第6讲安全协议ppt课件.ppt

1 第六讲 2 一 基本概念在网络环境下交换信息时 存在着信息被窃取 篡改 重放和假冒等风险 必须采用数据机密性 数据完整性和身份真实性等安全机制来防范这些安全机制通常采用安全协议来实现 使通信各方能够遵循相同的安全协议安全协议定义了网络安全系统结构 安全机制 密码算法以及密码算法协商机制等 3 通常安全协议是基于某一通信协议 提供安全机制或服务 并非单独运行按网络体系结构划分 安全协议可以分成数据链路层安全协议 网络层安全协议 传输层安全协议和应用层安全协议数据链路层 PPTP L2TP协议通过隧道技术在某种程度上增强了PPP协议的安全性网络层 IPSec IPSecurity 协议是基于IP协议的安全协议 4 传输层 SSL SecureSocketLayer 协议是基于TCP协议的安全协议应用层 S HTTP Secure HTTP 协议对应HTTP协议 S MIME Secure MIME 协议对应MIME协议 还有些应用层安全协议是为解决特定应用的安全问题的 如用于加密电子邮件的PGP PrettyGoodPrivacy 协议 用于支持信用卡电子交易的SET SecureElectronicTransaction 协议 用于提供第三方认证服务的Kerberos等 5 二 IPSec协议网络层提供了端到端的数据传输服务 而网络层安全协议主要解决两个端点之间的安全交换数据问题 涉及数据传输的机密性和完整性 防止在数据交换过程中数据被非法窃听和篡改IPSec协议是对IP协议的安全性增强 它在网络层协议的基础上增加了安全算法协商和数据加密 解密处理的功能和过程 6 IPSec提供了数据机密性 数据完整性 抗重播保护和接纳控制等安全服务 用于保证IP协议及上层协议能安全地交换数据IPSec安全体系由如下部分组成 安全协议 AH ESP 安全联盟SA SecurityAssociations 安全策略SP SecurityPolicy 密钥管理协议 IKE 7 1 安全协议IPSec提供了两种安全协议 认证头AH AuthenticationHeader 和封装安全有效载荷ESP EncapsulatingSecurityPayload AH只提供数据完整性认证机制 可防止数据篡改和重播ESP同时提供了数据完整性认证和数据加密传输机制 除了具有AH所有安全能力之外 还可提供了数据机密性 8 AH和ESP协议可以分别单独使用 也可以联合使用 每个协议都支持两种应用模式 1 传输模式 为上层协议数据提供安全保护 2 隧道模式 以隧道方式传输IP报文AH ESP的安全性完全依赖于所采用的加密算法 为保证不同实现方案之间的互通性 必须定义强制实现的加密算法因此 在使用数据认证和加密机制时 必须解决三个问题 9 通信双方必须协商所使用的安全协议 加密算法和密钥必须能方便和安全地交换与更新密钥能对协商的细节和过程进行记录和管理一 ESP协议ESP在IP数据报中插入一个协议头 为IP数据报提供数据机密性 数据完整性 抗重播以及数据源认证等安全服务ESP可用于传输模式和隧道模式两种模式 ESP可单独使用 也可和AH组合使用 10 ESP通过加密器和验证器提供数据机密性和完整性 加密器和验证器使用的算法由ESPSA来指定为了互操作 IPSec规定了ESP强制实施的密码算法 DES 3DES 和认证算法 MD5 SHA 基本的ESP功能和实际使用的算法是分离的 有利于算法的更换和更新ESP抗重播服务是可选的 发送端在ESP数据报中插入一个惟一的 单向递增的序列号接收端可通过检验该序列号来验证数据报的惟一性 但并非必须检查数据报序列号 11 12 SPI 32位随机数 用来确定一个特定的SA 在密钥交换过程中 由目标主机来选定SPI序列号 32位整数 用于提供抗重播服务 发送端必须产生和填写序列号 接收端并非不一定处理载荷数据 受ESP保护的数据报包含在载荷数据字段中 字段长度由数据长度来决定填充项 0 255个字节 填充内容可以由密码算法来指定 如果密码算法没有指定 则由ESP指定 填充项第1个字节值是1 后面所有字节值都是单向递增的 13 填充项长度 指明填充项的长度 接收端利用它恢复载荷数据的实际长度下一个头 指明载荷数据的类型 如果是隧道模式 其值为4 表示IP in IP 如果是传输模式 其值为上层协议的类型 如TCP对应的值为6验证数据 由认证算法对ESP数据报进行散列计算所得到的完整性检查值 ICV 该字段是可选的 只有对ESP数据报进行完整性认证的SA才会有该字段 SA使用的认证算法必须指明ICV的长度 比较规则及认证步骤 14 15 ESP协议处理由于ESP采用密码算法对IP数据报进行加密 并且IP数据报并非顺序到达接收方 因此每个ESP数据报必须携带能够使接收方建立解密同步的数据 如初始化向量 IV 一 外出数据报处理 1 ESP头插入在传输模式下 ESP头插在IP头之后 并填写ESP头中各个字段值 ESP头的 下一个头 字段值为50 表示是ESP 16 对于隧道模式 ESP头插在整个IP数据报前面 ESP头的 下一个头 字段值为4 表示是IP in IP在ESP头前增加一个IP头 填写下列字段 源IP地址取自源ESP节点的IP地址目的IP地址从处理该数据报的SA中获取协议号为50 代表是ESP其它字段按常规方式填写 2 数据加密处理步骤从SA中得到加密算法和密钥 17 如果加密算法要求明文长度是32位整数倍 则要进行填充如果需要密码同步数据 则将其输入加密算法对数据报进行加密 加密范围从载荷数据开始 到 下一个头 字段 3 完整性检查值 ICV 计算步骤从SA中得到认证算法如果认证算法要求认证数据长度必须是32位整数倍 则要执行填充 长度由认证算法确定认证算法计算ICV值 并填写到ESP头的 验证数据 字段中 18 4 重新计算IP头校验和重新计算新IP头中的校验和字段值如果被ESP封装的IP数据报长度大于物理网络最大帧长 由IP协议进行分段处理和传输 二 进入数据报的处理 1 数据报组装由IP协议对分段传输的IP数据报进行组装 然后提交给ESP进行处理 2 SA查找利用三元组在SAD中查找相应的SA 如果该SA存在 则继续处理 否则丢弃该数据报 19 3 抗重播检查检查ESP头的序列号字段 如果序列号正确 则继续处理 否则丢弃该数据报 4 完整性验证首先提取ESP中验证数据值 然后使用相同的认证算法进行计算 两者比较 如果匹配 则继续处理 否则丢弃该数据报 5 数据解密步骤通过SA获取解密算法和密钥提取密码同步数据 并输入解密算法 20 解密ESP数据报 解密范围包括载荷数据 填充项 填充长度和下一个头字段等 6 填充项处理步骤如果填充项由加密算法指定 则检查是否符合算法所要求的格式 如果填充项由默认填充方案生成 则检查是否从1开始单向递增的从载荷中去除填充项 7 提交IP数据报对于传输模式 将ESP头的 下一个头 字段值复制到IP头的协议字段 并计算出一个新的IP校验和 然后提交给上层协议 21 对于隧道模式 去除外部IP头和ESP头 恢复原IP数据报 如果该数据报是一个分段 则插入到IP数据流中二 AH协议AH提供了数据完整性 数据源验证及抗重播等安全服务AH不仅可为上层协议提供认证 还可以为IP头某些字段提供认证有些字段在传输中可能会改变 如服务类型 标志 分段偏移 生存期 头校验和等 AH不能保护这些字段 22 AH的认证范围和ESP有所不同 AH可以对外部IP头的固定字段 包括版本 报头长度 报文总长度 标识 协议号 源IP地址 目的IP地址等字段 进行认证在任何模式下 AH头总是跟随在IP头之后 在IPv4中 IP头的协议字段值为51 表示在IP头之后是一个AH头AH头之后的内容取决于AH应用模式 如果是传输模式 则是一个上层协议头 如果是隧道模式 则是另一个IP头 23 24 25 AH协议处理AH强制实施的认证算法是MD5 SHA 一 外出数据报的处理 1 AH头插入传输模式下 AH头插在IP头之后 并填写各个字段值 下一个头 值为51 表示是AH隧道模式下 AH头插在整个IP数据报前面 下一个头 值是4 表示是IP in IP 在AH头前增加一个IP头 并填写相应的字段 协议字段字段值为51 表示是AH 26 2 完整性检查值 ICV 计算首先根据认证算法要求填充数据字段 然后使用认证算法计算ICV 并填写到AH头的 验证数据 字段中参与ICV计算的部分有 IP头中固定不变的字段 AH头和上层协议数据 3 恢复IP头恢复IP头中被置为0的字段的值 27 二 进入数据报的处理 1 数据报组装由IP协议对分段传输的IP数据报进行组装 然后提交给AH进行处理隧道模式存在两个目的IP地址 其作用不同当一个数据包到达隧道目的端点时 则要使用一个三元组在SAD中查找用于处理该数据包的SA 这里使用的是外部IP头中的目的IP地址 28 在使用SA对数据包进行处理后 使用选择器在进入SPD中查找处理该数据包的安全策略 这里使用的是内部IP头中的目的IP地址对于传输模式 数据包只有一个IP头 不会出现上述情况 2 SA查找利用三元组在SAD中查找处理这个数据报的SA如果找到则继续处理 否则丢弃该数据报 29 3 抗重播检查检查AH头的序列号字段如果序列号有效 则说明不是一个重复的数据报 则继续处理 否则丢弃该数据报 4 完整性验证步骤将AH头认证数据字段中的ICV值保存下来 然后将ICV置为0将IP头中可变字段置为0如果认证算法需要进行隐式填充 则在数据报末尾执行填充 30 使用相同的认证算法计算验证数据 计算结果与保存下来的ICV值进行比较 如果匹配 继续处理 否则丢弃该数据报 5 提交IP数据报对于传输模式 将AH头的 下一个头 字段值复制到IP头的协议字段 并重新计算IP校验和 然后提交给相应的上层协议进行处理对于隧道模式 首先去除外部IP头和AH头 恢复原IP数据报 如果该数据报是一个分段 则插入到IP数据流中 31 2 安全联盟IPSec通过安全联盟 SA 实体集中存放和管理所有的协商细节 SA中包含了实现安全通信所需的所有信息 SA可看作由通信双方共同签署的有关安全通信的 合同 通过SA可建立不同安全级的安全通道 例如用户需要与A网和B网建立不同级别的安全通道 可设置两个SA SA a 和SA b SA a 可协商使用更强的加密算法和更长的密钥SA由安全联盟数据库 SAD 来维护和管理 32 一 SA基本特性SA是IPSec的重要组成部分 AH和ESP协议都必须使用SA IKE协议主要功能之一就是建立和维护SASA是为数据通信提供安全服务 并通过AH或ESP来体现这种安全服务如果一个通信流需要同时使用AH和ESP 则要创建两个以上的SASA是单向的 在双向通信时 必须建立两个SA 各自负责一个方向 33 每个SA由一个三元组惟一地标识 即 安全参数索引 SPI 目的IP地址安全协议 AH或ESP 标识符理论上 目的地址可以是单播 组播或广播地址 目前 IPSec只支持单播SASA分成两类 传输模式SA和隧道模式SA 主机节点SA必须支持传输模式和隧道模式 网关节点SA只需支持隧道模式 34 1 传输模式SA 如果选择ESP 则SA为高层协议提供安全服务 如果选择AH 则SA为IP头中固定字段提供安全服务 2 隧道模式SA 在网关之间或者主机与网关之间建立一个隧道在隧道模式中 IP数据报有两个IP头 外部IP头用于指明IPSec处理的目的地 内部IP头用于指明包的最终目的地 在外部IP头与内部IP头之间是安全协议头如果选择ESP 则受保护部分是内部IP头 高层协议和数据 如果选择AH 则受保护部分可扩展到外部IP头中固定字段 35 二 SA服务功能一个SA提供的安全服务由下列因素决定 1 所选择的安全协议 AH ESP 2 SA的应用模式 传输模式 隧道模式 3 SA的节点类型 主机 安全网关 4 选择安全协议提供的可选服务 如抗重播 三 SA组合使用一个SA只能从AH ESP中选择一种安全协议对IP数据报进行保护如果一个安全策略要求对一个通信实施多种安全服务 则必须使用多个SA 36 在多SA情况下 将一个SA序列组合成SA束 经过SA束处理的通信能够满足安全策略要求SA束中的SA顺序是由安全策略定义的 各个SA可以终止于不同的端点将多个SA组合成SA束的方法有两种 传输邻接 AH和ESP的传输模式组合使用 AH应位于ESP前 保护被ESP加密的密文 并且只允许一层组合 不能多重嵌套 2 多重隧道 由多个SA组合成一个多重隧道 AH和ESP的组合顺序不限 每个隧道可以开始和终止于传输路径上不同的IPSec节点 37 38 39 3 安全策略安全策略 SP 为用户提供了描述安全需求的方法 允许用户通过安全策略来定义被保护对象的安全需求 安全措施及加密算法等例如 在内部网安全网关上可设置不同安全级别的安全策略 对于本地网和远程网之间的所有数据通信 采用DES加密数据 采用MD5认证数据 普通 对于远程网发送给邮件服务器的邮件 采用3DES加密数据 采用SHA认证数据 高级 40 一 安全策略数据库 SPD IPSec采用一种概念模型定义了IP通信安全处理过程的互操作性和功能目标该模型由三个主要部分组成 安全策略数据库 SPD 安全联盟数据库 SAD 和选择器SPD定义了存储安全策略参数的数据结构 这些参数指出了为IP报文所提供的安全服务每个需要IPSec处理的网络接口都必须为进入和外出的IP通信提供形式上分离的SPD 41 一个SPD能区分两种情况 需要IPSec处理的通信和无需IPSec处理的通信对于进入和外出的IP报文 需要选择下列方式之一来处理 丢弃处理 不允许数据报 离开主机 通过网关 提交给应用 旁路处理 允许数据报在不做任何IPSec处理的情况下通过IPSec处理 对数据报做IPSec处理 由SPD指明所需提供的安全服务 安全协议和算法等 42 SPD是一个策略条目的有序列表 每个策略条目包含一个或多个选择器作为判断依据选择器定义了符合该策略条目的IP通信集 选择器类似于安全规则中的判断依据每个IPSec实现都必须提供SPD管理接口 以方便用户创建安全策略条目 并支持策略条目的排序功能 43 二 安全联盟数据库 SAD SAD也是形式上数据库 每个SA都对应于SAD中一个条目 定义了一个SA相关参数对于外出数据包 由SPD中的条目指定所使用的SA 当一个SPD条目没有指出特定的SA时 IPSec则创建一个SA或SA束 并且与一个SPD条目和SAD条目相关联对于进入数据包 要通过三元组来查找SAD中的条目 以确定对该数据包进行处理的SA或SA束 44 三 选择器选择器用来定位SPD中的一个策略 选择器参数是从IP报头和上层协议头中某些字段提取出来的IPSec支持如下选择器参数 1 目的IP地址 可以是单一IP地址 IP地址范围 网络前缀 IP地址 掩码 和通配符等地址形式 后三种地址形式可用来支持共享一个SA的多个目的系统 例如安全网关后面的多个主机 45 3 名字 使用有效的用户名或系统名来标识相关的策略 只有在密钥交换期间才能将名字作为选择器使用 4 传输层协议号 取自于IP头的协议号字段 对于ESP数据包 由于原IP头中的协议号字段被保护起来 因此选择器要使用通配符 5 源和目的端口 TCP UDP端口值或通配符 对于ESP数据包 选择器也要使用通配符由于用作选择器的字段具有方向性 每个需要IPSec处理的网络接口都必须有形式上分离的进入和外出的SAD SPD 46 47 4 密钥管理协议 IKEIPSec采用Internet密钥交换 IKE 协议来实现密钥交换和管理问题在使用IPSec之前 首先需要建立一个SA SA可以手工创建 也可以自动建立 在自动建立SA时 要使用IKE协议IKE提供了密钥素材认证和安全协商服务 协商的最终结果将产生一个IPSecSA 并填入SAD中IKE并非IPSec专有 其它协议也可以用IKE协商具体的安全服务 48 IKE提供如下功能 协商服务 通信双方协商所使用的协议 算法和密钥身份认证服务 对参与协商的双方身份进行认证 确保双方身份的合法性密钥管理 对协商的结果进行管理安全交换 产生所有密钥的密码源物质IKE是一个混合型协议 集成了Internet安全联盟与密钥管理协议 ISAKMP 和部分Oakley密钥交换方案 49 IKE协商分两个阶段 阶段1建立IKESA 阶段2利用IKESA来协商具体的IPSecSA 一 阶段1协商为建立一个IKESA 通信双方必须通过交换ISAKMP消息来协商各种参数 在这些消息中包含了多种ISAKMP载荷 1 SA载荷加密算法 用于保护数据散列函数 HashDiffie Hellmen D H 组 定义了通信双方在一次D H交换中需要使用的参数 50 伪随机函数 通常是带密钥的Hash函数 产生一个伪随机数输出 用于生成密钥和认证认证方法 对IKE交换影响最大的参数 决定了载荷的交换方法和时间 可选的认证方法 预共享密钥 数字签名 公钥认证等 2 KE载荷通信双方的D H公开值 3 Nonce载荷ISAKMP协商者的身份标识 4 ID载荷不同阶段协商者的身份标识 51 5 SIG载荷和CERT载荷SIG 签名 载荷和CERT 证书 载荷完成上述载荷交换后 协商的双方可以生成四种密码材料 并计算出两个散列值 二 阶段2协商阶段2利用特定的IKESA来协商具体的IPSecSA IPSecSA生成密钥素材 协商共享策略采用了快速模式 所有的载荷都被加密 并且通过Hash载荷可以实现对信息的认证 52 在密码学中 将不依赖于当前密钥而产生新密钥的方法称为完美向前保护 PFS IKE利用D H算法来实现PFS在快速模式中 通过更新阶段1的四种密码材料之一来生成密钥素材 并且使用KE载荷为密钥素材提供PFS保护默认身份协商对象是通信双方的IP地址 不包括协议和端口号本地策略根据对方身份信息决定是否采纳其提议 如果不接受对方的身份 将发送一个 无效的ID 消息 53 SA协商举例假设发送方SPD中的一个安全策略条目要求对外出数据报实施IPSec保护 用ESP进行加密和认证 加密算法是3DES 认证算法是MD5假设这个SPD条目指向SAD的指针为空 即目前没有合适的SA可以使用 这时 需要启动IKE协商来建立IPSecSA假设这是第一次启动IKE协商 即还没有建立IKESA 则首先是IKESA的协商 然后是IPSecSA的协商 54 阶段1协商 1 第一交换回合 交换SA载荷 需要协商信息有 3DES算法标识 散列函数标识 第1组D H交换标识 伪随机函数标识 基于RSA的身份认证方法标识等 并