IP安全讲解课件

IPSecurityIP安全讲解课件2大纲前言IPAHIPESP安全群组SAIPSec的金钥交换与管理结论3前言IPSec是由IETF所提出的IP层通讯安全保密架构第一版于1995年提出，包含AH与ESP封包转换，但金钥的交换与管理并未定义。第二版于1998年11月提出，除了更新AH与ESP转换的格式，还加上了自动金钥转换机制、金钥管理架构，与身分认证及加密算法。是目前最新的版本。4OSILayer与TCP/IPLayerApplicationPresentationSessionTransportNetworkDataLinkPhysicalApplicationTCPIPDataLinkPhysicalOSI7LayerTCP/IP5Layer5攻击方式大部分的攻击方式包括︰假冒IP(IPSpoofing)各种形态的窃听

(eavesdropping)封包察看

(Packetsniffing)6IPSecArchitectureNetworkLayer/IPIPSec/SecureTransmissionProtocolTransportLayer/Protocol(TCP,UDP,ICMPetc.)ISAKMP/IKEApplicationLayer/Protocol(HTTP,FTP,SMTP)IPSecFramework7IETF(InternetEngineeringTaskForce)着手订定了一套开放标准网络安全协定IPSec(IPSecurity)，将密码技术应用在网络层，以提供传送、接收端做资料的认证(Authentication)、完整性(Integrity)、存取控制(AccessControl)以及机密性(Confidentiality)等安全服务。IPv4与IPv6:IPv4:随意的(Optional)IPv6:强制的(Mandatory)IPSec之功能8IPSec并不是针对特定加解密算法而设计，而是提出一个共同的基础架构。因此如果有新的算法可以很容易套用到IPSec上，非常具有弹性。IPSec同时设计来必须保持透通性，即尚未升级为IPSec的IP通信系统也可以和IPSec系统共存而互通。IPSec之特色利用IPSec有三种主要应用方式：在校园网路(campusnetwork)上用来加密保全网络连线透过Internet连结企业网络与分公司个人经由Internet对公司区域做远端存取。

（即所谓的“端对端”IPSec形态，安装有IPSec软件的用户端机器，透过IP网络对服务器建立起安全的通道。）IPSec主要是设计来达到网络层中端对端安全通讯的第三层协定。10其他协定1.SSL(SecureSocketLayer)专用于保全浏览器和网页服务器的网页会谈，而不是下层的IP连线本身。可以在IPSec连线存在的环境下，同时在网页程序上使用SSL。2.PPTP(Point-to-PointTunnelingProtocol)透过“苗条”密码的安全性，来做到资料的通道传输。它用了比IPSec更短的金钥长度，破解起来也容易得多。113.L2TP(Layer2TunnelingProtocol):不限于服务IP通道不但可传达IPX，语音和视讯等多点传播应用程序的资料也没有问题。提供使用者层次的认证Microsoft现在结合L2TP和IPSec，因L2TP在VPN上包封资料交通必须仰赖强大的安全性。12IPSecvsSSLIPSecNetworklayer/IPSecureHost/Subnet-Host/SubnetNosurgeryoncurrentapplicationsPerformancedegradedforallapplicationSenderauthentication

SSLTransportlayer/SocketSecureApplication-ApplicationApplicationshavetobemodifiedApplicationsdonotuseSSLdonotsufferperformancelossNosenderauthenticationEncryptedIPpacketsInternetlayer

浏览器/

SSLApplicationIPSecdriverTCP/UDPtransportlayerApplicationIPSecdriverTCP/UDPtransportlayerIPSecIPSec,SA金钥管理SKIPISAKMP/Oakley(IKE)资料封包转换ESPESPDES-CBCESPTriple-DESAHMD5SHA-1IPSec之结构整个IPSec大致上可以分成资料封包转换、与自动金钥加密与管理两个部份。15IPSec定义两种资料封包转换：

AH(AuthenticationHeader)和ESP(EncapsulationSecurityPayload)。受保护的一般资料封包透过这两种转换以达到安全保密的目的。这两种转换的编码方式并不是只适用少数特定的加密或身分验证之算法，而是由SPI(SecurityParameterIndex)来指明通讯的两端事先约定所采用的加密或身分验证之算法或其他参数。这两种封包转换是可以彼此组合使用的，其方式又分成隧道模式(TunnelMode)和传送模式(TransportMode)两种。IPAH提供资料的完整性和认证，但不包括机密性。而IPESP原则上只提供机密性，但也可在ESPHeader中订定适当的算法及模式来确保资料的完整性并认证。IPAH和IPESP可以分开使用或一起使用。IPSec包括IPAH和IPESP中所使用的金钥交换和管理，也就是安全群组SA(SecurityAssociation)和金钥管理IKE(InternetKeyExchange)。DOI(Domainofinterpretation)是为了让其他协定可以使用ISAKMP而定的Framework。AuthenticationalgorithmEncryptionalgorithmESPprotocolAHprotocolDOIKeymanagementIPSecarchitecture18SKIP与ISAKMP/Oakley都是金钥管理协定。ISAKMP/Oakley较SKIP有弹性，且能支援较多的协定，已被选为IPv6的金钥管理协定。19IPSec架构SAD:SecurityAssociationDatabaseSPD:SecurityPolicyDatabase20IPAHIPAH提供认证及装载资料的完整性，供通讯的两端验证该资料封包的确为对方所传出，但不含机密性。由于它不提供机密性，所以不受密码元件有对外输出的官方限制，故能横跨不同的国家的网际网络使用。21AH使用需要128位元金钥的MD5(MessageDigest5)计算出整个资料的杂凑函数值（也可使用SHA-1(SecureHashAlgorithm1)），使得接收端（知道金钥的人）也可以验证，计算是否使用相同的密钥以检查资料是否正确完整。若检查不符，则将此封包丢弃。依据IPSec规定，IPv6每部主机应能提供密钥长度128位元的MD5，而所以IPv4也应宣告能支援此项AH功能。22AH格式23格式说明下一标头(8bits)：定义AH后面资料的类型长度(8bits)︰认证资料栏位的长度保留(16bits)：保留位元做未来之用SPI(SecurityParameterIndex,32bits)：指明通讯的两端事先约定所采用的加密或身分验证之算法与其他参数。识别码、目的位址和转换格式（此为AH转换）唯一决定一个安全参数组合SA(SecurityAssociation)24序号(32bits)：为严格递增函数用来去除资料封包在传递时产生的错误，以及防止重送攻击认证资料(AuthenticationData)：为任意长度（IPv4为32位元的整数倍，IPv6为64位元的整数倍）之资料其内容为完全检查值ICV(IntegrityCheckValue)加上末端补齐(Padding)完整检查值之长度视所采用之身分认证算法(SPI决定)而定(MD5或SHA-1)25HMAC-MD5与HMAC-SHA-1一般来说，SHA-1是被认为比MD5还强的hashfunctionHMAC(HashedMessageAuthenticationCode)是用一个secretkey和一个hashfunction产生一个MAC(messageauthenticationcode)。HMAC可以让其他hashfunction更不易受到攻击，就算配合它使用的hashfunction有问题，还是可以提高安全性。26HMAC-MD5与HMAC-SHA-1(contd)HMAC-MD5的输出是128bits，而HMAC-SHA-1是160bits因authenticatorlength的内定值是96bit，所以在一般情况下，两种Hashfunction的Hash值都必须在填入前削短(truncated)1.IPv4IPv4IPv4IPv4OriginalIPheader(anyoptions)OriginalIPheader(anyoptions)OriginalIPheader(anyoptions)TCPDataAHTCPDataBeforeapplyingAHAfterapplyingAHAuthenticatedexceptformutablefieldsNewIPheader(anyoptions)AHTCPDataAuthenticatedexceptformutablefieldsinthenewIPheaderAH操作模式28隧道模式的观念已加密的安全隧道Internet主机ASecurityGatewayGW1主机BSecurityGatewayGW22.IPv6IPv6OriginalIPheaderTCPDataBeforeapplyingAHIPv6AHTCPDataExtraheadersifpresentOriginalIPheaderHop-by-hop,destination,routing,fragmentDestinationoptionsAuthenticatedexceptformutablefieldsIPv6AHTCPDataNewIPheaderAfterapplyingAHExtheadersifpresentOriginalIPheaderExtheadersIfpresentAuthenticatedexceptformutablefieldsinthenewIPheader30IPESPIPESP标准描述如何加密IP的装载资料(Payload)，加密的范围可以是整个IPDatagram或者只是上层TCP,UDP或ICMP资料（完全决定在使用隧道模式或传送模式）。

(Note:ICMP(InternetControlProtocol)携带了网络的错误讯息及其他须知会网络软件的状况)IPESP所使用的保密技术是DES或是Triple-DES，模式则是CBC(CipherBlockChain)IPESP也能应用在认证、完整性，以及防止重送攻击。31ESP的传送模式：InternetSecurityGatewayGW1SecurityGatewayGW2主机A主机B主机C主机D(隧道模式)(传送模式)AB：传送模式BA：隧道模式32IPESP的隧道模式及传送模式各有其优点。隧道模式可以在两个SecurityGateway间建立一个安全“隧道”。传送模式加密的部份较少，没有额外的IP标头，故工作效率较佳。33ESP格式：ESP格式包含了ESPHeader及ESPTrailer两部份。安全参数索引SPI顺序号码(SequenceNumber)PayloadDataPadding填充长度下一标头认证资料07152331ESPTrailerESPHeader34格式说明SPI、SequenceNumber:和AH的相同PayloadData:ESP中定义所承载的密文，有两种可能(1)完整的IP资料封包之密文(2)IP资料封包的资料部份之密文前者称为隧道模式(TunnelMode)，后者称为传送模式(TransportMode)加密算法由SPI指明通讯的两端事先约定所采用的算法35身分认证资料:此部份仅为承载之密文部份之完整检查值，与AH不同（AH为整个IP资料封包之完整检查值）此栏位亦为选项，由SPI指明1.ESP传送模式：IPv4OriginalIPheader(anyoptions)TCPDataBeforeapplyingESPIpv4AfterapplyingESPOriginalIPheader(anyoptions)ESPheaderTCPDataESPtrailerESPauthorizationEncryptedAuthenticatedIPv6OriginalIPheaderTCPDataBeforeapplyingESPExtraheadersifpresentIPv6ESPTCPDataOriginalIPheaderHop-by-hop,destination,routing,fragmentDestinationoptionsAfterapplyingESPESPtrailerESPauthorizationEncryptedAuthenticated38ESP标头直接加在欲传送的资料前这种模式可节省频宽，因为IP标头不须加密，不像隧道模式，一个封包有两个

IP标头步骤：

(1)使用ESP将IPPayload封装起来

(2)传送端：

(i)利用使用者ID和目的端位址以得到SA

环境

(ii)用加密算法(DES或Triple-DES)加密

传送的资料

(3)接收端：

(i)收到ESP封装的封包时直接处理IP标题

(ii)从ESPHeader拿取SPI值以得到相对的

SA (iii)利用SA的安全环境所定的解密函数解

出所加密的资料40对传送模式而言，解密的人就是目的位址端的使用者针对Firewall,GatewayProxy而言，使用隧道模式较为适合，因为他们不是原始的送、收端2.ESP隧道模式IPv4OriginalIPheader(anyoptions)ESPTCPDataESPtrailerESPauthorizationEncryptedAuthenticatedNewIPheader(anyoptions)ESPTCPDataNewIPheaderNewextheadersOriginalIPheaderOriginalextheaderESPauthorizationESPtrailerIPv6EncryptedAuthenticated步骤：

(1)传送端：

(i)先使用SA的相关讯息将IP的封包加密

(ii)在前面加上ESPHeader (iii)Prepend新的IP标头

(2)接收端：

(i)使用ESPHerder内容中的SPI值决定SA (ii)解出ESPHerder后的装载资料，就可以

取回原始的IP标头与封包43AH与ESP混合使用IPAH与IPESP可以独立或混合使用1.先加密再认证传送模式隧道模式加密加密认证认证442.先认证再加密认证加密45安全群组SA不同的安全参数组合由SPI、目的位址，与转换格式(AH或ESP)唯一决定。SA(SecurityAssociation)定义了一个安全的“环境”，这个环境的内容包含了IP封包加密、解密，和认证的相关讯息，叙述如下：密码功能：提供加密、解密或两者同时密码算法：例如加解密使用DES或Triple-DES，认证使用MD5或SHA-1是否有启始化矢量SA的生命周期46SA可以用SPI(32bits)来描述，也就是一个SPI值决定一个特定的SA

例如：主机A可以通知主机BSPI值为1000，它所相对的SA环境，密码功能为只有加密，用DES，金钥为0x1234567890abcdef(长度为64位元)。所以主机A就可以藉由SPI1000的值来加密它的资料然后传送到主机B。当B收到封包后利用主机A和SPI的值就可以决定出SA而解密出原始资料。47SA是单向的(如AB)，对主机A和主机B这两个要建立安全通讯的主机而言，则需要两个SA。（(AB)和(BA)）SA有两种键入方式：

(1)主机导向键入方式(Host-OrientedKeying):

不考虑使用者，从同一个系统所发出的封包，均使用相同的金钥

(2)使用者导向键入方式(User-OrientedKeying):

以使用者为考量，允许使用者有不同的金钥一个IPSec的实际例子：主机PrivateNetworkInternetPrivateNetwork主机SecurityGateway.twSecurityGateway.tw.tw.tw下图为CHECKPOINTFirewall-1的例子

Scheme:MANUALIPSECSP1:0x1234NewSPI...DeleteEncryptionalgorithm:DESAuthenticationalgorithm:SHA1IPSecoptions:ESP

AH

EnableseedSeedEncryptionkey:e172b6153cfc066aAuthenticationkey:37768980b3471745oo16PeerGateway:AnyDiagnosticsTrack:CryptLogApplyReset加密算法ESPAH同时使用加密金钥认证算法认证金钥50IPSec的金钥交换与管理运用IPSec的实体两端必须知道一组相对的加密与解密金钥才能正常运作相对的金钥可以用人工手动或系统自动的方式交换目前系统自动交换的金钥管理协定有SKIP(SimpleKey-managementforIP)与ISAKMP/Oakley(InternetSecurityAssociationKeyManagementProtocol/Oakley)两种，都可应用在不同的金钥交换算法中。SKIP较为简单，而ISAKMP/Oakley则可应用于较多的协定。511.SKIP:SKIP是由SunMicrosystem所发展金钥管理是阶层式的金钥管理通讯双方真正共享的密钥是Kij(这是利用DiffieHellman的公开金钥对而达到共享的)52DiffieHellmanPKDSABKijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)KijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)Kp用Kijn将Kp加密后插入SKIPHeader送到对方用Kijn解回Kp共享密钥Kij送端收端加密金钥认证金钥加密金钥认证金钥54符号说明：Kij:通讯双方真正共享的密钥n:离1995年1月1日零时的时数Kijn:长期金钥,每隔1小时更换一次Kp:短期金钥,每隔2分钟更换一次E_Kp:加密金钥A_Kp:认证金钥55新的标头

rcs:.tw

dst:.tw

protocol:SKIP

SKIP标头

金钥

加密演算法：Triple-DES

资料

加密演算法：DES

认証演算法：MD5

加密后的Kp

认証标头AH

SPI:0x1234

MessageDigest

原始的IP标头

src:.tw

dst:.tw

protocol:

TCP

IP装载资料

(IP

Payload)

加密

认証

SKIP封包内容562.ISAKMP/Oakley(IKE):

针对系统自动交换方式，IETF定义了一组金钥交换的通讯协定InternetKeyExchange(IKE)，下列为相关事项：ISAKMP:定义一组金钥交换时所用的IP资料封包格式与封包处理程序及原则此定义可以适用在不同的金钥交换算法中须配合一套安全保密定义系统DOI(DomainofInterpretation)来实作57OAKLEY:为一组撷取Deffie-Hellman算法精神的金钥交换算法可适用在IPSec与其他安全保密通讯系统本算法没有定义金钥或金钥交换讯息本身的格式，只定义必需的基本资料、交换模式与其交换步骤IKE:IKE为IETF定义的金钥交换通讯协定此种通讯协定实作OAKLEY算法的三种模式，并采用ISAKMP所定义的资料封包交换格式与封包处理程序及原则DOI和IPSecDOI:DOI意指安全保密定义系统IPSecDOI为IETF定义的一套安全保密定义系统DOIRequirementIPSECDOINamingSchemeforDOI-specificprotocolidentifiersIPSECNamingSchemeInterpretationfortheSituationfieldIPSECSituationDefinitionSetofapplicablesecuritypoliciesIPSECSecurityPolicyRequirementSyntaxforDOI-specificSAattributesIPSECSecurityAssociationAttributesSyntaxforDOI-specificpayloadcontentsIPSECPayloadContentAdditionalKeyExchangetypes(Optional)(empty)AdditionalNotificationMessagetypes(Optional)(empty)59ISAKMP的2个PhaseIKE操作在2个phase，是用ISAKMP原来的定义︰Phase1:通讯双方建立起一个安全通道来得到ISAKMPSAPhase2:通讯双方在谈判(negotiate)后建立一个有一般目的(general-purpose)的(或新的)SA(假设目前已存在一个SA)60Oakley的三个ModeOakley提供3个Mode来建立ISAKMPSAMainmode:可完成ISAKMPphase1的模式Aggressivemode:另一种完成ISAKMPphase1的模式较简单、快速无身分(identity)的保密Quickmode:完成ISAKMPphase2的模式61ISAKMPMainmode假设︰通讯双方未建立过ISAKMPSA目的︰产生新的Key及建立ISAKMPSA共有3个two-wayexchange62Mainmode步骤SAHeader1Noncei

KeyHeader3HeaderSA2HeaderKey

Noncer

4Sigi[Cert]IDiiHeader5EncryptedHeaderIDrr[Cert]Sigr6EncryptedInitiatorResponder63Mainmode的3个exchange在Mainmode步骤中，共有3个exchange(1)基本的SA建立:同意基本的算法和hashfunction(2)金钥产生利用Diffee-Hellman的方法产生金钥传递彼此的Nonce(为一个随机数，给对方签章后来验证对方的身分)(3)SA的建立在验证无误后，完成动作64ISAKMPAggressivemode假设︰与Mainmode同目的︰与Mainmode同较快、简单，但无双方身分的保密65Aggressivemode步骤3Sigi[Cert]HeaderIDii

Noncei

Key

SAHeader12HeaderSA

Key

Nonceir

IDir[Cert]SigrInitiatorResponder66ISAKMPQuickmode假设︰通讯双方已建立起ISAKMPSA目的︰产生新的Keyingmaterial在Quickmode下的封包都是在加密的情况下传送的67Quickmode步骤IDui/IDur

[Key]Noncei

SA

Hash1Header1Hash3Header3HeaderHash2

SA

Noncer

[Key]

IDui/IDur2InitiatorResponderHash1=H(Noncei[||SA][||Key][||IDui/IDur])Hash2=H(Noncei||Noncer[||SA][||Key][||IDui/IDur])Hash3=H(Noncei||Noncer)68Quickmode的KeyGenerationKey的产生有两种方法︰Non-pe