【网络通信安全管理员认证-中级】IPSEC[详细]

1、虚拟专用网2,VPN核心技术,一、VPN中的关键技术,隧道 访问控制 密码算法 密钥管理 用户鉴别 网络管理,隧道技术,VPN系统被设计成通过Internet提供安全的点到点(或端到端) 的“隧道”。隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。 VPN隧道对要传输的数据用隧道协议进行封装，这样可以使数据穿越公共网络(通常是指Internet)。 整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。 在VPN中, 数据包流由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输,再达到另一个LAN上的路由器。,隧道协议-数据封装,隧

2、道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中，可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议，协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)。,隧道协议,第二层（链路层）：PPTP、L2F、L2TP 第三层（网络层）：IPSec,访问控制,一般而言，对资源的访问应在访问策略的控制下进行。 访问控制决定了主体是否被授权对客体执行某种操作。 它依赖鉴别对主体的身份认证，将特权与主体对应起来。 只有经鉴别的主体，才允许访问特定的网络资源。,密码算法,VPN中的安全机制本质上依托于密码系统，如各种加密算法、鉴别算法。密码系统中各种算法的特性、密钥长度、

3、应用模式不同，直接影响在VPN提供的安全服务的强度。安全强度更高的新算法、各种算法的硬件实现自然代表VPN技术发展的趋势。,密钥管理,VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。 VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议,用户鉴别,一种典型的VPN应用是远程用户拨号接入（VDPN），与普通的拨号接入不同，VDPN通常需要“二次拨号”：一次接入到当地ISP的普通拨号，一次完成接入到内部网络的VPN “拨号”。 第二次拨号因为涉及对敏感的

4、内部资源的访问，因此必须采用AAA机制对用户进行严格控制，控制的核心是对用户的身份鉴别。,网络管理,作为网络技术一个分支， VPN系统无论采用哪种实现形式（软件/硬件/软硬结合），均涉及网络化管理问题。而且VPN对网管安全提出了更高要求，目前经常采用标准的网管协议SNMP V2一方面安全机制不健全，另一方面缺乏对VPN系统的内在支持。从某种意义上讲，网管技术的发展直接制约着VPN技术的大规模应用。,二、VPN的隧道技术,1、隧道的相关知识 2、隧道协议类型 3、第二层隧道：PPTP 4、第二层隧道：L2TP 5、第三层隧道技术：IPSec 6、几种隧道技术的比较,1、隧道的相关知识,隧道的定义

5、：实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议 乘客协议（Passenger Protocol） 封装协议（Encapsulating Protocol） 运载协议（Carrier Protocol） 隧道协议例子,2、隧道协议类型,分类依据：被封装的数据在OSI/RM的层次 第二层隧道：以PPTP，L2TP为代表 第三层隧道：IPSec,3、第二层隧道：PPTP（1）,PPTP由微软公司设计，用于将PPP分组通过IP网络封装传输（PPTP: Point to Point Tunnelin

6、g Protocol点对点隧道协议）,3、第二层隧道：PPTP（2）,PPTP的数据封装：,PPTP客户机或PPTP服务器在接收到PPTP数据包后，将做如下处理： 处理并去除数据链路层报头和报尾； 处理并去除IP报头； 处理并去除GRE和PPP报头； 如果需要的话，对PPP有效载荷即传输数据进行解密或解压缩； 对传输数据进行接收或转发处理。,（GRE: Generic Routing Encapsulation） 通用路由封装（GRE）定义了在任意一种网络层协议上封装另一个协议的规范。,4、第二层隧道：L2TP,数据封装格式： 特点： 它综合了第二层转发协议（L2F）和PPTP两种协议各自的优

7、点 协议的额外开销较少,5、第三层隧道技术：IPSec,IPSec：即IP层安全协议，是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。 数据封装格式：,6、几种隧道技术的比较,应用范围： PPTP、L2TP：主要用在远程客户机访问局域网方案中； IPSec主要用在网关到网关或主机方案中，不支持远程拨号访问。 安全性： PPTP提供认证和加密功能，但安全强度低 L2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。 IPSec提供了完整的安全解决方案。 QoS（quality of service）

8、保证：都未提供 对多协议的支持：IPSec不支持,三、基于IPSec的VPN的体系结构,1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模型,1、IPSec体系结构,2、IPSec协议框架（1）,综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、攻击保护、机密性、

9、有限的流量保密等。IPSec协议主要内容包括： 协议框架RFC2401； 安全协议：AH协议RFC2402、ESP协议RFC2406；,密钥管理协议：IKE RFC2409 、ISAKMPRFC2408、OAKLEY协议RFC2412。 密码算法：HMACRFC2104/2404、CASTRFC2144、ESP加密算法RFC2405/2451等。 其他：解释域DOIRFC2407、IPCompRFC2393、RoadmapRFC2411。,2、IPSec协议框架（2）,2、IPSec协议框架（3）,ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由解

10、释域(doi)文档来进行的,3、AH协议,4、ESP协议,5、IPSec传输模式,6、IPSec隧道模式,7、安全策略数据库(SPD)（1）,SP是一个描述规则，定义了对什么样的数据流实施什么样的安全处理，至于安全处理需要的参数在SP指向的一个结构SA中存储。 SP描述：对本地子网和远程网关后的子网间的通信流，实施ESP通道保护，采用3DES加密算法和HMAC-SHA1验证算法。,7、安全策略数据库(SPD)（2）,系统中的安全策略组成了SPD,每个记录就是一条SP, 一般分为应用IPSec处理、绕过、丢弃。 从通信数据包中，可以提取关键信息填充到一个称为“选择符”的结构中去，包括目标IP、源

11、IP、传输层协议、源和目标端口等等。然后利用选择符去搜索SPD，找到描述了该通信流的SP。,8、安全联盟数据库(SADB)（1）,SA(Security Association)是两个IPSec通信实体之间经协商建立起来的一种共同协定，它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。,8、安全联盟数据库(SADB)（2）,安全联盟常用参数 加密及验证密钥。 密码算法在系统中的标识。 序列号，32位的字段，在处理外出的数据包时，一个SA被应用一次，它的序列号号字段就递增一，并被填充到数据包的IPSec头中，接收方可以利用此

12、字段进行抗重播攻击。 抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机重复发出的数据包进行检测。 生存周期。规定了该SA的有效使用周期，可以按照建立至今的时间或者处理的流量来计算。 实施模式。即通道模式还是传输模式。 IPSec隧道目的地址。 安全参数索引(SPI)。参与唯一标识某SA。,9、数据包输出处理,数据包被从网络设备发送出去之前，截取到 IP包，然后从中提取选择符信息，依据之搜索 SPD，产生如下可能结果： SP决定丢弃此包，于是直接丢弃，或者还可 以向源主机发送ICMP信息； SP决定通过此包，直接将数据包投放到网络设备的发送队列； SP决定应用IPSec，此时SP指向一个SA,

13、可以根据它进行安全处理（需要的SA不存在，则触发IKE模块协商建立SA，协商周期内数据包进入等待队列等待协商完成，若协商超时，也会丢弃该包。）,10、数据包输入处理,系统收到IP包后，判断如果是IPSec包，则从头部取到，搜索SADB。 若找不到SA，触发IKE或丢弃包； 若找到，根据其进行解封装，得到去通道 化后的原始IP包，再从原始IP包中提取选择符， 搜索到SPD中某一条目，检查收到包的安全处理 是否符合描述规则，不符合则丢弃包，符合则转 入系统IP协议栈进行后继处理。,11、包处理组件实现模型,四、互联网密钥交换(Internet Key Exchange),1、IKE功能 2、密钥交

14、换包格式(ISAKMP)- 3、安全联盟的协商 4、密钥交换的两个阶段 5、Diffie-Hellman密钥交换 6、交换流程,1、IKE功能,用IPSec保护数据包，必须首先建立一个IPSec的安全联盟，这个安全联盟可以手工建立，也可以动态由特定进程来创建。这个特定的进程就是Internet Key Exchange,即IKE。IKE的用途就是在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥，也就是建立安全联盟。 IKE协议是Oakley和SKEME协议的混合，在由ISAKMP规定的一个框架内运作，可以为多种需要安全服务的协议进行策略磋商和密钥建立，比如SNMPv3,OSPF

15、v2,IPSec等。,2、密钥交换包格式(ISAKMP)1因特网安全关联和密钥管理协议（ISAKMP,Internet Security Association and Key Management Protocol),2、密钥交换包格式(ISAKMP)-2,安全联盟载荷， 转码载荷表示协商时供对方选择的一组安全属性字段的取值，比如算法，安全联盟的存活期，密钥长度等等。 密钥交换载荷，表示了实施密钥交换必需的信息。散列载荷，是一个散列函数的运算结果值。 nonce载荷，是一串伪随机值，用以衍生加密材料。 证书载荷，在身份验证时向对方提供证书。 证书请求载荷。,3、安全联盟的协商,通信双方要建立

16、共享的安全联盟，必须进行协商。 双方根据本方的实际安全需求，制定采用的算法，密钥刷新频率，密钥的长度等等策略。发起方在发送的安全联盟载荷中，根据策略的优先级顺序，将计划采用的安全参数的组合以提案载荷和转码载荷的形式级联表示出来，响应方收到后，依据策略选择最合适的一种，再构建应答的安全联盟，此时应答方只包含了选中的一种安全参数组合。这样，一个共享的安全联盟就可以获得了。 在协商的进程中，双方也通过计算得到共享的密钥。,4、密钥交换的两个阶段,1.阶段一交换(phase1 exchange):在“阶段一”周期里，两个IKE实体建立一个安全的，经验证的信道进行后续通信，要建立这样的安全信道，双方会建

17、立一对ISAKMP安全联盟。阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来实现，而这两种模式也仅用于阶段一中。 2.阶段二交换(phase2 exchange): “阶段二”周期里，IKE实体会在阶段一建立起来的安全信道中，为某种进程协商和产生需要的密钥材料和安全参数，在VPN实现中，就是建立IPSec安全联盟。快速模式交换可用来实现阶段二交换并且仅用于此阶段中。,5、Diffie-Hellman密钥交换,D-H交换的安全性源于在有限域上计算离散对数比计算指数更为困难。,6、交换流程（1）（阶段一身份保护模式）,6、交换流程（2）阶段一说明,在消息(1)中，发起者生成他认为适当的安全提

18、案列表，提交给响应方。消息(2)中，响应者与本地策略进行匹配和选择之后，将最终决定的安全联盟内容同样用相应载荷回送发起者。 在消息(3)、(4)中，发起者和响应者交换DH公开值，和随机信息串nonce，在第四步完成时，双方已经可以经计算得出共享的DH公共值，以及各自计算出SKEYID和相关衍生密钥。 消息(5)和消息(6)中，双方使用前两步得出的加密、验证算法和密钥保护传输的数据。 当采用数字签名的身份验证方法时，消息(5)和(6)可以包含证书载荷，将自己的公钥证书发给对方，验证数据AUTH DATA就是数字签名的运算结果，在这里数字证书也可以是从有效的远程有效的认证中心通过LDAP、DNSS

19、EC等协议获得。,6、交换流程（3）（阶段二快速模式）,6、交换流程（4）阶段二说明,所有消息从ISAKMP头之后都是加密传输的，并且在消息头之后紧跟了散列值进行验证。如果使用了完美向前加密(PFS)，则消息交换中还包含一次DH交换的公开值载荷KE,身份载荷表示的是要保护的通信流的源和目的，通常是子网内的主机或主机的集合。 在前两个消息交换完成后，双方可以计算出共享的密钥材料，这将是最终提供给IPSec模块的密钥信息。,五、IPSec的安全性评价及其改进,1、IPSec VPN的优势 2、IPSec过于复杂 3、IPSec 协议存在的问题 4、对IKE协议的改进 5、IPSec与NAT的共处

20、6、远程拨号接入 7、支持组播 8、对先加密后认证顺序的评价 9、对IPSec的总体评价,1、IPSec VPN的优势（1）,VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准，以IPSec协议构建虚拟专用网已成为主流。 基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关（Security Gateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。,1、IPSec VPN的优势（2）,为数据的安全传输提供了身份鉴别、数据完整性、机密性保证等措施，并且其提供的安全功能与密钥管理系统松散耦合。 端

21、到端的IPSec VPN专线租费比PVC等物理专线的租用费低很多。 远程接入IPSec VPN接入成本比长途电话费用低（只考虑本地拨号和VPN隧道占用费）。,2、IPSec过于复杂（1）,举例说明。比如在IPSec中，存在两种模式，两种协议AH和ESP。若要对两台主机之间的数据包进行认证，存在以下六种方案： 传送模式AH； 隧道模式AH； 传送模式ESP（无加密）； 隧道模式ESP（无加密）； 传送模式ESP（加密）； 隧道模式ESP（加密）；,2、IPSec过于复杂（2）建议去掉传送模式,去掉传送模式； 去掉AH协议； 在ESP中，数据源认证是必须的，而加密功能是可选的； 先加密后认证的顺序

22、存在问题,2、 IPSec过于复杂（3）建议去掉AH协议,AH和ESP在功能上重叠 AH的认证存在的问题 隧道模式ESP 提供和AH几乎同样强度的认证 通过压缩机制来节省带宽,网络新技术不断涌现，对IPSec协议提出了 新的挑战；针对IPSec协议的各种不足，IETF 下的IPSec工作组正在酝酿IPSec协议的改进， 包括IKEV2。 国内外研究发现，IPSec协议大致存在下列 问题： 1. IKE协议的安全性； 2. 与现有网络机制的兼容性； 3. 缺乏对远程拨号接入的支持； 4. 不支持组播、多协议；,3、IPSec 协议存在的问题,1. 网络新技术不断涌现，对IPSec协议提出 了新的

23、挑战；针对IPSec协议的各种不足， IETF下的IPSec工作组正在酝酿对IPSec协议的 改进，即IKEV2。 2. J.Zhou在分析IKE协议基础上，提出 HASH_I和HASH_R的计算公式存在安全隐患。 3. Bruce Schneier等人认为IKE协议过于复杂 ，某些细节描述不够清楚，与ISAKMP协议有 冲突。,4、对IKE协议的改进（1）,4. J.M.Sierra等人提出利用新的协商模式- 发生器模式（Generator Mode）实现IKE SA的 快速更新。 5. Radia Perlman等研究发现，IKE协议提 供的用户身份保密功能与采用的身份认证方 法直接相关，

24、对激进模式进行适当的修改也 能提供身份保护。J.Zhou提出采用数字签名 认证方式的主模式可能导致发起方的身份信 息泄漏。,4、对IKE协议的改进（2）,网络地址转换NAT技术通过修改IP包 内容实现包的正常传输；而IPSec协议通过采 用验证技术保护IP包中数据完整性，因此 NAT与IPSec是一对矛盾。 IETF下的网络工作组提出了在隧道模式下使用IPC-NAT( IPSec Control NAT) 的解决方案。 对于端到端的IPSec与NAT的共处，网络工作组建议使用RSIP(Realm Specific IP) 协议。,5、IPSec与NAT的共处（1）,Balaji Sivasub

25、ramanian等提出适用于协作IP网络的一种的端到端安全解决方案。该方案的巧妙之处在于IPSec处理预先使用NAT变换之后的数据（公共IP地址或端口），数据包经过NAT设备时，NAT设备对它的修改正好与IPSec提供的数据完整性保护相吻合。 IPSec工作组提出利用UDP协议封装IPSec处理后的数据包，则NAT设备最多需要涉及对UDP头的数据修改。,5、IPSec与NAT的共处（2）,IPSec协议本身只提供IP层的安全服务，无 法在更高层实施更小颗粒的访问控制，这样 就有必要借鉴高层机制，帮助IPSec协议改进 对远程接入的支持。 安全远程接入解决方案大致有： 联合L2TP协议 利用Mo

26、bile IP协议； 修改IKE协议Xauth协议、Crack协议、Hybrid 鉴别协议 ； PIC协议；,6、远程拨号接入,IPSec协议文件虽然指出协议支持使用组 播（Multicast）地址，但实质上协议缺乏对组 播的完整支持。 将IPSec协议应用到组播环境中，迫切需 要解决的问题包括： SA的唯一性问题 ； 组机密性问题； 单个源鉴别问题； 防重传攻击服务失效；,7、支持组播（1）,组播源鉴别：G_R方案基于数字签名技术和摘要技术，将对多个消息单个源鉴别分解为对第一个消 息的签名和其他消息摘要的链式组合。 C.K.Wong等人提出多个包的一次签名可等价转化为对每个包的摘要的集中签名

27、；为减少每个包的尺寸，可采用树形链或星形链技术，安排每个包中携带的摘要。C.Canetti等提出利用MAC技术实现组播 源鉴别：发送方拥有K个密钥，每个接收方只 与其共享L个密钥（LK），发送方发送每个 包时同时附带K个MAC值 。,7、支持组播（2）,组播密钥管理方案 C.K.Wong等提出分级树组密钥方案，利 用密钥服务器（KS）负责产生所有密钥，并 按照虚拟的分级树组织每个成员存储的密钥。 A.Ballardie、H.Harney等人分别提出可扩 展的组播密钥分发协议（SMKD）和组密钥 管理协议（GKMP），这两种协议的共同缺 点是缺乏针对组成员关系变化的密钥更新机 制，SMKD依赖特

28、殊的组播体系（CBT）。 在Iolus方案中，S.Mitra采用分级架构将组 播组细分为若干个独立的子组；组安全接口 （GSI）负责跨组通信的转换。,7、支持组播（3）,8、对先加密后认证顺序的评价,IPSec中的加密和认证顺序； Horton定理：认证协议应当基于消息本身的含义进行认证； 如果出于效率考虑，应当认证解密密钥,9、对IPSec的总体评价,优点 安全性明显优于其它隧道协议 缺点 过于复杂 存在安全漏洞 安全性分析困难 根本的解决方案：对IPSec进行修补不能解决根本问题，必须彻底改变制定IPSec的委员会模式(committee process),六、移动VPN,1、无线局域网

29、2、移动IP 3、SKIP协议,1、无线局域网,无线局域网（Wireless LANWLAN）、无线固定宽带接入（Fixed Wireless Broad Band Access System）、蓝牙（Bluetooth）等新的无线接入技术不断涌现，对网络安全提出了更高的挑战。 典型的无线网络标准IEEE 802.11b、IEEE 802.16、Bluetooth都采用了基于链路加密的安全技术。与网络层安全技术相比，链路级安全机制作用范围受限，严重依赖于链路接入机制。,2、移动IP（1）,根据OSI 参考模型，IEEE 802.11b、蓝牙等无线接入技术工作在网络层之下的数据链路层和物理层，虽然使用户获得近距离内的移动性（Mobility），但不适用于广域网接入环境中的移动性问题。 目前IP协议中IP地址与物理位置捆绑在一起，IP地址既用来标识网络中特定的主机，也用于报