Internet密钥交换协议及安全性分析.doc

Internet密钥交换协议及安全性分析密钥交换协议及安全性分析解放军信息工程大学信息安全学院王惠芳郭中黄永忠郭金庚摘要lnternet密钥交换协议IKE是一个相当复杂的协议,它包含许多子协议,但IKE醴计的相当好本文以分析一十倒子作为了解IKE的主线,井对IKE的安全性进行r分析美键词lnternet密钥蹙换协议,安垒关联,服务拒绝对ISAKMP的安全关联进行管理(注解1),以及通信双方协商新的群(注解2)但必须在阶段1之后,才能进行.注解l:对ISAKMP的安生关联进行管理主要是幕用发进ISAKMP信息的方式,如通知对方某个碍AKMP的安垒关联已无效.挂解2:IKE协议定义了四十群,分别如下:defauh768-bitMODPgroup1alternate1024-bitMODPgroup2EC2NgroupOnGP【21553EC2NgroupOnGP21854IKE协议允许通信双方在阶段1后,可以协商新的群.阶段1建立起ISAKMP的安全关联后,通信双方的任意一方都可以发起快速模式,或发送ISAKMP信息,或协商新的群.但安全关联的标记不变,即阶段1发起者的小甜饼(cookie)后接响应者的cookie.阶段l建立的ISAKMP的安全关联可以支持多次阶段2的协商,当然一次阶段2的协商也可以有多个安全关联.正因为这样,IKE协议的一次实施可以采用最优化的方法来减少来回交互的次数(不同的认证机制,提供的保护不同,通信双方交互的次数也不同).2.2协议实现的过程下面我们给出完成以下目的的IKE协议的一次完整执行.首先,通信双方建立一个安全,认证的通道;接着,协商Ipsec的安全关联和为Ipsec生成密钥材料.但为了简化,我们只给出阶段l为采用签名认证的主模式,阶段2为快速模式的协议过程.22.1阶段1:采用签名认证的主模式(1)发起者:HDR,SAHDR是ISAKMP的头,SA是ISAKMP的SA载荷,里面含有发起者支持的多种提案,每种提案中又有多个保护套件.即加密算法,签名算法,散列算法等组台.优先选用的保护套件排在前面.(注:有关ISAKMP的信息格式,在第三部分介绍)(2)响应者:HDR,SA这里的SA内容是从发起者的SA中挑选出来的,即由从每种提案中挑选一种保护套件所组成.(3)发起者:HDR,KE,NiKE为密钥载荷,含有发起者的DH公开密钥妇,Ni为随机数载荷,含有发起者的随机数.otatSoeurilyTeohnoJogd20D1.7(4)响应者:HDR,KE,NrKE含有响应者的DH公开密钥gxr,Nr含有响应者的随机数.此时.双方都可以生成密钥材料,生成算法如下:SKEYID=prf(Ni_bJNr.b.gxy)SKEYIDd=pff(SKEYID,gyICKYIICKY-RJo)SKEYIDa=prf(SKEWD.SKEYID_dJgxyJCKYIJCKYRJ1SKEYID_e=prf(SKEVID.SKEYID_aIg*xyICKY-IICKYRJ2)SKEYIDd为密朝材料,SKEYIDa为认证密钥,SKEYID_e为加密密钥.其中:Nib和Nr_b:发起者和响应者的随机数;Prf(key,msg):伪随机数发生器:gxy:DH共享密钥:CKYI和CKYR:发起者和响应者的cookie,它们在ISAKMP的HDR中.另外,双方为了相互认证,协议的发起者要生成HASH_I,协议的响应者要生成HASHR,如下所示:HASH_I=psKEym警igxrICKY-IJCKYRJSAi_bJIDii_b)HASHR=pff(SKEYID.gKrJgxiICKY-RCKY-IJSAibIIDirb)其中:SAib:SA整个载荷的内容,即SA载荷去掉ISAKMP的通用载荷头;IDiib和IDir-b:分别为发起者和响应者的身份.(5)发起者:HDR,IDii,CERT,SIGIHDR:表示后面的载荷是加密的,加密算法为协商好的;CERT:表示证书载荷,此项为可选项;SIG-J:为发起者用协商的签名算法对HASHI签名.(6)发起者:HDR*,IDir,【CERT,】SIGRSIGR:为响应者用协商的签名算去对HASH_R签名.2.2.2阶段2:用快速模式快速模式不是一个完整的交换,必须与阶段1相结合,用来生成密钥材料和为非ISAKMP的SA(如Ipsec的SA)协商策略.在快速模式交换的信息必须在ISAKMPSA保护下.也就是说,除了ISAKMP头,其他载荷都必须加密.快速模式对载荷的排列顺序有要求,即:ISAKMP头,散列载荷,SA载荷Hash值用来验证消息和提供存活证明.由于在同一个ISAKMPSA下,有可能有多个快速模式进程,并且每一个快速模式进程的初始失量(加密)必须是唯一的,因此用ISAKMP头中的消息ID标记一个快速模式进程.步骤如下:(1)发起者:HDR,HASH(1),SA,Ni,KElI,IDci,IDcr】HASH(1)=prffSKEYIDa,M?IDISANiIKEllIIDciIIDcr)表示对消息ID,以及该HASH后面的所有信息,除了加密填充的数据外,求HASH值SA:为非ISAKMP的SA;Ni:为发起者的随机数;l,KE,IDci,IDcrJ:分别为密钥载荷,身份载荷.为可选项(2)响应者:HDR,HASH(2),SA和Nr【,KE】【,IDci,IDcr】HASH(2)=prf(SKEYIDa.MIDINi_bISAINrIKEIIDciIIDcr)(3)发起者:HDR,HASH(3)HASH(3)=prf(SKEYIDa.0MIDINibINr_b)2.2.3新密钥材料的生成:如果没有交换KE载荷,则KEYMAT=prf(SKEYIDd,protocolSPIINibfNr_b)如果交换了KE载荷,则KEYMAT=prf(SKEYID_d.g(qm)xyIprotocolISPIINibINLb)g(qm)xy:是KE载荷交换而生成的DH共享密钥.前者生成密钥的速度要快,不需要进行幂指运算,但不提供完美向前保护(第三部分)到此,IKE协议完成了它的任务:为通信双方建立了一个安全,认证的通道:随后建立了Ipsec的安全关联并为Ipsec生成了密钥材料.正如一开始所说,IKE使用了ISAKMP所提供的认证和密钥交换的框架,因此IKE的消息格式继承ISAKMP格式3.1SAKMP头格式l230l234567890l2345678901234567890+-+.+-+.+-+_+-+JInitiatorCookic!RespondgrCookieNextPayloadlMjVcr!MnVer!ExchangeType!FlagsMessage(1)InitiatorCookie,ResponderCookie:分别为发起者,接收者的小甜饼.(2)NextPayload(1个字节)一表示消息中的第一个载荷的类型.ISAKMP共定义了13个载荷类型的值,如SA载荷为1,KE载荷为4.(3)MjVer和MnVer:分别为ISAKMP的主版本和副版本.(4)ExchangeType:使用的交换类型,不同的类型,消息和载荷的顺序不同.ISAKMP定义了5种类型,IKE有定了两种,即:QuickMode为32;NewGroupMode为33(5)Flags(1字节):设置ISAKMP的选项,如加密比特,设置为1,则表示ISAKMP头后面的信息都要用协商好的SA加密;设置为0,则表示不加密.其他比特在这里就不一一列举了.(6)MessageID:在阶段1设置为0,在阶段2由阶段2的发起者随机生成,表示不同的进程.(7)Length:消息的整个长度,包括头.3.2通用载荷头12301234567890l234567890l2345678901NextPayload!RESERVED!Payloadng廿l(1)NextPayload(1个字节):表示消息中的下一个载荷的类型,由此可将整个消息串起来.最后一个载荷的这个值为0,表示后面不再有载荷(2)RESERVED(1个字节):未用,设为0.(3)PayloadLength(2个字节):载荷的整个长度,包括该载荷头在13个载荷中,除了SA载荷,其他载荷的处理都很简单.SA载荷由于有多种提案和多种保护套件,因此处理起来复杂一些.感兴趣的请参阅2正如第一部分所述,IKE结合了多种不同类型的子协议.第一阶段提供了8种不同的子协议:两种模式,各四种认证机制.第二阶段的快速模式,提供了四种不同的子协议:提供或不提供完美向前保护,提供或不提供身份.如果再加上新群模式,则共有13种子协议.因此本文我们不一一分析每一个子协议所提供的安全性,而分析从整体上对IKE的安全性进行分析.4.1完美向前保护PFS(PerfectForwardSecrecy)完美向前保护指的是单个密钥的泄漏将只会泄漏用此密钥保护的数据.对于完美向前保护,用于保护传输数据的密钥不能再用于派生其他密钥,并且用于派生保护传输数据密钥的密钥材料,也不能用于派生其他密钥.在阶段2新密钥材料的生成中,有两种方法,第一种方法不提供PFS,传输加密密钥的泄漏不仅是传输数据泄漏,而且可能造成新密钥材料的泄漏.第二种方法由于加人了新共享秘密g(qm)xy,因此传输加密密钥的泄漏只能造成传输数据泄漏,而不能造成新密钥材料的泄漏,但幂指运算将降低阶段2协商的速度可见,阶段1协商可以使阶段2协商迅速地完成:采用第一种方法,不用进行幂指运算,但不提供完美向前保护至于阶段1能支持多少次阶段2协商,由算法的强度和双方的信任度决定.4.2服务拒绝攻击(DoS)阻塞(anticlogging)密码学上的服务拒绝攻击与一般意义上的服务拒绝攻击有相同之处,又有不同之处.相同之处,它们都是发大量假信息使被攻主机的资源大量占用,不能为台法的用户服务,甚至陷入瘫痪.不同之处在于,一般意义上的服务拒绝攻击是利用TCP/IP协议中的握手协议,使主机的资源处于半连接状态,最终耗尽资源而瘫痪.而密码学上的服务拒绝攻击.是由于加密运算是有代价的,尤其是公钥体制的模数乘幂运算,需要消耗大量计算资源.如果攻击者发太量虚假信息使主机进行毫无意义计算,耗尽资源而无法服务合法的客户,则我们也称为服务拒绝攻击因此,我们尽量在进行CPU密集型运算之前,能够识别该消息的真实性.绝对的防服务拒绝攻击是不可能的,但小甜饼(cookie)提供了一种较容易处理的技术,由Karn和Simpson在文章【4】中引入.但IKE的小甜饼与ISAKMP的小甜饼不同,在IKE中用发起者和接收者的cookie前后相连,我们用icFC表示,作为ISAKMP的SA的索引,因此,