算法 加密算法 3DES RC5 IDEA 3IDEA CAST Blowfish鉴别算法 ICV计算应支持 HMAC MD5 96 HMAC SHA 1 96 仅用96位 郑州轻工业学院计算机与通信 ESP传输模式 工作范围 郑州轻工业学院计算机与通信 ESP传输模式 数据包封装 郑州轻工业学院计算机与通信 ESP隧道模式 工作范围 郑州轻工业学院计算机与通信 ESP隧道模式 数据包封装 郑州轻工业学院计算机与通信 ESP输出 输入处理流程 SA组合 某些通信数据需要同时调用AH和ESP服务某些通信数据需要主机之间和防火墙之间的服务传输邻接 同一分组应用多种协议 不形成隧道循环嵌套 通过隧道实现多级安全协议的应用 郑州轻工业学院计算机与通信 SA组合 郑州轻工业学院计算机与通信 加密与认证组合使用 郑州轻工业学院计算机与通信 加密与认证组合使用 郑州轻工业学院计算机与通信 传输邻接使用两个捆绑的传输SA内部是ESPSA 没有鉴别选项 外部是AHSA IKE协议 IKE协议概述ISAKMP协议密钥交换阶段密钥交换模式IKE与ISAKMP小结 郑州轻工业学院计算机与通信 IKE协议概述 设计目的 手工方式 SA数量少 密钥更新频率低 自动方式 用户多 规模大 用于对SA的动态管理与维护协议构成 ISAKMP Oakley SKEME协议特点 两阶段 4模式 4认证 请求 应答与ISAKMP关系 ISAKMP定义了一个Internet上通用的密钥交换框架 IKE在前者的框架基础上实际定义了一个密钥交换协议 郑州轻工业学院计算机与通信 IKE设计目的 IPsec使用SA保护通信数据 SA如何建立 SA建立方式 手工创建 动态创建手工创建使用环境 用户少 密钥更新慢动态创建使用环境 用户多 密钥更新快动态创建要求 自动创建与维护 规则 协议动态创建 维护与管理SA的协议就是IKE 郑州轻工业学院计算机与通信 IKE协议特点 两阶段 创建保护者IKESA 被保护IPsecSAIKEISA创建 协商保护套件 执行D H交换 认证D H交换 认证IKESA 基于ISAKMP IPsecSA创建 加密交换消息 消息与源认证4模式 主模式 野蛮模式 快速模式 新群模式4认证 数字签名认证 公钥加密认证 修正的公钥加密认证 预共享密钥认证 郑州轻工业学院计算机与通信 Diffie Hellman Diffie Hellman 一种确保共享KEY安全穿越不安全网络的方法 它是OAKLEY的一个组成部分Whitefield与MartinHellman在1976年提出了一个奇妙的密钥交换协议 称为Diffie Hellman密钥交换协议 算法 Diffie HellmanKeyExchange AgreementAlgorithm 这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥 然后可以用这个密钥进行加密和解密 但是注意 这个密钥交换协议 算法只能用于密钥的交换 而不能进行消息的加密和解密 双方确定要用的密钥后 要使用其他对称密钥操作加密算法实际加密和解密消息 该算法本身限于密钥交换的用途 被许多商用产品用作密钥交换技术 因此该算法通常称之为Diffie Hellman密钥交换 这种密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密 Diffie Hellman密钥交换算法的有效性依赖于计算离散对数的难度 简言之 可以如下定义离散对数 首先定义一个素数p的原根 为其各次幂产生从1到p 1的所有整数根 也就是说 如果a是素数p的一个原根 那么数值amodp a2modp ap 1modp是各不相同的整数 并且以某种排列方式组成了从1到p 1的所有整数 对于一个整数b和素数p的一个原根a 可以找到惟一的指数i 使得b aimodp其中0 i p 1 指数i称为b的以a为基数的模p的离散对数或者指数 该值被记为inda p b 基于此背景知识 可以定义Diffie Hellman密钥交换算法 该算法描述如下 1 有两个全局公开的参数 一个素数q和一个整数a a是q的一个原根 2 假设用户A和B希望交换一个密钥 用户A选择一个作为私有密钥的随机数XA3 用户A产生共享秘密密钥的计算方式是K YB XAmodq 同样 用户B产生共享秘密密钥的计算是K YA XBmodq 这两个计算产生相同的结果 K YB XAmodq aXBmodq XAmodq aXB XAmodq 根据取模运算规则得到 aXBXAmodq aXA XBmodq aXAmodq XBmodq YA XBmodq因此相当于双方已经交换了一个相同的秘密密钥 4 因为XA和XB是保密的 一个敌对方可以利用的参数只有q a YA和YB 因而敌对方被迫取离散对数来确定密钥 例如 要获取用户B的秘密密钥 敌对方必须先计算XB inda q YB 然后再使用用户B采用的同样方法计算其秘密密钥K Diffie Hellman密钥交换算法的安全性依赖于这样一个事实 虽然计算以一个素数为模的指数相对容易 但计算离散对数却很困难 对于大的素数 计算出离散对数几乎是不可能的 下面给出例子 密钥交换基于素数q 97和97的一个原根a 5 A和B分别选择私有密钥XA 36和XB 58 每人计算其公开密钥YA 536 50mod97YB 558 44mod97在他们相互获取了公开密钥之后 各自通过计算得到双方共享的秘密密钥如下 K YB XAmod97 4436 75mod97K YA XBmod97 5058 75mod97从 50 44 出发 攻击者要计算出75很不容易 ISAKMP协议 ISAKMP概述ISAKMP头格式ISAKMP载荷格式ISAKMP安全协商ISAKMP交换类型 郑州轻工业学院计算机与通信 ISAKMP概述 ISAKMP定义协商 建立 修改和删除SA的过程和包格式 RFC2408 属于请求 应答协议ISAKMP被设计为与密钥交换协议无关的协议 即不受任何具体的密钥交换协议 密码算法 密钥生成技术或认证机制通信双方通过ISAKMP向对方提供自己支持的功能从而协商共同的安全属性ISAKMP消息可通过TCP和UDP传输 Port号500 郑州轻工业学院计算机与通信 ISAKMP协议头 郑州轻工业学院计算机与通信 发起者与接收者cookie 8bit串 由ISAKMP交换的发起者 接收者生成会话过程中保持不变 用于验证生成的方法可不同 建议采用MD5 SHA 1或其它支持的hash函数利用通信方源地址 目的地址 UDP TCP源端口 目的端口 生成时间等生成必须保证唯一 郑州轻工业学院计算机与通信 下一载荷 郑州轻工业学院计算机与通信 交换类型 郑州轻工业学院计算机与通信 标志 郑州轻工业学院计算机与通信 使用8bit中的低3位 用于加密同步1 加密比特2 提交比特3 仅认证比特 消息ID与长度 郑州轻工业学院计算机与通信 消息ID 密钥交换保护协议ID 在IKE中指相同IKESA保护下的不同协议SA IKE协议建立时为0长度 包括ISAKMP头部在内的所有载荷总长度 ISAKMP载荷类型 郑州轻工业学院计算机与通信 通用载荷安全关联载荷建议载荷变换载荷密钥交换载荷标识载荷证书载荷 证书请求载荷杂凑载荷签名载荷nonce载荷通知载荷删除载荷厂商ID载荷 ISAKMP报文格式 郑州轻工业学院计算机与通信 ISAKMP载荷格式 郑州轻工业学院计算机与通信 见文档 RFC2408 ISAKMP协议标准 SA数据属性 郑州轻工业学院计算机与通信 ESP加密算法 郑州轻工业学院计算机与通信 ISAKMP安全协商 郑州轻工业学院计算机与通信 安全通道协商 安全服务协商安全通道协商 建立一个已通过身份验证和安全保护的通道 安全服务协商 为其它协议提供协商安全服务定于了5种密钥交换 不分阶段 不完整交换 没有具体定义密钥交换协议 先cookie 后才能与SPI标示SA ISAKMP策略协商 概述 郑州轻工业学院计算机与通信 要建一个SA 首先要协商好采用的安全策略 由于策略可能非常复杂 所以要能灵活地解析SA 提案以及转码载荷 这样才能构建和处理复杂的策略 一个SA内 可能包含一个或多个提案 而每个提案可能包含一种或多种转码方式 ISAKMP策略协商 报文 郑州轻工业学院计算机与通信 SA载荷的DOI字段定义了一个特殊的解释域 一个DOI定义了如何用ISAKMP为那种特定的服务建立SA ISAKMP策略协商 解释 郑州轻工业学院计算机与通信 提案载荷中包含了一个提案编号 可能存在多个提案 还有一个特殊字段 指出后面跟随有多少转码载荷 转码载荷中 包含了一个转码编号 以及一个转码标识符 指出具体的转码类型 紧跟在转码之后 是一些特殊的属性 如有 与那种具体的转码方式有关 用属性载荷进行编码 ISAKMP策略协商 提案示例 郑州轻工业学院计算机与通信 提案ESP转码1 随HMAC SHA使用3DES转码2 随HMAC MD5使用3DES转码3 随HMAC SHA使用DES转码4 随HMAC MD5使用DES IKE交换机制 概述 郑州轻工业学院计算机与通信 ISAKMP本身没有定义具体的密钥交换 IKE用ISAKMP语言来定义密钥交换 IKE并非IPSec专用 其它协议需要 比方说RIPv2或OSPF 便可用它协商具体的安全服务 IKE使用了两个阶段的ISAKMP IKESA阶段 IPSecSA 与ISAKMP不一样 在IKE载荷中 只为自身SA的属性进行了定义 IKE交换机制 概述 郑州轻工业学院计算机与通信 IKE载荷中没有定义IPsecSA的属性 这种定义留在解释域 DOI 进行 DOI规定了IKE在阶段2交换中需要协商解决的可选及必需属性两种阶段1交换模式 一种阶段2交换模式 两种额外的交换 维护SA 阶段1交换 主模式 野蛮模式 其中前者是必需的 后者是可选的 阶段2交换 快模式 IKE交换机制 参数 郑州轻工业学院计算机与通信 IKESA提供了各种各样的参数 它们是由通信双方协商制定所有的参数称为一个保护组件 加密算法 散列算法 验证方法以及D H组 保护组件中的每一种属性都包含在转码载荷中 IKE定义了5个组 3个属D H交换 2个属椭圆曲线加密算法 D H组定义了交换时通信双方要采用的参数 IKE交换机制 D H交换示例 郑州轻工业学院计算机与通信 通信双方可以通过不安全的途径协商共享密钥A B通信双方P是大素数 q是P有限域的乘法群的原根 A r1 random y1 qr1modP B r2 random y2 qr2modP r1 0 p 2 KAB y2r1modP qr1r2modP KAB y1r2modP qr1r2modP IKE交换机制 预共享密钥 郑州轻工业学院计算机与通信 IKESA与IPSecSA的区别在于前者是双向的使用数字签名算法 DSS 得到的数字签名 使用RSA算法得到的数字签名 通过交换加密的nonce 从而实现的两种类似的验证方法 通信双方会生成四种机密 SKEYID SKEYID d SKEYID a SKEYID e IKE交换机制 主模式交换 郑州轻工业学院计算机与通信 三个步骤 模式协商 D H交换 nonce交换第一次交换 协商SA的各项参数 在cookie中第二次交换 D H交换 并生成SKEYID状态 第三次交换 通信双方标定自己的身份 并相互验证散列摘要 报文是用SKEYID e加密的nonce交换用于对对方身份验证使用六条报文 建立IKESA 特点 身份保护 ISAKMP协商能力的完全利用 IKE交换机制 主模式交换 郑州轻工业学院计算机与通信 IKE交换机制 数字签名主模式 郑州轻工业学院计算机与通信 Nx x的nonce载荷 NonceCert 证书 SIG 签名最后的两条报文也是加密了的 IKE交换机制 公钥加密主模式 郑州轻工业学院计算机与通信 Nx 加密的nonce载荷 其中 pub x指用x的公钥进行加密 两次加密是一个不足 不能把两个载荷连起来加密 接收者无法确定两种载荷的真实长度 IKE交换机制 改进公钥加密主模式 郑州轻工业学院计算机与通信 ke x表示用密钥Ne x进行对称密钥加密 密钥的生成 Ne i PRF Ni CKY I Ne r PRF Nr CKY R 这里PRF是伪随机函数 散列函数 CKY I是发起者Cookie C