信息安全技术基础第7章

第7章安全协议学习目标网络体系结构中各层实现安全保护的机制虚拟专用网协议IPSec安全保护机理及工作过程传输层安全协议TLS安全保护机理及工作过程本章讲解安全协议的概念，在网络分层体系结构中典型安全协议分类。重点讲解的虚拟专用网协议IPSec、传输层安全协议TLS。2什么是安全协议？3目录7.1安全协议概述7.2虚拟专用网协议IPSec7.3传输层安全（TLS）协议47.1安全协议概述协议是在对等实体（两方或多方）之间为完成某项任务所执行的一系列确定的步骤，是协议实体必须共同遵循的一套规则。协议步骤（或规则）是明确定义的。安全协议是使用密码术实现特定安全目标，在网络和分布式系统中提供各种安全服务的协议，有时也称“密码协议”。57.1安全协议概述网络协议栈各层上安全协议67.1安全协议概述PPP-PAP：口令认证协议PAP（PasswordAuthenticationProtocol）是PPP（点对点协议）的一个链路控制子协议，对等实体建立初始连接之后，使用2次握手实现实体认证，被认证一方向认证方持续重复发送“用户ID/口令”，直至认证得到响应或连接终止。71.数据链路层安全7.1安全协议概述PPP-CHAP：质询握手认证协议（ChallengeHandshakeAuthenticationProtocol）。三次握手验证对等实体身份，被认证方向认证方发送“标识”；认证方向被认证方发送“质询”（Challenge——随机数）消息；被认证方使用质询和口令字（双方事先共享）共同计算哈希值做应答。81.数据链路层安全7.1安全协议概述MIME/S-MIME（MultipurposeInternetMailExtensionsandSecureMIME）：多用途网际邮件扩充（MIME）协议定义了邮件消息格式，方便不同邮件系统之间消息交换。MIME允许邮件中包含任意类型的文件，如文本、图象、声音、视频及其它应用程序等。MIME的安全版本S/MIME提供了一种安全电子邮件机制，基于MIME标准，S/MIME为电子消息应用程序提供邮件安全服务，包括认证、完整性保护、数据保密等。92．应用层安全协议7.1安全协议概述PGP（PrettyGoodPrivacy）：设计用于电子邮件和存储数据加密和数字签名实用程序，开源且免费的，PGP基于RSA公钥加密体制，实现了对邮件的加密保护，基于数字签名的源认证和不可否认性保护。。PGP模型允许多重地、独立地而非特殊可信个体签署“名字/密钥”关联来证明证书的有效性。“只要有足够的签名，<名字/密钥>关联就是可信的，因为不会所有的签名者都是‘坏’的”，即所谓“信任网”模型。102．应用层安全协议如何在IP层实现安全的数据通信？11目录7.1安全协议概述7.2虚拟专用网协议IPSec7.3传输层安全（TLS）协议127.2.1虚拟专用网VPN虚拟专用网（VirtualPrivateNetwork，VPN）就是利用公共网络（如Internet）在两个系统之间建立安全的信道（也称隧道），从而实现重要数据的安全传输。137.2.1虚拟专用网VPN点对点隧道协议PPTP（PointtoPointTunnelingProtocol）。由微软等厂商提出的一种支持多协议的虚拟专用网VPN机制。PPTP是在PPP协议的基础上开发的一种增强型安全协议，它使用一个TCP上的控制隧道和一个封装PPP数据包的通用路由封装GRE（GenericRoutingEncapsulation）隧道。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通且可用的网络连接，如IP网络。147.2.1虚拟专用网VPN第2层隧道协议L2TP（Layer2TunnelingProtocol）。L2TP是一个由Cisco第2层转发协议L2F协议和PPTP协议发展演变的VPN机制，2005年IETF发布最新版本L2TPv3（RFC3931）。L2TP工作在包交换网络之上，如IP网络（使用UDP）、帧中继永久虚拟电路（PVCs）、X.25虚拟电路（VCs）或ATM网络。在L2TP隧道内通常传输点到点协议（PPP）会话。L2TP不直接提供加密，它依赖隧道中所使用端到端加密协议实现保密性服务，L2TP通常与IPSec混合应用，提供保密、认证和完整性服务。157.2.1虚拟专用网VPNSSLVPN。使用安全套接层SSL（SecureSocketsLayer）协议实现VPN的机制。通常SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。167.2.2IP层VPN协议——IPSecIPSec（InternetProtocolSecurity）是工作在IP层的安全机制，用于保护一对主机之间（主机到主机）、一对安全网关（网络到网络）或者安全主机与网关之间（主机到网络）的数据流安全。IPSec为IP报文段提供保密性、完整性、访问控制和数据源认证等安全保护服务。IPSec是一个协议簇，包括会话初始化阶段通信双方双向认证协议、密钥协商协议，以及对通信会话中每个IP报文保护（认证和/或加密）协议。177.2.2IP层VPN协议——IPSec两类保护IP报文的协议：认证头AH（AuthenticationHeader）：为IP报文提供无连接的完整性、数据源认证和抗重放攻击保护。有效载荷封装ESP（EncapsulatingSecurityPayload）：为IP报文提供保密性、无连接完整性、数据源认证、抗重放攻击等保护服务。187.2.2IP层VPN协议——IPSec两种工作模式：传输模式：在原有IP报文中插入IPSec协议头（AH或ESP）及尾（ESP），报文按原有IP报文头包含的信息（如IP地址）进行传输。隧道模式：将原有IP报文作为一个新IP报文的数据域看待，被封装保护在一个新的IP报文中，再根据是AH协议或ESP协议添加相应的头或尾。197.2.2IP层VPN协议——IPSec不同应用场景下，适合使用不同的IPSec模式：安全网关—安全网关：网关之间应用IPSec，两个网关后面的内部网络中主机通过安全网关实现在Internet上的安全通信。适合使用隧道模式。主机—主机：IP连接的两个主机节点直接应用IPSec通信，又分两种情况：一是互联网上两个主机直接通信；二是互联网上主机与某内部网络主机通信(使用公有IP)。两个节点必须使用公有IP地址，通常使用传输模式，当然也可以使用隧道模式。主机—安全网关：主机与网关之间应用IPSec，通常使用隧道模式。207.2.2IP层VPN协议——IPSec217.2.3认证头AH协议下一个头：标识认证头AH后面跟着的载荷的类型。安全参数索引SPI：32比特整数，接收端识别入站报文绑定的安全关联SA。序列号：单调递增计数32比特整数，防止重放攻击。完整性验证值ICV：对整个IP报文(含AH头)完整性的认证。221.认证头格式7.2.3认证头AH协议232.AH两种工作模式7.2.3认证头AH协议AH传输模式：ICV计算将原IP报文头中可变域置为0后，把整个AH报文作为HMAC的输入，摘要值即为ICV值。AH隧道模式：ICV计算将新IP报文头中可变域置为0后，把整个AH报文作为HMAC的输入，摘要值即为ICV值。243.完整性验证值计算7.2.4封装安全载荷ESP协议封装安全载荷（EncapsulatingSecurityPayload，ESP）提供数据保密性、数据源认证、无连接完整性保护、抗重放等服务，以及有限的数据流保密服务。ESP使用对称密码技术加密IP报文的数据域（传输模式）或整个IP报文（隧道模式），使用与AH协议中相同的带密钥的消息摘要算法计算ESP报文的认证数据——完整性验证值ICV。257.2.4封装安全载荷ESP协议261.ESP报文格式7.2.4封装安全载荷ESP协议27

ESP两种工作模式7.2.5Internet密钥交换IETF在1998年发布了IKE（RFC2409），2010年发布了最新版本IKEv2。IKE融合使用到了三个不同协议：Internet安全连接和密钥管理协议ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）、Oakley密钥确定协议（OAKLEYKeyDeterminationProtocol）和安全密钥交换机制SKEME（SecureKeyExchangeMechanism）。287.2.5Internet密钥交换291.初始化交换（InitialExchange）7.2.5Internet密钥交换HDR：消息头。包含安全参数索引SPI、版本号和一些标志位，以及消息ID，识别重传消息。SA：安全关联载荷，小写字母i和r分别代表发起者和响应者。SA载荷中包括发送者支持的密码算法等。KE：密钥交换载荷，执行DH密钥交换协议所交换的发送者计算的公钥值（如gx）。N：Nonce载荷，包含发送者产生的一次随机数。CERT：证书载荷，包含发送者的公钥数字证书。CERTREQ：证书请求载荷。SK{…}：使用密钥SK对称密加密。TS：负载选择符。307.2.5Internet密钥交换（1）IKESA初始化（记IKE_SA_INIT）交换IKE_SA_INIT交换包括消息1和消息2，用于协商密码算法、交换随机数Nonce、执行DH公钥交换。（2）IKE认证（记IKE_AUTH）交换IKE_AUTH交换包括消息3和消息4，认证前面的消息、交换身份标识ID和证书（可选），并建立第一个子SA，这一交换中除消息头之外其他载荷数据使用IKE_SA_INIT交换建立的算法和密钥进行加密和完整性保护。317.2.5Internet密钥交换2.生成子SA交换（CREATE_CHILD_SAExchange）327.2.5Internet密钥交换3.信息交换（INFORMATIONExchange）337.2.5Internet密钥交换IKE消息头（HDR）格式34安全关联载荷（SecurityAssociationPayload）357.2.5Internet密钥交换密钥交换载荷（KeyExchangePayload，记为KE）KE载荷用于交换Diffie-Hellman（以下简称DH）公钥（指数计算结果），KE载荷同样包含通用载荷头，后面跟DH群编号以及密钥交换数据——DH公钥。证明载荷（IdentificationPayload，对发起者和响应者分别记为IDi或IDr）允许对等实体向对方证明自己的身份，身份可以用于策略查找，但不必与CERT载荷任何域相一致；身份域也可以用于访问控制决策，但是，若在IDi或IDr载荷中采用IP地址（ID_IPV4_ADDR或ID_IPV6_ADDR）标识类型，IKE也不要求其中地址与封装IKE消息的IP头部中地址一致。36如何实现Internet中通讯的两个应用程序之间认证和数据保密传输？37目录7.1安全协议概述7.2虚拟专用网协议IPSec7.3传输层安全（TLS）协议387.3.1TLS概述TLS（TransportLayerSecurity）协议是一个用于Internet上实现保密通信的安全协议。它是IETF在Netscape公司开发的SSL（SecureSocketLayer）协议基础上改进发展而来的。IETF于2006年发布了TLSv1.1版本（RFC4363）。397.3.1TLS概述TLS设计目标：密码安全性：TLS用于在通讯实体间建立安全连接。互操作性：独立开发者可以使用TLS开发应用程序，而无需交换程序的代码。扩展性：提供一种框架，便于加入新的公钥、对称密码。相对效率性：密码操作是高CPU敏感的，尤其是公钥密码操作，TLS提供了会话缓存机制以减少建立的连接数，此外尽量减少网络活动。407.3.1TLS概述TLS记录协议，为高层协议提供数据封装，实现压缩/解压缩、加/解密、计算与验证MAC等与操作。41TLS握手协议层：TLS握手协议、TLS改变密码规格协议和TLS报警协议。7.3.1TLS概述42TLS协议栈7.3.1TLS概述TLS从两个角度定义连接状态，即预备和当前状态，以及读/写状态：预备状态：包含本次握手过程中协商成功的压缩算法、加密算法、MAC计算算法和密钥等。当前状态：包含记录层正在使用的压缩算法、加密算法、MAC计算算法和密钥等。读状态：包含解压缩算法、解密算法、MAC验证算法和对应的密钥等。写状态：包含压缩算法、加密算法、MAC计算算法和对应的密钥等。43

逻辑上可以组合为四个连接状态：当前读状态、当前写状态、预备读状态、预备写状态。7.3.2TLS记录协议层TLS记录协议层根据当前会话状态指定的压缩算法、密码规格（CipherSpec）指定的对称加密算法、MAC算法、密钥长度、散列长度、IV长度等参数，以及连接状态中指定客户和服务器的随机数、加密密钥、MAC秘密、IV、消息序列号等，对当前连接中传输的高层数据进行分片、压缩/解压缩（可选）、MAC保护/验证、加/解密等操作。记录协议层需要封装的高层4类协议：改变密码规格协议、报警协议、握手协议和应用层协议（如HTTP、FTP、Telnet等）。447.3.2TLS记录协议层457.3.2TLS记录协议层记录协议使用握手协议提供的安全参数生成加密密钥和MAC密钥。使用伪随机函数，输入握手协议产生的主秘密、密钥扩展字符串、服务器产生的随机数和客户产生的随机数，输出足够长度密钥块。密钥块按密码规格需要顺序分解成特定长度的四个密钥：客户写MAC密钥、服务器写MAC密钥、客户写加密密钥、服务器写加密密钥。467.3.3TLS握手协议层负责协商一个会话，该会话包括以下内容：会话标识符：服务器选择的任意字节序列标识一个活动的或可恢复的会话状态。实体证书：对等实体的X.509v3证书，可以为空。压缩方法：用于加密前压缩数据的算法。密码规格：指明数据加密算法（如空、DES等）和MAC算法（如MD5或SHA），以及密码属性如摘要长度。主秘密（Mastersecret）：服务器与客户端共享的48字节秘密值。可恢复标志：指明该会话是否可以用于初始化新的连接。471.TLS握手协议7.3.3TLS握手协议层487.3.2TLS记录协议层（1）交换hello消息协商确认算法、交换随机数并检查会话恢复。（2）交换证书。（3）密钥交换与认证。（4）产生共享秘密。（5）完成握手。49master_secret=PRF(pre_master_secret,"mastersecret",

ClientHello.random+ServerHello.random)PRF(master_secret,finished_label,MD5(handshake_messages)+SHA-1(handshake_messages))7.3.3TLS握手