（计算机应用技术专业论文）ike协议的改进及其实现框架.pdf

江苏大学硕士学位论文 摘要 近些年来，由于网络应用的爆炸式增长，网络安全的问题也越来 越突出。网络安全模型高度概括了网络安全中的各个相关因素，为解 决安全问题提供了理论依据，但由于t c p i p 协议本身的复杂多样性， 使得我们要从根本上解决网络安全问题还必须从网络的底层协议着 手。i p s e c 就是一个符合安全模型的协议，它提供了端到端之间数据 的加密、对源点的身份认证以及防止数据被篡改的功能。i p s e c 目前 已广泛应用于v p n 网络，还将在发展中的i p v 6 网络中得到更大规模 的推广。 安全联盟( s e c u r i t ya s s o c i a t i o n ) 是i p s e c 中一个很重要的概 念，它规定了如何对待一个需要输出的i p 报文，也规定了如何处理 一个输入的加密的i p 报文。安全联盟可以在i k e 两端手工建立，也 可以通过协议动态建立。i k e 就是一种为i p s e c 的端与端之问建立安 全联盟、以及相互信任机制的一种协议。 本文详细地分析了i k e ( i k e v l ) 协议中的缺陷，认为复杂的机制 是i k e 弱点的根源所在，这主要包括模式的定义以及密钥生成与具体 验证方法的相关。i k e 的复杂性不仅危害通信的安全，更带来了不同 实现之间严重的协同工作问题。除此之外，如何更有效地通过c o o k i e s 来抵制d o s 的攻击，如何通过改变协商策略的表示来更简单地进行 s a 的协商，都是i k e 值得改进的地方。 i k e v 2 草案是i k e 的新的版本，它保留了原来i k e 的多数特性， 包括身份保护、完美向前保密和两个阶段协商，但简化了交换的类型、 i 江苏大学硕士学位论文 协商的过程：同时，也对如何防止d o s 攻击，发起端和响应者端的具 体密钥生成方法作出了规定，而且在身份认证中，使用了e a p 的思想， 可以让认证更方便地利用现有系统中的身份数据。 l e e n 是本文提出的新型i k e 的设计，它是在详细地分析了i k e v l 中的弱点和吸取i k e v 2 草案思想的基础上提出的改进设计。l e e n 具 体实现了i k e v 2 提议的滑动窗口，详细设计了协议内部的状态转换过 程，并且提供了一个实现的基本框架。该框架定义了i k e 端消息的处 理过程，给出了实现中主要的一些数据结构，如滑动窗口、定时器和 状态机，给i k e n 的具体实现提供了一个参考。 关键词：网络安全模型，i p s e c ，安全联盟，i n t e r n e t 密钥管理协议， i k e v 2 ，d i f f i e h e l l m a n 交换，身份验证 江苏大学硕士学位论文 a b s t r a c t w i t ht h ef a b u l o u s i n c r e a s i n g o ft h e a p p l i c a t i o n o v e ri n t e m e t ， s e c u r i t yp r o b l e m sb e c o m em o r ea n dm o r ei m p o r t a n ti nt h e s ey e a r s n e t w o r ks e c u r i t ym o d e ls u mu pa l lo ft h ef a c t o r si n s e c u r i t ya r e a ，i t s t h e o r yp r o v i d e sab a s ew a yt os o l v es e c u r i t yp r o b l e m s b u tw es t i l lc a n t d e a lw i t h s e c u r i t yp r o b l e m su l t i m a t e l y o t h e rt h a n b yi m p l e m e n t i n g s e c u r i t yf r o mb o t t o m ；p r o t o c o lb e c a u s eo ft h ec o m p l e x i t ya n dd i v e r s i t yo f t h et c p i pp r o t o c o l f a m i l y i p s e ci ss u c hab o u o ms e c u r i t yp r o t o c o l ， w h i c hh a si m p l e m e n t e dt h es e c u r i t y o v e ri pl a y e r + i p s e c p r o v i d e s e n c r y p t i o nf r o mp e e rt op e e ra n da u t h e n t i c a t i o nt os o u r c e ，i ta l s op r o v i d e s a w a yt ov e r i f yi ft h ed a t ah a sb e e nm o d i f i e db ym a l i c i o u sp e o p l ew h e n 打a n s f e r e d ：n o wi p s e ch a sb e e nd e p l o y e di nv p nn e t w o r ka b r o a d w i t h t h ed e v e l o p m e n to ft h ei p v 6n e t w o r k ，i tw i l lb ea p p l i e dm o r e w i d e l y s e c u r i t ya s s o c i a t i o ni sa ni m p o r t a n tc o n c e p t i o ni ni p s e c ，w h i c ht e l l s p e e r sh o wt 。od i s p o s et h ei n p u ta n do u t p u to ft h ei pd a t a g r a m s e c u r i t y a s s o c i a t i o nc a nb es e ts t a t i c a l l yb yh a n d ，i tc a na l s ob ee s t a b l i s h e db y d y n a m i cn e g o t i a t i o np r o t o c 0 1 i k ei ss u c hap r o t o c 0 1 t h i s p a p e rp o i n t so u tt h ed e f e c t si ni k e ( i k e v l ) t h e s ed e f e c t s o r i g i n a t ef r o mt h e i k e sc o m p l e x i t y , w h i c hb e h a v e se s p e c i a l l yi nt h e d e f i n i t i o no ft h em o d ea n dt h eg e n e r a t i o no ft h ek e y i n gm a t e r i a lw h i c hi s t o oc l o s et ot h ec o n c r e t em e t h o di n a u t h e n t i c a t i o n t h i s c o m p l e x i t y e n d a n g e r st h es e c r e ti n f o r m a t i o ns e r i o u s l y , a sw e l l8 sp r e v e n t st h e i l l 垩蒸盔堂堡主：兰垡笙奎 - _ _ _ 。_ _ _ - - _ _ _ - _ _ _ _ _ _ _ - _ _ _ _ _ 一 c o l l a b o r a t i o ni nd i f f e r e n ti m p l e m e n t a t i o n s b e s i d e sa b o v e , i k ei s a l s o c o m p l e xi nr e s i s t i n g d o sa t t a c ka n de x p r e s s i n gn e g o t i a t i o ns t r a t e g y w h e nc r e a t i n gs a t h e r ea r el o t so ft h i n g sw o r t hd o i n gt oi m p r o v e i t i k e v 2d r a f tb r i n g sf o r w a r dan e wi k ep r o t o c 0 1 i tp r e s e r v e sm a n y f e a t u r e so ft h eo r i g i n a li k e ，i n c l u d i n gi d e n t i t yh i d i n g ，p e r f e c tf o r w a r d s e c r e c ya n dt w op h a s e sn e g o t i a t i o n ，w h i l eg r e a t l yr e d e s i g n i n gp r o t o c o l f o rs i m p l i f y i n gt h ee x c h a n g e ，t h ep r o c e s so f t h ec r y p t o g r a p h i cn e g o t i a t i o n ， a n dt h eg e n e r a t i o no fk e y i n gm a t e r i a l i ta l s od e f i n e st h em e t h o dt or e s i s t d o sa t t a c ka n dp r o v i d e sac o n c r e t ew a yt og e n e r a t ek e y i n gm a t e r i a lo n b o t hp e e r s a tt h es a m et i m e ，i tb r i n g s ：f o r w a r de a pi d e aw h i c hm a k e i k e a u t h e n t i c a t i o nr e u s ee x i s t i n g i d e n t i t yd a t ac o n v e n i e n t l y i k e - ni san e wi k ed e s i g n p u tf o r w a r di nt h i sp a p e r , w h i c hb a s e so n a n a l y s i st ot h ew e a k n e s so fi k e v la n de s s e n t i a li d e a si ni k e v 2 i k e - n i m p l e m e n t e ds l i d ew i n d o wi ni k e v 2a n dd e s i g n s t h e e n t i r et r a n s i t i o n s i t u a t i o ni n s i d ep r o t o c 0 1 a ni m p l e m e n t a t i o nf r a m e w o r ki sp r o v i d e di n t h ee n d ，w h i c hd e f i n e st h e ：p r o c e s so ft h ei k ep e e r i nt h ef r a m e w o r k ， s o m em a i nd a t as t r u c t u r e ，s u c ha ss l i d ew i n d o w 、t i m e ra n ds t a t em a c h i n e a r ed e s c r i b e di nd e t a i l i ti sag o o dr e f e r e n c et ot h ei m p l e m e n t a t i o n k e yw o r d s ；n e t w o r ks e c u r i t ym o d e l ，i p s e c ，s e c u r i t ya s s o c i a t i o n ，i k e ， i k e v 2 ，d i f f i e h e l l m a ne x c h a n g e ，a u t h e n t i c a t i o n 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权江苏大学可以将本学位论文的全部内容或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在 年解密后适用本授权书。 本学位论文属于 不保密& 彳 学位论文作者签名 签字日期：膨月 日 f 指导教师签名：粥 签字目期：勺箨1 月? 日 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作 所取得的成果。除文中已经注明引用的内容以外，本论文不包含任何其他个人或 集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名 日期：年月日 江苏大学硕士学位论文 第一章绪论 几十年前根本就没有入能想到今天的i n t e r n e t 会有如此宏大的规模，以 i n t e r n e t 为标志的信息革命已经构成了经济全球化的物质基础，而且新型网络服 务如电子商务、网络银行、电子政务仍然在不断涌现，在i n t e r n e t 这一巨大的、 无所不包容的网络平台上，人类正在构建若虚拟的数字生活。随着网络应用的快 速扩展，人们萨突破时空的约束，享受着高速网络所带来的工作和生活上的便利。 然而很多人在感受这种便利的同时，也开始注意到网络安全问题的同渐突出。 1 1 背景 网络安全涵盖的范围很广，就i n t e r n e t 来说，从t c p i p 体系结构的角度看， 大致可以分为三类，即i p 层安全、运输层安全和应用层安全。其中，由于应用层 与运输层协议的复杂多样性，所要考虑的安全问题也特别复杂，每个协议都必须 设计自己的安全机制，这样做除极易产生安全漏洞和出错机率外，也有可能带来 庞大的密钥管理开销，所以，对于那些要求大部分通信能够安全保密的网络来说， 最好的解决办法莫过于在i p 层实现安全，i p s e c 便是为i p 层提供安全的一种协议。 i p s e c 协议已经在v p n ( 虚拟专用网) 领域得到了广泛的应用，企业的远程访 问用户、分支机构和合作伙伴都可以通过i p s e c 在公用网上建立安全的v p n ，他们 之间的通信是安全保密的。通过i p s e c 建立v p n 要解决的一个重要课题就是自动地 协商建立v p n 两端的密钥会话参数，但是，由于i n t e r n e t 密钥交换协议u s ( i k e v l ) 的复杂性，很多厂商无法完全按标准实现它的内容，这给不同厂商之间的设备兼 容性带来了严重的问题，以至于在很多情况下，不得不采取手工的方式建立密钥， 这给i p s e cv p n 网络的大规模自动部署带来了极大的挑战。 i p s e c 协议也是i p v 6 网络安全的重要基石，近几年来，i p v 6 网络已经进入了 大规模实质性部署阶段，由于i p v 6 庞大的地址空间，不久的将来，i p v 6 通信很可 能会无处不在，通信安全的重要性也是不言而喻。i e t f 在设计i p v 6 r 寸，增加了对 网络层安全性的强制要求，并规定所有的i p v 6 实现必须支持i p s e c ，因此，密钥 自动协商的重要性随着i p v 6 网的推广应用也必将与日俱增。 i e t f 工作组已经有了关于i k e 的新的草案版本i k e v 2 【2 i j ， k e v 2 i ：k i k e v l 江苏大学硕士学位论文 来的更为简单、安全，虽然失却了i k e v l 的一些灵活性，但是，i k e v 2 在标准化方 面做得更好，使得它更容易随i p s e c 部署。然而，在协议设计的具体细节上，i k e v 2 草案本身既没有说明针对i k e v l 做出改进设计的原因，也没有给出一个具体的实 现框架。基于以上认识，有必要对i k e v l 的缺陷做进一步的分析，结合i k e v 2 中相 应的建议作出改进，并提供一个改进设计的实现方案。 1 2 主要内容 本文首先介绍了网络安全模型【l 】，概括了安全的组成与实现。围绕这个模型， 分析了与i k e 相关的诸多因素，在这些因素的基础上重点分析了i k e v l 中存在的 问题，并对i k e 协议作出新的设计，命名为i l ( e n 。 i k e n 借鉴了i k e v 2 草案的设计思想，从交换的消息类型、消息的载荷格式 以及对消息的控制上作出了全新的定义，可以说它是对草案建议的一种具体实 施。根据i k e v 2 提议，i k e n 侧重于简化密钥协商的过程，统一了密钥素材的生 成方法与身份验证方法，并引入了可扩展身份认证机制2 2 1 ，用以扩展用户的身份 认证，让i k e 的认证可以利用原本存在的身份数据。 在满足了i k e v 2 主要提议的设计后，i k p n 更进一步设计了i k e 端的状态机 来反映端与端协商过程中所处的状态，给出了实现滑动窗口机制的具体方法，并 使用了定时器来管理报文的超时重传和延时。同时，在分析了各种身份验证方法 的基础上，推荐了e a p t t l s 【2 6 】的使用，并详细地分析了e a p - t t l s 需要进行密码 绑定的原因和方法。 最后，本文给出一个对i k e n 实现具有参考意义的框架，文中第五章给出了 设计实现的主要数据结构以及处理过程，附录中给出了一个实现框架设计的环境 参考和消息的格式设计参考。 2 江苏大学硕士学位论文 第二章网络安全模型与算法 对一家打算从事电子商务的公司而畜，如果要通过i n t e r n e t 销售产品和提 供服务，通信的安全是一个最基本的前提。对于诸如信用卡号码这样的敏感信息， 必须得以有效的保护，而且商家必须能对每一笔业务进行验证和授权，除此以外， 商家可通过i n t e r n e t 连接分散于各地的办事机构或予公司。电子邮件等各种信 息都可通过i n t e r n e t 在办事机构之间路由传送。由于敏感的公司内部资料也可 能通过这种链路传输，所以对于安全保密的要求是显而易见的。网络安全模型的 提出就是用来解决以上的这些问题。 2 1 模型的概述 随着i n t e r n e t 的快速扩张，目前的网络安全己经是一个涉及病毒、黑客攻 击、社会工程等的综合型研究课题，但网络安全模型并不讨论所有的这些问题， 而主要讨论安全性服务。作为安全服务系统，所要考虑的主要是以下几个方面： 机密性、鉴别性、完整性、不可否认性和访问控制。访问控制不属于本文讨论的 范畴，网络安全模型只保障传输数据的机密性、完整性、并对传送方进行鉴别并 防止其否认。 网络安全模型【1 】由三部分构成：参与者、信息信道和安全机制，图2 1 给出 了网络安全模型的示意图。 图2 1 网络安全模型 模型中的参与者有发送方、接收方、可信的第三方和攻击者。发送方和接收 方是通信事务的责任人。为了保证信息的安全，发送信息之前双方可能要互相鉴 别身份和协商秘密信息，发送方在发送信息前根据协商的秘密信息要进行安全变 江苏大学硕士学位论文 换、接收方收到消息后要进行对应的安全变换。另外，在以上的过程中，可信的 第三方被通信事务的责任人所信赖，它可以直接为发送方和接收方分配秘密信 息，还可以仲裁通信双方关于消息真实性的争议，双方的身份等，实现不可否认 服务。至于攻击者，他对信息信道上传输的信息进行攻击，攻击分为主动攻击和 被动攻击，被动攻击的目的是从传输中获得信息，其主要手段就是截获和分析； 主动攻击则更为恶劣，通常是篡改消息、伪装通信的发送者或响应者，或者进行 拒绝服务攻击。 模型中的安全机制主要涉及安全变换和秘密信息。安全变换可以是加密变换 和流量填充，也可以是给信息附加鉴别码或数字签名。加密变换使攻击者难以解 析出消息的内容、流量填充可以阻止攻击者的通信量分析。附加鉴别码或数字签 名可以实现信息的完整性、真实性和非否认性。与安全变换相关的是安全变换算 法和算法的参数：秘密信息。如果安全变换采用的是常规加密算法的话，那么， 通信双方必须共享秘密信息，而且该秘密信息绝对不能被攻击者知道。 模型中的安全机制可概括为以下几项因素：安全变换算法。生成安全变 换算法所需的秘密信息及其发布和共享的方法，秘密信息可以由可信的第三方发 布，也可以由通信双方的任何一方或者共同协商发布。保证通信双方安全机制 实现的协议。所有的这些因素，与本文研究的内容i k e 都戚戚相关，在下文的论 述中，主要就暖绕这些问题展开。 2 2 机密性 明文 + 图2 2 加密解密流程 数据的机密性是防止网络被动攻击的主要技术，数据的机密性是由加密变换 提供的，加密变换在网络安全模型的安全机制中提到，加密变换基于一定的算法， 算法在发送方将一条正常的消息( 明文) 转换成乱码( 密文) ，又在接收方将乱 码转换回正常的消息，实现加密( 编码) 和解密( 译码) 的过程。过程如图2 2 所示： 4 江苏大学硕士学位论文 换、接收方收到消息后要进行对应的安全变换。另外，在以上的过程中，可信的 第三方被通信事务的责任人所信赖，它可以直接为发送方和接收力分配秘密信 息，还可以仲裁通信双方关于消息真实性的争议，双方的身份等，实现不可否认 服务。至于攻击者，他对信息信道上传输的信息进行攻击，攻击分为主动攻击和 被动攻击，被动攻击的目的是从传输中获得信息，其主要手段就是截获和分析： 主动攻击则更为恶劣，通常是篡改消息、伪装通信的发送者或响应者，或者进行 拒绝服务攻击。 模型中的安全机制主要涉及安全变换和秘密信息。安全变换可以是加密变换 和流量填充也可以是给信息附加鉴别码或数字签名。加密变换使攻击者难以解 析出消息的内容、流量填充可以阻止攻击者的通信量分析。附加鉴别码或数字签 名可以实现信息的完整性、真实性和非否认性。与安全变换相关的是安全变换算 法和算法的参数：秘密信息。如果安全变换采用的是常规加密算法的话，那么， 通信双方必须共享秘密信息，而且该秘密信息绝对不能被攻击者知道。 模型中的安全机制可概括为以下几项因素：安全变换算法。生成安全变 换算法所需的秘密信息及其发布和共享的方法，秘密信息可以由可信的第三方发 布，也可以由通信双方的任何一方或者麸同协商发布。保证通信双方安全机制 实现的协议。所有的这些因素，与本文研究的内容i k e 都戚戚相关，在下文的论 述中，主要就围绕这些问题展开。 2 2 机密性 连孚嘲骂 l 密钥k 1密钥k 2 图2 2 加密解峦流程 数据的机密性是防止网络被动攻击的主要技术，数据的机密性是由加密变换 提供的，加密变换在网络安全模型的安全机制中提到，加密变换基于一定的算法， 算法在发送方将一条正常的消息( 明文) 转换成乱码( 密文) ，又在接收方将乱 码转换回正常的消息，实现加密( 编码) 和解密( 译码) 的过程。过程如图2 2 码转换回正常的消息，实现加密( 编码) 和解密( 译码) 的过程。过程如图2 2 所示： 4 江苏大学硕士学位论文 图中算法中的密钥其实就是上述网络安全模型中的秘密信息。当k 1 = k 2 时， 图示的变换算法就是对称的，对称的加密算法有很多种，包括d e s 、3 d e s 、i d e a 、 r c 5 、a e s 垮。当k i k 2 时，图示的变换算法就是不对称的，又称为公钥密码算 法。由于i k e d p 公钥密码主要用于数字签名和密钥交换，所以将在下一部分介绍。 2 3 鉴别、完整性 主动攻击者可能从一个假冒的信息源向网络中插入信息，或者对现有信息的 内容进行修改、删除或者变换。响应者怎样来防止这种攻击呢? 他怎样确保他的 消息来自可靠的信息源并且没有被攻击者篡改过呢? 又如何保证让发送者不能 否认曾经发送过的消息? 这主要通过鉴别和完整性验证来保证。鉴别可以保证接 收到的数据与它被发送时是一致的，并且发送数据的源方是正确的，完整性验证 可以保证数据不被非授权的方式进行改动，这两个概念一般结合的非常紧密，通 常在加密系统中同时被要求。在网络安全模型中主要通过附加鉴别码和数字签名 来实现鉴别和完整性验证。附加鉴别码保证了数据的完整性，同时结合数字签名 又提供了对报文和数据源的鉴别性。 2 3 。1 附加鉴别码 附加鉴别码【2 】有多种实现方式，常采用的是h m a c 方案。发送方在安全变换 中所要做的全部事情是对原来的报文在共享密钥作用下进行h m a c 计算，生成附 加鉴别码，然后让它与原消息一起发送。接收方在安全变换中所做的工作与发送 方类似，让接收的消息在共享密钥的作用下生成临时摘要，并把它与发送方的附 加鉴别码进行比较。用以验证消息的真实性与完整性，因为只有具有共享密钥的 发送方才可以得出正确的附加鉴别码。 h m a c 基于单向散列函数驴】，常用的h 有m d 5 和s h a 。单向散列函数对于任 意长度的输入有固定的输出，它能够作为鉴别之用主要是由于：它对于长数 据具有压缩作用，方便传输。由于对任何给定的报文x ，寻找不同于x 的x 。， 使得h ( x ) = h ( x ) 在计算上和实践中都是困难的，使得对于报文的任何修改， 基本都会产生不同的h 值，这就防止了攻击者篡改消息。 假设h m a c 算法嵌入的散列函数为h ，并设h 每次处理的输入分组大小为b 江苏大学硕士学位论文 比特，最后的输出为l 比特，在使用h 姒c 算法对报文x 计算其鉴别码时，h m a c 执行如下步骤运算： 1 ) 如果密钥k 长度超过b 比特时，将其压缩到l 比特后作为密钥g o ；如果此时 的密钥k 。的长度小于b 比特。则填充0 生成b 比特的比特串作为新密钥k 。 2 ) 将k 与i p a d 按比特串异或产生b 比特的分组s i ，这里i p a d 为h m a c 算法中 的一个比特模式串，i p a d = 将0 0 1 1 0 1 1 0 重复b 8 次。 3 ) 将报文m 附加到s i 后面。记为s i l i m 。 4 ) 将k 与o p a d 按比特异或( x o r ) 产生一个b 比特的分组s o ，这里，o p a d 为 0 1 0 1 1 0 1 0 重复b 8 次。 5 ) 将第三步散列函数的输出附加在s o 后面，并将得到的比特串作为h 的输入 计算其散列值。结果为l 比特的h m a c 最终输出。 h m a c 的总体算法如图2 3 所示，h m a c 嵌入的h 函数可以是任何散列函数， 最常见的有m d 5 和s h a 。值得注意的是，在h m a c 中，密钥k 必须完全保密，一 旦密钥泄露，攻击者便可以任意篡改消息，重新生成附加鉴别码，这样消息的完 整性鉴别也就失去了原来的意义了。 k e y l ；i p a d 弋 十) 丫 2 3 。2 数字签名 匝巫妇 图2 3i t m a c 算法流程 附加鉴别码可以保护通信双方免受第三方的攻击，然而，它却无法阻止通信 6 江苏大学硕士学位论文 双方的相互欺骗和攻击。在双方没有共享任何秘密之前，任何人都可以假扮成发 送方或接收方与另一方通信；在双方通信后，任何一方也都可以否认曾经跟对方 进行过通信。鉴于这种情况，必须引入通信双方的身份鉴别机制，数字签名【4 】 便是用来解决这样的问题的。 数字签名可以采用很多种方式来构造，最常用的就是采用公钥的构造方式。 公钥的方式便是上面所提及的不对称加密，其中要用到两个密钥，一个为所有者 私有，而另一个是公开的，用公钥加密的数据只有私钥才可以解密，用私钥加密 的数据也只有公钥才可以解密。 签名的一般过程可以这样来描述：发送方在发送信息之前，对一些数据进行 散列运算，以压缩签名的数据，然后使用密钥中的私钥签名数据，所谓的签名就 是让散列的数据在私钥的作用下进行加密运算，最后把原数据和签名一起发送给 接收方，在接收方，验证鉴别的方式是这样的：先是对原数据进行散列运算，形 成摘要m d l ，然后使用发送方的公钥解密签名，形成临时摘要m d 2 。最后比较m d l 与m d e 是否相同。由于只有用发送方私钥加密的散列数据用公钥才可以还原，而 只有发送方才拥有它的私钥，所以如果比较结果相同，就验证了发送方的身份。 整个过程可以用图2 4 来表示，其中，h 为散列算法，m 为签名的消息本身。常 见的数字签名算法是r s a 和d s a 。 瞄一赢啦 私钢 公羽 圈2 4 数字签名及其验证过程 由以上过程可以看出这样的一个问题，即响应者如何得到发送者的公钥，并 以此来验证对方的签名呢? 在密钥管理中，公钥的颁布是通过数字证书的形式来 完成的，验证者可以从相关的数字证书中取得被验证者的公钥，在i k e 的交互中， 有专门的数字证书的交换。 7 江苏大学硕士学位论文 2 4 密钥交换 上面部分讨论了网络安全模型中的安全变换及其算法，下面讨论安全机制中 的另一个重要因素，那就是秘密信息的生成及其发布和共享的方法，这就涉及到 d i f f i e h e l l m a n 2 1 交换，还包括p f s 2 j ( 完美向前保密) 和d o s 2 1 ( 拒绝服务) 攻 击等问题。下面分别来介绍这些问题。 2 , 4 1d i 俏e - h e l l m a n 交换 通过数据加密、附加鉴别码等实现了数据的机密性、鉴别性和完整性，但在 数据的加密( 如a e s ) 和报文鉴别( h m a c - s h a - 1 ) 中都要用到密钥，这些密钥通 过什么样的方式来得到又如何保证它们在通信的双方之间共享昵? 这就是 d i f f i e h e l l m a n 密钥交换简称d h 交换所要解决的问题。 与r s a 类似，d i f f i e h e l l m a n 密钥也是一种公共密钥，只是其主要用于密 钥交换。利用d i f f i e h e l l m a n 交换技术，我们可在一个不保密的、不受信任的 通信信道上( 如i n t e r n e t ) ，在交换的双方之间，建立起一个安全的共享秘密 的会话。正是由于d i f f i e h e l i m a n 密钥交换的存在，使得对称加密算法及消息 完整性方案可用一种易伸缩的方式运用。 下面来阐释d i f f i e h e l i m a n 密钥交换的原理。 d i f f i e h e l i m a n 交换过程中涉及到的所有参与者首先都必须隶属于一个组。 这个组定义了参数p 和g ，其中p 为素数。d i f f i e h e l l m a n 密钥交换是一个两部分 的过程。在每一端的第一部分，选择一个随机数( 设发送方选择为a ，接收方选 择的为b ) ，并在组内进行乘幂运算，产生一个公共值( 假设发送方生成a ，a = g 6 am o dp ，而接收方生成b ，b = g bm o dp ) 。 然后开始交换自己的公共值， 发送方将a 给接收方，而接收方将b 给发送方，他们再次执行乘幂运算，使用对方 的公共值作为底数，以生成共享的一个“秘密”。对于发送方来说，共享秘密生 成为b 8m o dp = ( g a b ) m o dp ，对于接收方来说，共享秘密生成为a 6m o dp = g m o dp 。注意仅就a 和b 来说，它们完全可在一个不安全的网络中进行交换，不 会对方案的安全造成干扰。g 和p 甚至根本就不必保持秘密。攻击者可以提前知道 g 和p ，并在不安全的信道上将a 和b 拦截下来。但尽管如此，仍然无法解析出秘密 8 江苏大学硕士学位论文 ( 根据a 和b 得出a 或b 在计算上不可行，所以也无法计算出共享秘密9 4 a bm o dp ) 。 一旦发送方和接收方分享了秘密以后，他们就可由此衍生相应的密钥用来保护和 验证自己的通信。d i f f i e h e l l m a n 密钥交换使一个原本不安全的信道变得安全起 来。 2 4 2 完美向前保密p f s 一般来说，算法的复杂性决定了对称密钥的存活时间比不对称密钥的时间短 得多。倘若通过一次d i f f i e h e l l m a n 交换衍生出对称密钥，密钥的存在时间一般 是短暂的，它只在对一部分数据的保密过程中起作用，假如那个密钥被丢弃，并 换以一个新密锔( 它是另一次d i f f i e - h e l i m a n 交换的结果) ，两个密钥相互间不 会有任何关系。假如有攻击者破解了一个对称密钥，那么尽管能够访问受那个密 钥保护的所有数据，但仍然不能访问受另一个密钥保护的数据。换言之，将采用 这种短暂的一次性密钥的系统称为“完美向前保密”( p e r f e c tf o r w a r ds e c r e c y ， p f s ) 。 假如系统中有一个秘密是所有对称密钥的衍生者( 始祖) ，便不能认为那是 一个“完美向前保密”的系统，比如像两个对称密钥衍生自同个d i f f i e h e l l m a n 交换，那么它们之间就存在关联的秘密。在那种情况下，一旦破解了根密钥，即 关联秘密，便可能拿到自它衍生的所有密钥，受那些密钥保护的全部数据都会曝 光，所以牵涉到完美向前保密的不仅仅是使用不同的对称密钥，还保证每个密钥 之间必须没有关联。 完美向前保密对某些安全高于一切的应用来说特别重要，但对另一些则重要 性不大，因为在重设密钥的每个周期内，进行d i f f i e - h e l l m a n 交换都会带来显 著的系统开销。所以对任何秘密进行保护时，付出的代价都必须在自己能承受的 范围之内，如超出这个范围，便认为保护“过度”了。因此，完美向前保密也许 并非每一次都是必要的。所以i k e 提供了一个选项，专门用来实现完美向前保密。 如参与通信的某一方希望进行这种形式的保密，便可将其提供给它，只是这并非 必需的，在i k e 新的设计中，将继续保持这个选项。 9 江苏大学硕士学位论文 2 4 3 拒绝服务攻击d o s 加密并不是没有代价的。d i f f je - h e l m a r l 交换进行模数乘幂运算，或计算两 个非常大的质数的乘积，甚至对单个数据包进行解密和完整性检查，既会占用我 们自己的时间，也会占用c p u 的时间。假如强追一台计算机在满足安全要求的同 时，做大量不相干的事情，甚至完全可能使那台计算机陷入瘫痪，这样的攻击就 叫作“拒绝服务( d e n i a lo fs e r v i c e ) ”攻击。 假如能够引诱系统做无关的工作，或令其分配许多不必要的内存，便可利用 这种“拒绝服务”攻击，对加密系统展开破坏。要想真的实现拒绝服务攻击，必 须满足这样的条件：发起攻击付出的代价远远小于被攻击对象响应这种攻击所付 出的代价。假定攻击者假扮a 方向b 方发送了几千个虚假的d i f f i e h e l l m a n 公共 值，其中全部填充伪造的返回地址。这样，b 方便被强行拉入这种虚假的交换， 模数乘幂运算占用的系统资源是很多的，显然，涉及的工作量会相当大。而相反， 攻击者几乎没什么工作量，只是伪造一些垃圾报文而已。另外，假如发送方和接 收方正在共享对称密钥，用它对单个i p 包进行加密和验证，那么攻击者可向接收 方发出成千上万个包，在接收方的眼中，这些包好象是从发送方那里发出来的。 当然，由于攻击者并不共享密钥，所以这些包都是伪造的。但接收方要想知道包 的真假，只有先对其进行解密，再检查包的完整性，显然，同包的真假检查相比， 简单地生成伪造包所需的代价要低得多。 在第四部分i k e 新的设计中，会尽量为这种形式的攻击提供相应的对策。但 由于通过抵挡拒绝服务攻击来进行主动防御的困难性较大，所以平衡考虑，主要 采取增大发出这种垃圾包的代价及复杂度，来进行一种被动防御，如c o o k i e s 机 制等。 江苏大学硕士学位论文 第三章i p s e c 与i k e 的分析研究 上一章的网络安全模型给出了一个有组织的信息系统进行安全保密传输的 各个方面，同时也给出了发送方和接收方进行秘密信息共享的一种方法一一 d i f f i e h e l i m a n 交换，然而，完整的秘密信息共享绝非仅仅d i f f i e h e l i m a n 交 换如此简单，它还涉及到传输双方系统支持的加密、验证算法的一致性以及与系 统加密相关的各种参数的一致性。当然，这种一致性可以由相关工程人员进行手 工配置，然而，当系统越来越复杂时，手工工作量根本无法估计，可以想象一个 跨国公司通过i n t e r n e t 把许多个分部连接起来，并且要求i n t e r n e t 上的所有传 输安全保密时，每个分部之间配置对应的保证安全传输的一致性信息是多么复 杂，特别是当这种一致性信息又经常变动时。所以，制定一种自动协商加密、验 证算法和相关参数来保证传输双方一致性的协议的重要性不言而喻。i n t e r n e t 密钥交换协议i k e 就是用来协商i p 层安全中所用到的加密、验证算法和相关的 参数的一种协议。 在网络安全模型的安全机制因素中，除了那些安全变换和秘密信息以外，还 提到了安全协议。安全协议规定了双方之间加密传输的格式、处理方式等，在 i p 层的安全中，这些安全协议主要指封装安全载荷( e s p ) 协议【l ”、鉴别头( a h ) 协议【1 5 】。e s p 、a h 协议保证了i p 层的安全传输，它们使用的密钥等参数可以通过 i k e 来协商，所以，对于i k e 协议，更具体地蜕，主要就是用柬自动协商一些安 全协议中所用到的加密、验证算法和相关参数的。 下面将从i p s e c 1 3 1 和i k e 1 6 】【1 7 】嗍的原理谈起，然后重点分析i k e v l 中存在的 弱点。 3 1l p s e c 的分析 i p 包本身没有任何安全特性，很容易便可伪造出i p 包中的地址、修改包的内 容甚至在传输途中拦截并查看它，i p s e c 提供了一种标准的、健壮的以及包容广 泛的机制，可用它为i p 及上层协议( 如u d p 和t c p ) 提供安全保证。它采取的具体 保护形式包括：数据内容的机密性；数据源地址的验证；数据的完整性；甚至是 整个i p 数据流的机密性。 江苏大学硕士学位论文 i p s e c 为保障i p 数据报的安全，定义了一种特殊的方法，它规定了要保护什 么通信( 只是h t t p 还是h t t p 和f t p 、或者所有的t c p 通信) 、如何保护它( 是否要 加密或者要防止人中途篡改) 、通信数据发给何人以及验证i p 报文是否来自某个 信任的实体。i p s e c 可保障主机之间、网络安全网关( 如路由器或防火墙) 之间 或主机与安全网关之间的数据包的安全。由于受i p s e c 保护后的数据报本身不过 是另一种形式的i p 包，所以完全可以嵌套提供安全服务，在主机之间提供类似端 到端这样的验证的同时，通过一个信道，将那些主机的i p 报文作为信道报文的数 据部分传送出去。 下面将介绍i p s e c 的相关内容。 3 1 1i p s e c 的协议与模式 前文提到，i p s e e 中主要提供两种安全协议来保证数据的安全，分别为封装 安全载荷( e s p ) 协议和鉴别头( a h ) 协议。e s p 提供了数据的机密性、数据的完整 性验证以及对数据源的身份验证，如果e s p 提供数据机密性的话，e s p 载荷中的内 容就会包含要保护的数据，如果e s p 提供数据完整性的验证以及对数据源的身份 验证的话，数据报中就会包含附加鉴别码鉴别数据。对于需要应用e s p 掷议 的数据，i p s e e 处理的具体做法是在i p 头( 以及任何i p 选项) 之后，并在要保护 的数据之前，插入一个新头，亦即e s p 头，最后，还要在最后追加一个e s p 尾，图 3 1 展示了e s p 载荷的具体格式。与e s p 不同的是，a h 只是提供数据的完整性验证 和对数据源的身份验证，且a h 的完整性验证包含外部i p 头，如果攻击者中途篡改 i 时艮头( 源目的地址等) ，a m 协议能够有效地鉴别出来，图3 2 展示y a h 载荷的 具体格式。 图3 1b s p 栽荷格式 1 2 江苏大学硕士学位论文 图3 2a h 载荷格式 i p s e c 同时为e s p 暑u a h 定义了两种模式：传送模式和信道模式。在传送模式中， a h 和e s p 会拦截从传送层到网络层的数据包，并根据具体的配黄提供安全保护。 传送模式的一个例子可以使用如下的图3 3 来表示，其中主机a 至b 之间的数据流 通信为安全保护的。 图3 ，3 传送模式 在信道模式中，数据包的安全终点一般不是数据包的目的地，要求安全服务 的并不是上层协议的数据，而是一个i p 报文，图3 4 就是一个信道模式的例子。 在该例