安全协议ppt 第三章 IP层安全IPSec

第三章IP层安全IPSec杨礼珍yanglizhen2000@作业请写出在IPSec实现嵌套式隧道时，AH和EPS的报文封装方式。P.103思考题1、4、8、10概述IPSec的历史与现状IPSec的框架和思想协商协议ISAKMP（InternetSecurityAssociateandKeyManagementProtocol）IPSec三个协议IKE(InternetKeyExchange)AH(AuthenticationHeader)ESP(EncapsulatingSecurityPayload)IPSec的应用与部署方式3.1引言IP协议在不安全网络存在安全威胁容易遭受IP欺骗攻击：攻击者可以轻易构造一个包含虚假源地址的数据报对数据缺乏机密性和完整性保护：IP数据报以明文形式发送，且因IP层是点对点可被转发过程中的网络看到甚至篡改IPSec对IP协议分组进行加密和保护对IP提供身份认证、机密性和完整性防止重放攻击对通信流提供有限机密性保护：某些部署和模式下可加密源发和目的IP地址3.1.1历史与现状1993年10月，Johnloannidis和MattBlaze发表论文，首次提出在不更改IP体系结构的前提下增加安全性。1994年，IETF成立了IPSec工作组。1998年11月，IETF公布了以RFC2401为代表的IP安全标准。截止2008年8月，已有43个RFC（其中三个废除不用）。IPSec是IPv4的补充功能，是IPv6的内置功能。3.1.3在IP层实现安全性的优势与劣势在IP层实现安全的优势：通用性：IP是唯一一个由所有高层协议共享的协议，因此在IP层实现安全可以为所有上层提供安全保障。灵活性：IP层是点到点的，因此IPSec可以部署于通信链路的任意两点之间。安全策略统一性：部署于网关可以保护两个网络的进出安全性。3.1.3在IP层实现安全性的优势与劣势在IP层实现安全的劣势开发支持不好：IP通常作为操作系统的一部分，调用系统内核功能不方便。使用不方便：IPSec部署复杂。对通信效率影响较大，尤其部署在网关时。3.1.4IPSec组成协议组成协商阶段（相互认证对方的身份，并根据安全策略协商使用的加密、认证算法，生成会话密钥）IKE（InternetKeyExchange，互联网密钥交互）数据交互（通信双方利用协商好的算法和密钥对数据进行安全处理）AH（AuthenticationHeader认证首部）：只提供认证功能，不对报文做加密处理。ESP（EncapsulatingSecurityPayload，封装安全载荷）：提供认证功能、机密性和完整性保护。3.1.4IPSec组成标准组成IPSec体系结构ESP协议AH协议加密算法认证算法解释域(DOI)：对IPSec中涉及的协议、算法以及各种参数取值的规定密钥管理：规定了IKE、ISAKMP、Oakley等协商协议的语法、语义和时序应用类：对应用或实现IPSec时涉及的一些实际问题的解决方案IPSec组成结构（或见课本P.52图3.1）3.1.5安全策略安全策略是针对安全需求给出的一系列的解决方案，它决定了对什么样的通信实施安全保护，以及提供何种安全保护。IPSec的安全策略组件：SPD（SecurityPolicyDatabase，安全策略库）：安全策略的表示形式，库中每条记录对应一个安全策略。由管理员手工输入。随着网络规模的不断扩大，一般保存在一个策略服务器中集中管理。SAD（SecurityAsscoiationDatabase，安全关联库）：由安全关联SA组成，是安全策略的具体化和实例化，具体规定了什么行为是允许的，什么是不允许的。3.1.5安全策略IPSec的安全策略描述通信特性：目的IP地址、源IP地址、传输层协议、源和目标端口、数据敏感等级。保护方法：丢弃、绕过或应用IPSec(应用IPSec包含了使用的安全协议(AH或ESP)、模式、算法等，并以安全关联SA形式存储在SAD中)。安全关联SA单向的，分为保护进入数据的SA和保护外出数据的SA。标识：<SPI（安全参数索引），目的IP地址，安全协议>3.1.5安全策略SA的基本结构包括：目的IP地址：SA的目的地址IPSec协议：标识用的是AH还是ESP序号计数器：32比特。序号计数器溢出标志：标识序号计数器是否溢出。如果溢出，则产生一个审计事件，并禁止用SA继续发送数据包。抗重播窗口：32比特计数器及位图，用于决定进入的AH或ESP数据包是否为重发的。密码算法及密钥：AH验证算法及其密钥等。ESP加密算法、密钥、IV模式、IV等。ESP验证算法、密钥等。如未选择验证服务，该字段为空。安全关联的生存期：一个时间间隔。IPsec协议模式：隧道模式、传输模式或混合方式（通配符）。主机实施应支持所有模式；网关实施应支持隧道模式PMTU：所考察的路径的MTU及其寿命变量。传输模式提供对高层协议数据（即负载）的保护

例：AH的传输模式隧道模式提供对IP数据报的保护

例：

AH的隧道模式3.1.5安全策略SA提供的安全服务取决于所选的安全协议（AH或ESP）、SA模式（传输模式或隧道模式）、SA作用的两端点。安全关联管理手工方式：由管理员按安全策略手工指定、手工维护自动方式：启动IKE协商3.1.5IPSec协议流程(见p.57图3.3)管理员根据安全需求制定安全策略，并最终以SPD的形式给出。基于SPD，手工或IKE协商构造SAD。IPSec协议流程外出处理进入处理图3.3IPSec协议流程IPSec协议流程外出处理：发送方检索SPD，对数据报作出三种可能处理丢弃：丢弃数据报绕过IPSec：给数据报添加IP头，然后发送应用IPSec：查询SAD，根据以下可能处理存在有效SA：封装后发送尚未建立SA：启动IKE协商，成功则发送，不成功则丢弃。存在SA但无效：协商新的SA，成功则发送，不成功则丢弃。3.1.5IPSec协议流程进入处理：查询SAD得到有效SA：查询为该数据报提供的安全保护是否与策略要求的相符，如果相符则还原数据报后转发，如不相符则丢弃数据报。得不到有效SA，则丢弃数据报。3.3IKEIKE：InternetkeyExchange，互联网密钥交换IKE基于ISAKMP设计，通过参考了Oakley和SKEME。IKE报文沿用了ISAKMP的报文格式和载荷类型，区别为SA属性不同。IKE的两个阶段第一阶段：协商获取IKESA，使用“主模式”或“野蛮模式”，分别对应ISAKMP的“身份保护交换”和“野蛮交换”。第二阶段：协商安全协议SA，使用“快速模式”。IKE使用D-H交换生成共享的会话密钥。IKE使用新群模式协商如何使用一个新的D-H群。回顾：Diffie-Hellman密钥交换允许两个用户可以安全地交换一个秘密信息，用于后续的通讯过程算法的安全性依赖于计算离散对数的难度算法：双方选择素数q以及q的一个原根rA选择X<q,计算XA=rXmodp,AB:XAB选择Y<q,计算YB=rYmodp,BA:YBA计算:(YB)X(rY)XrXYmodpB计算:(XA)Y(rX)YrXYmodp双方获得一个共享密钥(rXYmodp)背景:Diffie-Hellman密钥交换算法面临的问题中间人攻击、重放攻击加入nonce，防止中间人和重放攻击。3.3.1IKE的SA协商SA协商的内容：加密算法、散列算法、认证方法、D-H群信息、伪随机数函数、群描述、群类型、生命期类型以及密钥长度。（详见p.76-78，表3.6）两个主要属性认证方法伪随机函数PRF3.3.1SAIKE定义了4种认证方法基于数字签名的方法：通信双方相互交换证书和签名信息。基于公钥加密的方法：通信双方用对方的公钥对身份、随机数等信息进行加密处理后发给对等端；通信双方用私钥解密后，将身份、随机数等信息作为输入生成认证信息发给对方。通信双方验证认证信息是否正确，如果正确，则说明对方拥有公钥对应的私钥。改进的基于公钥加密的方法：对基于公钥加密认证的改进，加密数据不是全部使用公钥加密，而是通过部分信息使用公钥加密，部分信息使用对称加密来提高效率。基于预共享密钥的方法：通信双方预先共享一个密钥，生成的认证信息中把预共享密钥作为输入之一(类似于PPP的CHAP协议)。3.3.1SA协商PRF（Pseudo-RandomFunction，伪随机函数）：以秘密信息和其它信息作为输入并产生随机的比特流。PRF生成以下4个秘密信息：SKEYID：用于推导其它秘密信息，由认证方法生成。SKEYID_d：为IPSec衍生出加密的素材SKEYID_a：用于数据完整性检验及数据源发认证SKEYID_e：用于数据加密3.3.1SA协商SKEYID_d=prf(SKEYID,g^xy|CKY-I|CKY-R|0)SKEYID_a=prf(SKEYID,SKEYID_d|g^xy|CKY-I|CKY-R|1)SKEYID_e=prf(SKEYID,SKEYID_a|g^xy|CKY-I|CKY-R|2)prf：伪随机函数，如果没有协商，则默认为HMACg^xy：D-H交换中的共享秘密CKY-I：I-CookieCKY-R：R-Cookie“0”、“1”、“2”：字符“0”、“1”、“2”3.3.2模式IKE的模式(对应于ISAKMP的交换类型)：主模式野蛮模式快速模式新群模式通知交换

主模式IKE的主模式是ISAKMP身份保护交换的实例。符号说明：Ni和Nr：发起方和回应方的随机数(NONCE)IDii和IDir：发起方和回应方的身份信息SIG_I和SIG_R：发起方和回应方的签名。[]：可选字段*：经过安全处理的消息_b：表示载荷的数据部分（去掉通用首部后）<x>y：表示用y作为密钥加密xCERT：数字证书1.使用数字签名的认证方式1.使用数字签名的认证方式秘密信息生成SKEYID=prf(Ni_b|Nr_b,g^xy)签名生成：分别以HASH-I和HASH-R作为输入生成签名。HASH_I=prf(SKEYID,g^xi|g^xr|CKY-I|CKY-R|SAi_b|IDii_b)HASH_R=prf(SKEYID,g^xr|g^xi|CKY-R|CKY-I|SAi_b|IDir_b)g^xi,g^xr分别发起方和回应方的D-H公开值CKY-I是I-Cookie，CKY_R是R-Cookie2.使用公钥加密认证方式2.使用公钥加密认证方式参数生成SKEYID=prf(hash(Ni_b|Nr_b),CKY_I|CKY_R)HASH_I=prf(SKEYID,g^xi|g^xr|CKY-I|CKY-R|SAi_b|IDii_b)HASH_R=prf(SKEYID,g^xr|g^xi|CKY-R|CKY-I|SAi_b|IDir_b)分析：秘密信息SKEYID以双方发送的随机数（Ni_b和Nr_b）、身份信息（CKY_I和CKY_R）作为输入。身份信息和随机数使用对等端公钥加密，只有私钥的拥有者才能解密得到对方的身份信息和随机数。HASH_I和HASH_R都以SKEYID作为输入，如果对方发来的散列值通过，则说明对方拥有公钥对应的私钥。3.使用改进的公钥加密认证方式基本思想目的是提高公钥加密认证方式的计算效率。NONCE(即Ni_b和Nr_b)使用对方的公钥加密。用NONCE生成对称加密密钥。用对称加密加密身份信息和密钥交换信息。3.使用改进的公钥加密认证方式参数说明：Ke_i和Ke_r分别是发起方和回应方用于加密身份信息和密钥交换信息的临时密钥。计算方法：Ne_i=prf(Ni_b,CKY_I)Ki=Ki1|Ki2|….Ki1=prf(Ne_i,0),Ki2=prf(Ne_i,K1),….Ke_i=Ki[n]：根据需要提取Ki的前n个比特3.使用改进的公钥加密认证方式Ne_r=prf(Nr_b,CKY_R)Kr=Kr1|Kr2|….Kr1=prf(Ne_r,0),Kr2=prf(Ne_r,K1),….Ke_r=Kr[n]：根据需要提取Kr的前n个比特4.使用预共享密钥认证方法4.使用预共享密钥认证方法秘密信息计算：SKEYID=prf(预共享密钥，Ni_b|Nr_b)HASH_I和HASH_R以SKEYID作为输入。只有拥有共享密钥才能生成正确的HASH_I或HASH_R，从而验证了身份。

野蛮模式IKE的野蛮模式是ISAKMP野蛮模式的实例。认证思想和和主模式一样。

快速模式快速模式用于第二阶段，使用第一阶段协商好的安全参数进行处理。

快速模式

快速模式散列值计算：HASH(1)=prf(SKEYID_a,M-ID|SA|Ni,[,KE][,IDci,IDcr])HASH(2)=prf(SKEYID_a,M-ID|Ni_b|SA|Nr,[,KE][,IDci,IDcr])HASH(3)=prf(SKEYID_a,0|M-ID|Ni_b|Nr_b)分析HASH值中红色字是被认证的紫色字是用于防止重放攻击的蓝色字用于完整性校验

快速模式可选项KE：用于完美的前向安全性（PFS）要求。PFS指一个密钥的泄露只会影响到该密钥加密的数据。如果要求PFS，则一个密钥不能用于推导其它密钥，则需要传输新的密钥交换信息。可选项目IDci和IDcr：用于代理情况，表示委托方的身份。

快速模式快速模式可协商多个SA，如下例

新群模式使用场合：协商新的D-H群HASH(1)=prf(SKEYID_a,M_ID|SA)HASH(2)=prf(SKEYID_a,M_ID|SA)HASH(1)和HASH(2)用于数据源发认证(以SKEYID_a为输入)和完整性校验(以SA为输入)

通知交换通知交换目的：错误通告、状态通告和SA删除。HASH(1)=prf(SKYID_a,M_ID|N/D)HASH(1)用于数据源发认证（以SKYID_a为输入）和完整性校验（以N/D为输入）3.3.3报文与载荷IKE报文沿用了ISAKMP的报文格式。IKE报文由首部和数据区组成，数据区则由载荷组成。3.4认证首部AHAH提供的服务：数据完整性、数据源发认证以及抗重放攻击。AH可以单独使用，也可和ESP联合使用。AH+传输模式：保护上层协议。AH+隧道模式：保护完整的IP数据报。AH首部格式NextHeader:下一个头的类型PayloadLength：AH的长度(32位字为单位)SPI：安全参数索引，用来标识SASequenceNumber：序号，用来避免重放攻击AuthenticationData：消息认证码，用来进行数据源发认证和完整性校验。AH的认证模式传输模式：不改变IP地址，插入一个AH头(即AH首部)，可保护上层协议数据。隧道模式：生成一个新的IP头，把AH头和原来的整个IP包放到新IP包的净荷数据中，可保护整个IP数据报。使用传输模式的AH报文封装方式使用隧道模式的AH报文封装方式AH的处理过程发送数据查找SPD数据库；应用或创建一个外出SA；填充AH头的各字段：“SPI”置为外出SA的SPI；外出SA的序列号计数器加1，填写“序列号”；填写长度字段的值；“验证数据”置为0（抗重放攻击）；计算验证数据ICV（提供数据完整性保护）；AH头中的“下一头部”置为原IP报头中的“协议”字段的值，原IP报头的“协议”字段置为51（代表AH）。AH的处理过程接收数据检查IP头的“协议”字段是否为51；根据IP头中的目的地址及AH头中的SPI等信息在SAD中查询相应SA，如果没有找到合适的SA，则丢弃该数据包；找到SA之后，进行序列号检查（抗重放检查），检查这个包是新收的还是以前收到的。如果是已经收到过的包，则丢弃该数据包；

检查ICV：对整个数据包应用“身份验证器”算法，并将获得的摘要值同收到的ICV值进行比较，如果相符，通过身份验证；如不相符，便丢弃该包；

ICV一经验证，递增滑动接收窗口的序列号，结束一次AH处理过程。3.5封装安全载荷ESPESP提供的安全服务：数据完整性、数据源发认证、抗重放攻击、机密性以及有限的传输流机密性。加密算法和认证算法由SA指定两种工作模式：传输模式和隧道模式ESP报文格式ESP报文格式ESP的传输模式ESP的隧道模式原IP头的源和目的地址分别为通信的起点和终点；新IP头的源和目的地址分别为安全的起点和终点。ESP处理过程ESP头定位加密算法和认证算法由SA确定对于发出去的包(OutboundPacket)的处理查找SA加密封装必要