IP的安全性综述

1、IP的安全性的安全性目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式TCP/IP协议栈协议栈用户数据经过协议栈的封装过程用户数据经过协议栈的封装过程网络层安全网络层安全传输层安全传输层安全应用层安全应用层安全IPV4数据报数据报IPv4的缺陷的缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制缺乏对传输数据的完整性和机密性保护的机制由于由于IP地址可软件配置地址可软件配置

2、以及以及基于源基于源IP地址的鉴别机制地址的鉴别机制，IP层存在业务流被监听和捕获、层存在业务流被监听和捕获、IP地址欺骗、信息泄露地址欺骗、信息泄露和数据项篡改等攻击和数据项篡改等攻击IPv6目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式IPSec两个通信协议：两个通信协议：AH , ESP两种操作模式：传输模式，隧道模式两种操作模式：传输模式，隧道模式一个密钥交换管理协议：一个密钥交换管理协议：IKE两个数据库：安全策略数据库

3、两个数据库：安全策略数据库SPD，安全，安全关联数据库关联数据库SADIPSec的体系结构的体系结构IPSec的实现的实现目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式AH为为IP包提供数据完整性和鉴别功能包提供数据完整性和鉴别功能利用利用MAC码实现鉴别，双方必须共享一个密钥码实现鉴别，双方必须共享一个密钥鉴别算法由鉴别算法由SA指定指定 鉴别的范围：整个包鉴别的范围：整个包两种鉴别模式：两种鉴别模式： 传输模式：不改变传输模式

4、：不改变IP地址，插入一个地址，插入一个AH 隧道模式：生成一个新的隧道模式：生成一个新的IP头，把头，把AH和原来的整个和原来的整个IP包放到新包放到新IP包的载荷数据中包的载荷数据中AH提供的服务包括提供的服务包括数据源认证数据源认证无连接的完整性无连接的完整性可选的抗重放服务可选的抗重放服务不提供保密性不提供保密性AH头格式头格式 AH头说明头说明 Next Header 8 比 特 ， 指 出比 特 ， 指 出 A H 后 的 下 一 载 荷 的 类 型后 的 下 一 载 荷 的 类 型(RFC1700)AH头说明头说明Payload Length 包含以包含以32比特为单位的比特为单

5、位的AH的长度减的长度减 2AH头说明头说明SPI32bit用于和源用于和源/目的目的IP地址、地址、IPSec协议协议(ESP/AH)共同唯一标识一个共同唯一标识一个SAAH头说明头说明Sequence NumberSA建立时，发送方和接收方建立时，发送方和接收方SN初始化为初始化为0通信双方每使用一个特定的通信双方每使用一个特定的SA发送一个数据报则将它们发送一个数据报则将它们增增1，用于抵抗重放攻击，用于抵抗重放攻击AH规范强制发送者必须发送规范强制发送者必须发送SN给接收者，而接收者可给接收者，而接收者可以选择不使用抗重放特性，这时它不理会该以选择不使用抗重放特性，这时它不理会该SN若

6、接收者启用抗重放特性，则使用滑动接收窗口机制检若接收者启用抗重放特性，则使用滑动接收窗口机制检测重放包。具体的滑动窗口因测重放包。具体的滑动窗口因IPSec的实现而异的实现而异AH头说明头说明Authentication Data该变长域包含数据报的认证数据，称为完整性校验值该变长域包含数据报的认证数据，称为完整性校验值(ICV)生成生成ICV的算法由的算法由SA指定，具体视指定，具体视IPSec的具体实现而定的具体实现而定为保证互操作性，为保证互操作性，AH强制所有的强制所有的IPSec必须实现两个必须实现两个MAC: HMAC-MD5, HMAC-SHA-1AH使用模式使用模式传输模式传输

7、模式通道模式通道模式AH传输模式的特点传输模式的特点保护端到端通信保护端到端通信通信的终点必须是通信的终点必须是IPSec终点终点AH认证认证AH传输模式失效案例传输模式失效案例1NAT网关网关AH传输模式失效案例传输模式失效案例2代理网关代理网关代理网关代理网关AH隧道模式的特点隧道模式的特点保护点到点通信保护点到点通信通信的终点必须是通信的终点必须是IPSec终点终点克服了传输模式的一些缺点克服了传输模式的一些缺点AH认证认证完整性校验值完整性校验值(ICV)的计算的计算ICV用于验证用于验证IP包的完整性包的完整性ICV采用采用MAC生成生成计算计算MAC时需要密钥，因此通信双方需要共享

8、密钥，该时需要密钥，因此通信双方需要共享密钥，该密钥在密钥在SA 中定义，由通信双方协商生成中定义，由通信双方协商生成ICV的长度依赖于所使用的的长度依赖于所使用的MAC算法：算法： HMAC-MD5: 128位位 HMAC-SHA-1:160位位AH输出输入处理流程输出输入处理流程目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式ESP提供保密功能，包括报文内容的机密性和有限提供保密功能，包括报文内容的机密性和有限的通信量的机密性，

9、也可以提供鉴别服务（可的通信量的机密性，也可以提供鉴别服务（可选）选）将需要保密的用户数据进行加密后再封装到一将需要保密的用户数据进行加密后再封装到一个新的个新的IP包中，包中，ESP只鉴别只鉴别ESP头之后的信息头之后的信息加密算法和鉴别算法由加密算法和鉴别算法由SA指定指定两种模式：传输模式和隧道模式两种模式：传输模式和隧道模式ESP提供的服务包括提供的服务包括数据保密性数据保密性有限的数据流保密性有限的数据流保密性数据源认证（认证是可选的）数据源认证（认证是可选的）无连接的完整性无连接的完整性抗重放服务抗重放服务初始化向量初始化向量(IV）加密和鉴别算法加密和鉴别算法加密算法加密算法 3

10、DES、RC5、IDEA、3IDEA、CAST、Blowfish鉴别算法鉴别算法 ICV计算应支持计算应支持: HMAC-MD5-96、HMAC-SHA-1-96, 仅用仅用96位位ESP输出输入处理流输出输入处理流程程SA组合组合特定的通信量需要同时调用特定的通信量需要同时调用AH和和ESP服务服务特定的通信量需要主机之间和防火墙之间的服务特定的通信量需要主机之间和防火墙之间的服务传输邻接：同一分组应用多种协议，不形成隧道传输邻接：同一分组应用多种协议，不形成隧道循环嵌套：通过隧道实现多级安全协议的应用循环嵌套：通过隧道实现多级安全协议的应用机密与鉴别组合使用机密与鉴别组合使用机密与鉴别组合

11、使用机密与鉴别组合使用 传输邻接使用两个捆绑的传输传输邻接使用两个捆绑的传输SA 内部是内部是ESP SA（没有鉴别选项），外部是（没有鉴别选项），外部是AH SA目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式安全关联安全关联SA用于通信对等方之间对某些要素的一种协定，如：用于通信对等方之间对某些要素的一种协定，如：IPSec协议协议协议的操作模式：传输、隧道协议的操作模式：传输、隧道密码算法密码算法密钥密钥用于保护数据流的密钥的

12、生存期用于保护数据流的密钥的生存期安全关联安全关联SA通过像通过像IKE这样的密钥管理协议在通信对等方之间协商这样的密钥管理协议在通信对等方之间协商而生成而生成当一个当一个SA协商完成后，两个对等方都在其安全关联数据协商完成后，两个对等方都在其安全关联数据库库(SAD)中存储该中存储该SA参数参数SA具有一定的生存期，当过期时，要么中止该具有一定的生存期，当过期时，要么中止该SA，要，要么用新的么用新的SA替换替换终止的终止的SA将从将从SAD中删除中删除安全关联安全关联SASAnSA3SA2SA1安全关联安全关联SA安全参数索引安全参数索引32位整数，唯一标识位整数，唯一标识SA1255被被

13、IANA保留将来使用保留将来使用0被保留用于本地实现被保留用于本地实现SAnSA3SA2SA1安全关联安全关联SA输出处理输出处理SA的目的的目的IP地址地址输入处理输入处理SA的源的源IP地址地址SAnSA3SA2SA1安全关联安全关联SAAHESPSAnSA3SA2SA1安全关联安全关联SA32位整数，刚开始通常为位整数，刚开始通常为0每次用每次用SA来保护一个包时增来保护一个包时增1用于生成用于生成AH或或ESP头中的序列号域头中的序列号域在溢出之前，在溢出之前，SA会重新进行协商会重新进行协商SAnSA3SA2SA1安全关联安全关联SA用于外出包处理用于外出包处理标识序列号计数器的溢出

14、时，一个标识序列号计数器的溢出时，一个SA是否仍是否仍 可以用来处理其余的包可以用来处理其余的包SAnSA3SA2SA1安全关联安全关联SA使用一个使用一个32位计数器和位图确定一个输入的位计数器和位图确定一个输入的 AH或或ESP数据包是否是一个重放包数据包是否是一个重放包SAnSA3SA2SA1安全关联安全关联SAAH认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1安全关联安全关联SAESP认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1安全关联安全关联SAESP加密算法，密钥，初始化向量加密算法，密钥，初始化向量(IV)和和IV模式

15、模式IV模式：模式：ECB，CBC，CFB，OFBSAnSA3SA2SA1安全关联安全关联SA传输模式传输模式隧道模式隧道模式通配模式：暗示可用于传输隧道模式通配模式：暗示可用于传输隧道模式SAnSA3SA2SA1安全关联安全关联SA路径最大传输单元路径最大传输单元是可测量和可变化的是可测量和可变化的它是它是IP数据报经过一个特定的从源主机到数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的目的主机的网络路由而无需分段的IP数据数据 包的最大长度包的最大长度SAnSA3SA2SA1安全关联安全关联SA包含一个时间间隔包含一个时间间隔外加一个当该外加一个当该SA过期时是被替代还是终止

16、过期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在采用软和硬的存活时间：软存活时间用于在 SA会到期之前通知内核，便于在硬存活时间会到期之前通知内核，便于在硬存活时间 到来之前内核能及时协商新的到来之前内核能及时协商新的SASAnSA3SA2SA1安全策略安全策略SPSP：指定用于到达或源自特定主机：指定用于到达或源自特定主机/网络的数网络的数据流的策略据流的策略SPD：包含策略条目的有序列表：包含策略条目的有序列表通过使用一个或多个选择符来确定每个条目通过使用一个或多个选择符来确定每个条目安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址

17、、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地址地址范围，地址加子网掩码地址地址范围，地址加子网掩码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地址地址范围，地址加子网掩码地址地址范围，地址加子网掩码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符指定传输协议（只要传输协议指定传输协议（只要传输协议 能访问）能访问）许多情况下，

18、只要使用了许多情况下，只要使用了ESP, 传输协议便无法访问，此时需传输协议便无法访问，此时需 使用通配符使用通配符SRnSR3SR2SR1安全策略安全策略SP选择符选择符完整的完整的DNS名名或或e-mail地址地址SRnSR3SR2SR1安全策略安全策略SP选择符选择符完整的完整的DNS用户名用户名如如或或X.500 DNSRnSR3SR2SR1安全策略安全策略SP选择符选择符应用端口应用端口如无法访问，则使用通配符如无法访问，则使用通配符SRnSR3SR2SR1安全策略安全策略SP采取的动作采取的动作DiscardBypass IPSecApply IPSecSRnSR3SR2SR1安全

19、策略安全策略SP包括：包括：指向一个指向一个SA或或SA集的指针集的指针应用的应用的IPSec协议协议运用的密码算法运用的密码算法生成生成ICV的算法的算法SRnSR3SR2SR1SPDSAD输入数据报处理输入数据报处理SPDSAD输出数据报处理输出数据报处理目目 录录TCP/IP协议协议IPSec的结构的结构认证头认证头AH封装安全载荷封装安全载荷 ESP安全关联安全关联(SA)和安全策略和安全策略(SP)1.ISAKMP和和Internet密钥交换模式密钥交换模式 ISAKMP定义协商、建立、修改和删除定义协商、建立、修改和删除SA的过程和包的过程和包格式格式 (RFC2408) ISAK

20、MP被设计为与密钥交换协议无关的协议，即不被设计为与密钥交换协议无关的协议，即不受任何具体的密钥交换协议、密码算法、密钥生成技术受任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制或认证机制 通信双方通过通信双方通过ISAKMP向对方提供自己支持的功能从向对方提供自己支持的功能从而协商共同的安全属性而协商共同的安全属性 ISAKMP消息可通过消息可通过TCP和和UDP传输：传输：Port 500主题主题 ISAKMP头格式头格式 ISAKMP载荷格式载荷格式 ISAKMP协商阶段协商阶段 ISAKMP交换类型交换类型ISAKMP头格式头格式ISAKMP头格式头格式- Initiator

21、cookie 8bit串，由串，由ISAKMP交换的发起者生成交换的发起者生成会话过程中保持不变，用于验证会话过程中保持不变，用于验证生成的方法可不同，建议采用生成的方法可不同，建议采用MD5、SHA-1或或其它支持的杂凑函数利用通信方源地址、目的地其它支持的杂凑函数利用通信方源地址、目的地址、址、UDP/TCP源端口、目的端口、生成时间等源端口、目的端口、生成时间等生成生成 必须保证唯一必须保证唯一ISAKMP头格式头格式- Next payloadISAKMP头格式头格式- Exchange typeISAKMP头格式头格式- Flag 使用使用8bit中的低中的低3位位 1加密比特加密比

22、特 2提交比特提交比特 3仅认证比特仅认证比特ISAKMP载荷格式载荷格式SA数据属性数据属性ESP加密算法加密算法ISAKMP载荷类型载荷类型通用载荷通用载荷安全关联载荷安全关联载荷建议载荷建议载荷变换载荷变换载荷密钥交换载荷密钥交换载荷标识载荷标识载荷证书载荷证书载荷证书请求载荷证书请求载荷杂凑载荷杂凑载荷签名载荷签名载荷nonce载荷载荷通知载荷通知载荷删除载荷删除载荷厂商厂商ID载荷载荷 交换阶段交换阶段交换模式交换模式生成密钥信息生成密钥信息 Oakley群群模式配置模式配置混合认证混合认证IKEIKE是一个混合协议，使用到三个不同协议的相关部分：是一个混合协议，使用到三个不同协议的

23、相关部分： ISAKMP Oakley密钥确定协议密钥确定协议 SKEMEIKE实际定义了一个密钥交换，而实际定义了一个密钥交换，而ISAKMP仅仅提供了一仅仅提供了一个可由任意密钥交换协议使用的通用密钥交换框架个可由任意密钥交换协议使用的通用密钥交换框架阶段阶段1协商协商ISAKMP通信双方建立一个通信双方建立一个ISAKMP SA，即用，即用于保护双方后面的协商通信的一个协定于保护双方后面的协商通信的一个协定然后用这个然后用这个ISAKMP SA为保护其它协议为保护其它协议(如如AH和和ESP)建立建立SA的协商的协商阶段阶段2协商协商用于为其它安全服务，如用于为其它安全服务，如AH和和E

24、SP建立建立SA一个阶段一个阶段1的的SA可用于建立多个阶段可用于建立多个阶段2的的SA主模式主模式野蛮模式野蛮模式快速模式快速模式新群模式新群模式主模式主模式用于协商阶段用于协商阶段1的的SA这种交换模式被设计成将密钥交换信息与身份、这种交换模式被设计成将密钥交换信息与身份、认证信息相隔离，便于保护什么信息认证信息相隔离，便于保护什么信息主模式主模式1发起者发送一个封装有建议载荷的发起者发送一个封装有建议载荷的SA载荷，而建议载荷载荷，而建议载荷重又封装有变换载荷重又封装有变换载荷2响应者发送一个响应者发送一个SA载荷，表明接受协商的载荷，表明接受协商的SA的建议的建议3、4发起者和接受者交

25、换发起者和接受者交换D-H公开值和各种辅助数据，公开值和各种辅助数据，如如nonce。Nonce是计算共享密钥（用来生成加密密钥是计算共享密钥（用来生成加密密钥和认证密钥）所必须的和认证密钥）所必须的5、6双方交换标识数据并认证双方交换标识数据并认证D-H交换。这两个消息中交换。这两个消息中传递的信息是加密的，用于加密的密钥由消息传递的信息是加密的，用于加密的密钥由消息34中交中交换的密钥信息生成，所以身份信息受到保护换的密钥信息生成，所以身份信息受到保护野蛮模式野蛮模式在不需要保护身份信息时，用于协商阶段在不需要保护身份信息时，用于协商阶段1的的SA这种交换模式允许同时传送与这种交换模式允许同时传送与SA、密钥交换和认、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数少了消息的往返次数野蛮模式野蛮模式1发起者发送一个封装有单个建议载荷的发起者发送一个封装有单个建议载荷的SA载荷，而建议载荷，而建议载荷重又封装有变换载