S安全协议ppt课件.ppt

网络与信息安全安全基础 三 内容 IPSec协议密钥管理PKI IATF 信息保障技术框架 的范围 Local Computing Environment Local Computing Environment EnclaveBoundaries Networks Infrastructures TelecommunicationsService Providers TSPs PublicTelephone Network ConnectionstoOtherEnclaves ClassifiedEnclave PrivateEnclave PublicEnclave Remote Users Remote Users InternetServiceProvider Remote Connections ViaTSPs SupportingInfrastructures 1Detect Respond 2KeyManagementInfrastructure PublicKeyInfrastructure Facility BoundaryProtection Guard Firewall etc RemoteAccessProtection CommunicationsServers Encryption etc EnclaveBoundaries Local Computing Environment Remote Users Remote Users Remote Users PBX IPSec 网络层安全性需求 真实性 认证 完整性和保密性好处 对于应用层透明可以针对链路 也可以针对最终用户可以实现在防火墙或者路由器上弥补IPv4在协议设计时缺乏安全性考虑的不足IPSec是IETF定义的一组安全IP协议集它在IP包这一级为IP通讯业务提供保护IPv4中是一项可选支持的服务 在IPv6中是一项必须支持的服务本课程只讨论IPv4的情形 IPSec的内容 协议部分 分为AH AuthenticationHeaderESP EncapsulatingSecurityPayload密钥管理 KeyManagement SA SecurityAssociation ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议 SA SecurityAssociation 基本概念是发送者和接收者两个IPSec系统之间的一个简单的单向逻辑连接 是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合因为SA是单个方向的 所以 对于一个双向通信 则需要两个SASA与IPSec系统中实现的两个数据库有关安全策略数据库 SPD 安全关联数据库 SAD 每个SA通过三个参数来标识SPI SecurityParametersIndex 目标地址IP安全协议标识 SPD SAD SPD对于通过的流量的策略三种选择 discard bypassIPsec applyIpsec管理界面条目的粒度不必很细 因为作用在IP包上SAD 通常用到以下一些域SequenceNumberCounterSequenceCounterOverflowAnti ReplayWindowAHAuthenticationalgorithm keys etcESPEncryptionalgorithm keys IVmode IV etcESPauthenticationalgorithm keys etcLifetimeofthisSecurityAssociationIPsecprotocolmodePathMTU AH AuthenticationHeader 为IP包提供数据完整性和认证功能利用MAC码实现认证 双方必须共享一个密钥认证算法由SA指定认证的范围 整个包两种认证模式 传输模式 不改变IP地址 插入一个AH隧道模式 生成一个新的IP头 把AH和原来的整个IP包放到新IP包的净荷数据中 AH两种模式示意图 IPSecAuthenticationHeader NextHeader 下一个头的类型PayloadLength AH的长度 32位字为单位 SPI 用来标识SASequenceNumber 用来避免重放攻击AuthenticationData 可变长度的域 包含针对这个包的ICV或者MAC AH处理过程 AH定位在IP头之后 在上层协议数据之前认证算法计算ICV或者MAC对于发出去的包 OutboundPacket 的处理 构造AH查找SA产生序列号计算ICV IntegrityCheckValue 内容包括 IP头中部分域 AH自身 上层协议数据分片 AH处理过程 续 对于接收到的包 InboundPacket 的处理分片装配查找SA依据 目标IP地址 AH协议 SPI检查序列号 可选 针对重放攻击 使用一个滑动窗口来检查序列号的重放ICV检查 ESP EncapsulatingSecurityPayload 提供保密功能 也可以提供认证服务将需要保密的用户数据进行加密后再封装到一个新的IP包中 ESP只认证ESP头之后的信息加密算法和认证算法由SA指定也有两种模式 传输模式和隧道模式 ESP两种模式示意图 经认证的数据 经加密的数据 1 传输模式 IPSecESP格式 08162432 SecurityParametersIndex SPI SequenceNumber PayloadData variable AuthenticationData variable Padding 0 255bytes PadLengthNextHeader 保密范围 认证范围 ESP处理过程 ESP头定位加密算法和认证算法由SA确定对于发出去的包 OutboundPacket 的处理查找SA加密封装必要的数据 放到payloaddata域中不同的模式 封装数据的范围不同增加必要的padding数据加密操作产生序列号计算ICV 注意 针对加密后的数据进行计算分片 ESP处理过程 续 对于接收到的包 InboundPacket 的处理分片装配查找SA依据 目标IP地址 ESP协议 SPI检查序列号 可选 针对重放攻击 使用一个滑动窗口来检查序列号的重放ICV检查解密根据SA中指定的算法和密钥 参数 对于被加密部分的数据进行解密去掉padding重构原始的IP包 AH和ESP的典型组合 这里upper指上层协议数据IP1指原来的IP头IP2指封装之后的IP头 TransportTunnel 1 IP1 AH upper 4 IP2 AH IP1 upper 2 IP1 ESP upper 5 IP2 ESP IP1 upper 3 IP1 AH ESP upper IPSec实现 实现形式与IP协议栈紧密集成要求访问IP协议栈的源代码既适用于主机模式 也适用于安全网关 BITS Bump in the stack位于IP协议栈和网络驱动程序之间通常适用于主机模式BITW Bump in the wire 如果是在单独的主机上 类似于BITS情形如果一个BITW设备 通常是可IP寻址的 IPSec密钥管理 ISAKMP InternetSecurityAssociationandKeyManagementProtocolRFC2408是一个针对认证和密钥交换的框架IKE TheInternetKeyExchange基于ISAKMP框架结合了Oakley和SKEME的部分密钥交换技术 ISAKMP 基本的需求商定SA确定身份 密钥交换与协议 算法 厂商都无关框架结构针对身份认证和密钥交换的协商过程定义了基本的消息结构定义了各种消息类型和payload结构提供了几种缺省的密钥交换模型 ISAKMP消息结构 ISAKMP头部结构 ISAKMP的payload结构 各种payload 两阶段协商 Twophasesofnegotiation Thefirstphase 建立起ISAKMPSA双方 例如ISAKMPServers 商定如何保护以后的通讯此SA将用于保护后面的protocolSA的协商过程Thesecondphase 建立起针对其他安全协议的SA 比如 IPSecSA 这个阶段可以建立多个SA此SA将被相应的安全协议用于保护数据或者消息的交换 两阶段协商的好处 对于简单的情形 两阶段协商带来了更多的通讯开销但是 它有以下一些好处第一阶段的开销可以分摊到多个第二阶段中所以 这允许多个SA建立在同样的ISAKMPSA基础上第一阶段商定的安全服务可以为第二阶段提供安全特性例如 第一阶段的ISAKMPSA提供的加密功能可以为第二阶段提供身份认证特性 从而使得第二阶段的交换更为简单两阶段分开 提供管理上的便利 回顾 Diffie Hellman密钥交换 允许两个用户可以安全地交换一个秘密信息 用于后续的通讯过程算法的安全性依赖于计算离散对数的难度算法 双方选择素数q以及q的一个原根rA选择X q 计算XA rXmodp A B XAB选择Y q 计算YB rYmodp B A YBA计算 YB X rY X rXYmodpB计算 XA Y rX Y rXYmodp双方获得一个共享密钥 rXYmodp 素数q以及q的原根r如何确定 Cookieexchange 背景 Diffie Hellman密钥交换算法面临的问题中间人攻击 重放攻击CloggingattackCookieexchange要求每一方在初始消息中发送一个伪随机数 即cookie 而另一方对此做出相应的应答Cookie的要求Cookie的值必须依赖于特定的参与方 即与参与方的某种标识关联除了产生cookie的这一方之外 其他人都无法产生出可被他接受的cookie值 所以 产生和验证cookie时都会用到本地的秘密信息Cookie的产生和验证方法必须足够快速一个例子 对IP源和目标地址 源和目标端口 以及一个本地秘密值做一个hash算法的结果 ISAKMP的消息交换 ISAKMP定义了5种消息交换类型BaseExchange交换密钥 但是不提供身份保护IdentityProtectionExchange交换密钥 也提供身份保护AuthenticationOnlyExchange只有认证 对消息的认证 AggressiveExchange只有三条消息 类似于baseexchangeInformationalExchange传输信息 用于SA管理 IKE中几个概念 PFS PerfectForwardSecrecy一旦一个密钥被泄漏 只会影响到被一个密钥保护的数据Phase同ISAKMP中的phaseGroupOakley定义的Diffie Hellman密钥交换参数Mode来自Oakley中的定义指一个密钥交换过程四个modeMainMode AggressiveMode用于phase1QuickMode用于phase2NewGroupMode用在phase1之后 为将来的协商商定一个新的组 IKE中的组 IKE定义了四个组 DiffieHelman参数设定 768 bitMODPgroup参数 q 2 768 2 704 1 2 64 2 638pi 149686 21024 bitMODPgroup参数 q 2 1024 2 960 1 2 64 2 894pi 129093 2EC2NgrouponGP 2 155 EC2NgrouponGP 2 185 IKE中的密钥交换 MainMode 是ISAKMP的IdentityProtectionExchange的一个实例I R SAR I SAI R KE NONCER I KE NONCEI R IDI AUTH 加密传输 R I IDR AUTH 加密传输 前两条消息商定策略接下来两条消息交换密钥资料最后两条消息认证Diffie HellmanExchange用于phase1 IKE中的密钥交换 AggressiveMode 是ISAKMP的AggressiveExchange的一个实例I R SA KE NONCE IDIR I SA KE NONCE IDR AUTHI R AUTH 加密传输 前两条消息商定策略 交换Diffie Hellman公开的值 以及必要的辅助资料 和个人标识第二条消息也认证应答者第三条消息认证发起者用于phase1 IKEPhase1中的认证方案 IKEPhase1AuthenticatedWithSignaturesPhase1AuthenticatedWithPublicKeyEncryptionPhase1AuthenticatedWithaPre SharedKey IKE中的密钥交换 QuickMode 在ISAKMP中没有对应的交换类型I R SA NONCE IDI IDR KE HASH 1 R I SA NONCE IDI IDR KE HASH 2 I R HASH 3 以上消息都是加密传输如果PFS不需要的话 则可以不传KE只用于第二阶段 IKE中的密钥交换 NewGroupMode 在ISAKMP中没有对应的交换类型I R SA HASH 1 R I SA HASH 2 以上消息都是加密传输用于第一阶段之后 IPSec和IKE小结 IPSec在网络层上提供安全服务定义了两个协议AH和ESPIKE提供了密钥交换功能利用ISAKMP提供的框架 以及Oakley和SKEME的密钥交换协议的优点通过SA把两部分连接起来已经发展成为Internet标准一些困难IPSec太复杂协议复杂性 导致很难达到真正的安全性管理和配置复杂 使得安全性下降实现上的兼容性攻击 DOS 网络层之下的协议 之上的协议的弱点还在进一步完善 IPSec实现 一些网络设备厂商比如CISCO等各种操作系统例如Linux 各种UNIX版本IPv6实现一些VPN软件包 Windows2000和XP下的IPSec 文章实现特点与IETF兼容支持Kerberos 基于证书的认证 基于共享密钥的认证一些不受IPSec保护的流量 广播包 组播包 RSVP包 IKE包 Kerberos包与L2TP结合起来提供安全的VPN远程访问不能与NAT协同工作仍然面临一些攻击 DOS 其他层上协议的攻击对比FreeBSD的实现 Windows2000和XP下的IPSec管理工具 IPSecSecurityPoliciessnap infortheMMC secpol msc IPSecmon exe 回顾 公钥技术 公钥技术建立在非对称密码算法基础上公钥和私钥对服务 保密性和认证 回顾 数字签名 两种数字签名方案 密钥对的用法 用于加密的密钥对 用公钥加密 用私钥解密 PKI之动机 公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案 引入证书 certificate 通过证书把公钥和身份关联起来 密钥生命周期 PKI PublicKeyInfrastructure 定义 用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施一个完整的PKI应该包括认证机构 CA 证书库证书注销密钥备份和恢复自动密钥更新密钥历史档案交叉认证支持不可否认时间戳客户端软件 PKI提供的基本服务 认证采用数字签名技术 签名作用于相应的数据之上被认证的数据 数据源认证服务用户发送的远程请求 身份认证服务远程设备生成的challenge信息 身份认证完整性PKI采用了两种技术数字签名 既可以是实体认证 也可以是数据完整性MAC 消息认证码 如DES CBC MAC或者HMAC MD5保密性用公钥分发随机密钥 然后用随机密钥对数据加密不可否认发送方的不可否认 数字签名接受方的不可否认 收条 数字签名 PKI的应用考虑 在提供前面四项服务的同时 还必须考虑性能尽量少用公钥加解密操作 在实用中 往往结合对称密码技术 避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术 否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题 无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前 必须协商到一致的算法个体命名如何命名一个安全个体 取决于CA的命名登记管理工作 PKI基本组件 RA RegistrationAuthority 把用户的身份和它的密钥绑定起来 建立信任关系CA CertificateAuthority 发证证书库 目录保存证书 供公开访问 证书的注销机制 由于各种原因 证书需要被注销比如 私钥泄漏 密钥更换 用户变化PKI中注销的方法CA维护一个CRL CertificateRevocationList 基于Web的CRL服务检查CRL的URL应该内嵌在用户的证书中可以提供安全途径 SSL 访问URL返回注销状态信息其他的用法由浏览器决定 PKI中的证书 证书 certificate 有时候简称为certPKI适用于异构环境中 所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明 所以证书的权威性取决于该机构的权威性一个证书中 最重要的信息是个体名字 个体的公钥 机构的签名 算法和用途签名证书和加密证书分开最常用的证书格式为X 509v3 X 509证书格式 版本1 2 3序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字 X 509证书格式 续 个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名 X 509证书示意图 CA CertificateAuthority 职责接受用户的请求 由RA负责对用户的身份信息进行验证 用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图 密钥备份和恢复 进一步授权 可定制 授权恢复密钥 加密密钥的历史 新的签名密钥对和证书 Password Help CA密钥更新 保证透明性 Sep1998 Oct1998 Nov1998 Dec1998 Jan1999 Feb1999 Mar1999 Apr1999 May1999 Jun1999 Jul1999 Aug1999 CA密钥历史保证对于最终用户和其他的PKI是透明的 新的CA签名密钥对 CA信任关系 当一个安全个体看到另一个安全个体出示的证书时 他是否信任此证书 信任难以度量 总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的 个体 公钥属性 之间的绑定 则他可以信任该CA 该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型 CA层次结构 对于一个运行CA的大型权威机构而言 签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构 CA层次结构的建立 根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言 它需要信任根CA 中间的CA可以不必关心 透明的 同时它的证书是由底层的CA签发的在CA的机构中 要维护这棵树在每个节点CA上 需要保存两种cert 1 ForwardCertificates 其他CA发给它的certs 2 ReverseCertificates 它发给其他CA的certs 层次结构CA中证书的验证 假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找 可以构成一条证书链 直到根证书验证过程 沿相反的方向 从根证书开始 依次往下验证每一个证书中的签名 其中 根证书是自签名的 用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过 则A可以确定所有的证书都是正确的 如果他信任根CA 则他可以相信B的证书和公钥问题 证书链如何获得 证书链的验证示例 交叉认证 两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证 同一个层次结构内部 域间交叉认证 不同的层次结构之间 交叉认证的约束名字约束路径长度约束策略约束 以用户为中心的信任模型 对于每一个用户而言 应该建立各种信任关系 这种信任关系可以被扩展例子 用户的浏览器配置 以用户为中心的信任模型示例 PGP 与PKI有关的标准情况 Certificates X 509v 3交叉认证 PKIXgroupinIETF RFC2459 智能卡 硬件插件PKCS 11PKCS系列目录服务LDAP PKCS系列标准 PKCS 1RSAEncryptionStandardPKCS 3Diffie HellmanKey AgreementStandardPKCS 5Password BasedEncryptionStandardPKCS 6Extended CertificateSyntaxStandardPKCS 7CryptographicMessageSyntaxStandardPKCS 8Private KeyInformationS