第4章网络层安全通信协议课件.ppt

《第4章网络层安全通信协议课件.ppt》由会员分享，可在线阅读，更多相关《第4章网络层安全通信协议课件.ppt（126页珍藏版）》请在三一办公上搜索。

1、第四章网络层安全通信协议,内 容 提 要,IPsec概述AH协议ESP协议IKE协议IPsec问题,IPsec概述,产生背景发展概述设计目标协议特点系统架构,实现模式工作模式安全关联安全策略,IPsec是什么？,为了弥补TCP/IP协议的安全缺陷，为IP层及其以上层协议提供保护而设计的，由IETF工作组于1998年制定的一组基于密码学的安全的开放网络安全协议，成为IPsec安全体系结构，IP security。“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft

2、 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。,I

3、PSec 有两个目标： 保护 IP 数据包的内容。 通过数据包筛选及受信任通讯的实施来防御网络攻击。 这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安

4、全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 IPSec。,该模式允许为下列企业方案成功部署 IPSec：局域网 (LAN)：客户端/服务器和对等网络 广域网 (WAN)：路由器到路由器和网关到网关 远程访问：拨号客户机和从专用网络访问 Internet 通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec

5、 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法

6、和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。,IPSec的安全特性主要有：不可否认性 “不可否认性”可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但“不可否认性”不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。反重播性 “反重播”确保每个IP

7、包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。 数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。 认证 数据源发送信任状，由接收方验证信任状的合法性，

8、只有通过认证的系统才可以建立通信连接。,IPsec产生背景,以IPv4为代表的TCP/IP协议没有考虑安全性问题，主要存在的安全隐患有：IP协议没有为通信提供良好的数据源认证机制。而是采用基于IP地址的身份认证机制。IP地址伪造就可以冒充他人。IP协议没有为数据提供完整性保护机制。只是通过IP头的校验和为IP分组提供了一定程度的完整性保护。IP协议没有为数据提供任何形式的机密性保护机制，明文传输成为电子商务等的应用瓶颈。协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞。,IPsec发展过程,IETF(The Internet Engineering Task Force )RFC相关标准见

9、教材,郑州轻工业学院计算机与通信,TCP/IP协议族安全架构,IPsec设计目标与功能,设计目标：为IPv4/6提供可互操作的、高质量的、基于密码学的安全性保护机制。安全服务功能：在IP层提供：访问控制+数据报源认证+数据报完整性验证+数据报加密通信机制+流数据的有限机密机制+抗重放攻击机制为什么在IP层？IP层可以为上层协议无缝的提供安全保障，各种应用程序可以享用IP层提供的安全服务和密钥管理，不必设计自己的安全机制，减少密钥协商的开销。,IPsec安全实现的方法,安全通信协议： 主要包括： 头协议AH , 封装协议ESP。 功能：定义了对通信的各种保护方式。密钥交换协议： 主要使用：IKE

10、协议。 功能：定义了如何为安全协议协商保护参数，以及如何认证通信实体的身份。两个数据库：安全策略数据库SPD，安全关联数据库SAD,IPsec协议安全机制特点,在TCP/IP的关键层上提供安全服务功能允许传输层与应用层共享网际层安全服务对网际层、传输层与应用层提供一致的安全服务为上层协议提供无缝透明的安全服务各个应用层程序共享IP层安全机制（安全服务+密钥管理），无需设计自己的安全机制。,IPsec体系结构（1）,IPsec体系结构（2）,IPsec体系：思想+需求+术语+技术机制AH&ESP：防控+源认证+完整性+抗重放+加密解释域DOI：通信消息字段语义解释规则集合算法：ESP加密&认证算

11、法，AH认证算法密钥管理：IKE=SA+可信密钥材料（=ISAKMP+Oakley+SKEME）通信策略实体通信协商：没有形成标准,IPsec实现模式（1）,郑州轻工业学院计算机与通信,IPsec实现方式（2）,集成模式：在IP协议源代码中增加IPsec模块BITS模式：在IP层与链路层之间增加IPsec层BITW模式：直接主机/通信子网中实现IPsec集成模式在主机/安全网关中实现BITS模式主机中实现BITW模式内网直接主机/路由器/网关中实现,郑州轻工业学院计算机与通信,传输模式：保护IP数据报有效载荷，AH和ESP拦截从传输层到网络层的数据包，由IPsec组建添加AH或ESP头,Int

12、ernet,A主机,B主机,安全网关,安全网关,IPsec保护区,优点：内网保密通信+负载均衡（各主机分担IPSEC处理负荷）缺点：公共IP+端用户不透明+可泄露内网拓扑,新增的保护头,受保护的内容,IPsec,IPsec,IPsec工作模式（1）,郑州轻工业学院计算机与通信,IPsec工作模式（2）,隧道模式：保护整个IP数据报,Internet,A主机,B主机,安全网关,安全网关,IPsec保护区,优点：内网用户透明+保护内网拓扑+可用私有IP缺点：内网明文通信+安全网关负载较重,新增的保护头,受保护的内容,比较：,ESP:如果要求在主机A和主机B之间流通的所有 传输数据包都要加密，应采用

13、ESP模式。AH：如果只需要对传输层的数据包进行认证，采用AH传输模式。,郑州轻工业学院计算机与通信,安全关联SA概念,安全关联SA: security association 安全关联是IPsec的基础，AH,ESP都是采用SA.IKE协议的一个主要功能就是建立动态的SA。为实现数据流安全服务而与通信对等方关于某些要素的一种协定，如：IPSec协议协议的操作模式：传输、隧道密码算法与密钥用于保护数据流的密钥的生存期,郑州轻工业学院计算机与通信,安全关联SA概述,SA通过像IKE这样的密钥管理协议在通信对等方之间协商而生成，当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该

14、SA参数。SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换，终止的SA将从SAD中删除。SA使用三元组唯一标示，SPI是一整数，在AH/ESP传输，用于接收方索引SA，目的IP地址目前只能使用单播地址。,郑州轻工业学院计算机与通信,安全关联SA类型,SA类型：隧道模式SA+传输模式SA隧道模式SA：定义用于隧道模式通信的SA为隧道模式SA，用于保护隧道通信，一方是安全网关时需使用隧道模式SA。传输模式SA：定义用于传输模式的SA为传输模式SA，主要用于主机间的安全通信，如果主机使用隧道通信，也能使用隧道模式SA。,郑州轻工业学院计算机与通信,安全关联SA特性,IPsec SA

15、使用IPsec保护某一数据流时建立的安全关联SA单向性与被保护的数据流方向相关，双向通信的主机既有输出数据流也有输入数据流，对输出数据流需要输出SA保护，输入数据流需要输入SA保护，SA保护数据流的实质是保护数据流对应的输出/输入缓冲区。SA单功能性一个SA只能完成一种安全保护功能（AH或ESP），一个数据流根据其安全要求可能需要多个SA保护，这些SA称为SA集束（SA Bundle），构成SA束的方式主要有传输邻接与嵌套隧道两种方式。,安全关联SA传输邻接SA束,传输邻接是指将多个安全协议应用于一份IP数据报中，应用过程中不出现隧道。这种方式仅允许AH和ESP进行一层联合。如SA中的算法强度

16、足够，则没有必要将多个SA嵌套。因为，数据包到达目的地后，只由一个IPsec实例来处理。,安全关联SA嵌套隧道SA束,重复隧道是指将多个SA嵌套用于一份数据报。这些SA的起点和终点可以不同。,注意：对一份数据报同时使用AH和ESP传输模式时，应先应用ESP，再应用AH。隧道模式无此要求。,安全关联SA特性,SA时效性一个SA不是与通信数据流相始终的，而是具有一定的时效性/生存期，这个时效性/生存期可以是一段给定时间段进行标示，也可以按其处理数据量的多少进行设定，SA的时效性/生存期的长短与标示形式取决于通信双方的协商。当一个SA的生存期结束时，要么终止该SA的使用，并将它从SAD中删除，要么使

17、用一个新的SA对原来的SA进行替换。,安全关联SA小结,安全参数索引32位整数，唯一标识SA1255被IANA保留将来使用0被保留用于本地实现,安全关联SA小结,输出处理SA的目的IP地址输入处理SA的源IP地址,安全关联SA小结,AHESP,安全关联SA小结,32位整数，刚开始通常为0每次用SA来保护一个包时增1用于生成AH或ESP头中的序列号域在溢出之前，SA会重新进行协商,安全关联SA小结,用于外出包处理标识序列号计数器的溢出时，一个SA是否仍 可以用来处理其余的包,安全关联SA小结,使用一个32位计数器和位图确定一个输入的 AH或ESP数据包是否是一个重放包,安全关联SA小结,AH认证

18、密码算法和所需要的密钥,安全关联SA小结,ESP认证密码算法和所需要的密钥,安全关联SA小结,ESP加密算法，密钥，初始化向量(IV)和IV模式IV模式：ECB，CBC，CFB，OFB,安全关联SA小结,传输模式隧道模式通配模式：暗示可用于传输隧道模式,安全关联SA小结,路径最大传输单元是可测量和可变化的它是IP数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的IP数据 包的最大长度,安全关联SA小结,包含一个时间间隔外加一个当该SA过期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在 SA会到期之前通知内核，便于在硬存活时间 到来之前内核能及时协商新的SA,安全策略概念,

19、安全策略SP：指定用于到达或源自特定主机/网络的数据流的策略，即SP指定了对于给定的外出数据流需要使用那些需要使用SA进行保护，那些不需要，那些丢弃；同时指定了对输入流的数据包需要进行怎样的处理。安全策略数据库SPD：包含策略条目的有序列表，用于指定数据流中的某一特定输出数据包使用什么SA，指定输入数据流中的某一特定输入包怎样处理。通过使用一个或多个选择符来确定每个条目,安全策略目的IP地址,32位IPv4或128位IPv6地址可以是：主机地址、广播地址、单播地址、任意播地址、多播组地址地址范围，地址加子网掩码通配符号等,安全策略源IP地址,32位IPv4或128位IPv6地址可以是：主机地址

20、、广播地址、单播地址、任意播地址、多播组地址地址范围，地址加子网掩码通配符号等,安全策略传输层协议,指定传输协议（只要传输协议 能访问）许多情况下，只要使用了ESP, 传输协议便无法访问，此时需 使用通配符,安全策略传输层协议,完整的DNS名或e-mail地址,安全策略传输层协议,完整的DNS用户名如或X.500 DN,安全策略传输层协议,应用端口如无法访问，则使用通配符,安全策略传输层协议,采取的动作DiscardBypass IPSecApply IPSec,安全策略传输层协议,包括：指向一个SA或SA集的指针应用的IPSec协议运用的密码算法生成ICV的算法,输入数据报处理,输出数据报处

21、理,AH协议,AH协议概述AH协议服务AH协议头格式AH操作模式AH处理流程,AH协议概述,为IP包提供数据完整性和鉴别功能利用MAC码实现鉴别，双方必须共享一个密钥鉴别算法由SA指定 鉴别的范围：整个包两种鉴别模式： 传输模式：不改变IP地址，插入一个AH 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中,AH协议服务,数据源认证无连接的完整性可选的抗重放服务不提供保密性,AH协议头格式结构,AH协议头格式下一个头,8比特，指出AH后的下一载荷的类型(RFC1700),AH协议头格式载荷长度与SPI,载荷长度：包含以32比特为单位的AH头的长度减 2安全参数索引

22、SPI：32bit，用于和源/目的IP地址、IPSec协议(ESP/AH)共同唯一标识一个SA,AH协议头格式序列号与认证数据,序列号：SA建立时，发送方和接收方SN初始化为0，通信双方每使用一个特定的SA发送一个数据报则将它们增1，用于抵抗重放攻击，AH规范强制发送者必须发送SN给接收者，而接收者可以选择不使用抗重放特性，这时它不理会该SN，若接收者启用抗重放特性，则使用滑动接收窗口机制检测重放包。具体的滑动窗口因IPSec的实现而异认证数据：该变长域包含数据报的认证数据，称为完整性校验值(ICV)，生成ICV的算法由SA指定，具体视IPSec的具体实现而定，为保证互操作性，AH强制所有的I

23、PSec必须实现两个MAC(消息认证码): HMAC-MD5, HMAC-SHA-1,AH协议操作模式,操作模式：传输模式+隧道模式传输模式：保护的端到端的通信，通信终点必须是IPsec的终点。隧道模式：AH插在原始IP头之前，并重新生成一个新的IP头放在AH前,AH协议传输模式特点,传输模式特点：保护端到端+通信终点需是Ipsec终点,AH协议隧道模式特点,保护点到点通信通信的终点必须是IPSec终点克服了传输模式的一些缺点,郑州轻工业学院计算机与通信,AH处理过程,外出处理：IPsec从IP协议栈中收到外出的数据包时：检索SPD，查找应用于该数据的策略。以IP地址、端口等选择符为索引，确认

24、那些策略适用于该数据包。查找对应的SA，如果需要对数据包进行IPsec处理，并且到目的主机的SA已经建立，通过隐形指针SPI指向相应的SA;如果没有SA，IPsec实现将调用IKE协商一个SA.构造AH载荷，填充AH的各个字段。为AH添加IP头其他处理，重新计算IP头校验和等。,郑州轻工业学院计算机与通信,AH处理过程,进入处理：IPsec对进入的数据包：分段重组，设置了MF位的数据包到达一个IPsec目的节点时，表明还有分段没有到达，等待所有序列号相同的包到达后，重组之。查找SA，使用作为索引检索SAD，找到处理该分组的SA.如果没有找到，丢包并日志记录。抗重放处理，检查是否重放，如是丢弃并

25、日志。检查完整性，使用SA指定的MAC算法计算数据包的ICV，并与认证数据字段的值比较，如不同，丢包并日志。嵌套处理，如果是嵌套包，返回第二步。检验策略的一致性：使用IP头中的选择符进入SPD中查找一条与选择符匹配的策略，检查是否与步骤2查到的SA是否一致，如不一致，丢包。,AH输出输入处理,郑州轻工业学院计算机与通信,ESP协议,ESP协议概述ESP协议服务ESP协议头格式ESP操作模式ESP处理流程,ESP概述,提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供鉴别服务（可选）将需要保密的用户数据进行加密后再封装到一个新的IP包中，ESP只鉴别ESP头之后的信息ESPAH

26、+数据机密性+有限流机密性加密算法和鉴别算法由SA指定两种模式：传输模式和隧道模式,郑州轻工业学院计算机与通信,ESP服务,提供的服务包括数据保密性有限的数据流保密性数据源认证（认证是可选的）无连接的完整性抗重放服务,ESP包格式,ESP格式字段,SPI：32b，取值256232-1，唯一标示对本数据包进行保护的SASN：32b，单调增加的无符号整数，抗重放攻击载荷数据：变长字段填充项：0255B，引入原因一：与分组加密相关；4字节的整数倍，原因二：隐藏载荷长度。认证数据：变长字段，内容是ICV,ESP加密与认证算法,加密算法 3DES、RC5、IDEA、3IDEA、CAST、Blowfish

27、鉴别算法 ICV计算应支持: HMAC-MD5-96、HMAC-SHA-1-96, 仅用96位,郑州轻工业学院计算机与通信,ESP传输模式工作范围,郑州轻工业学院计算机与通信,ESP传输模式数据包封装,郑州轻工业学院计算机与通信,ESP隧道模式工作范围,郑州轻工业学院计算机与通信,ESP隧道模式数据包封装,郑州轻工业学院计算机与通信,ESP输出输入处理流程,SA组合,某些通信数据需要同时调用AH和ESP服务某些通信数据需要主机之间和防火墙之间的服务传输邻接：同一分组应用多种协议，不形成隧道循环嵌套：通过隧道实现多级安全协议的应用,郑州轻工业学院计算机与通信,SA组合,郑州轻工业学院计算机与通信

28、,加密与认证组合使用,郑州轻工业学院计算机与通信,加密与认证组合使用,郑州轻工业学院计算机与通信,传输邻接使用两个捆绑的传输SA 内部是ESP SA（没有鉴别选项），外部是AH SA,IKE协议,IKE协议概述ISAKMP协议密钥交换阶段密钥交换模式IKE与ISAKMP小结,郑州轻工业学院计算机与通信,IKE协议概述,设计目的：手工方式（SA数量少、密钥更新频率低）、自动方式（用户多、规模大）。用于对SA的 动态管理与维护协议构成：ISAKMP+Oakley+SKEME协议特点：两阶段+4模式+4认证+请求-应答与ISAKMP关系：ISAKMP定义了一个Internet上通用的密钥交换框架，I

29、KE在前者的框架基础上实际定义了一个密钥交换协议,郑州轻工业学院计算机与通信,IKE设计目的,IPsec使用SA保护通信数据SA如何建立？SA建立方式：手工创建+动态创建手工创建使用环境：用户少+密钥更新慢动态创建使用环境：用户多+密钥更新快动态创建要求自动创建与维护规则协议动态创建、维护与管理SA的协议就是IKE,郑州轻工业学院计算机与通信,IKE协议特点,两阶段：创建保护者IKE SA被保护IPsec SAIKE ISA创建：协商保护套件执行D-H交换认证D-H交换认证IKE SA（基于ISAKMP）IPsec SA创建：加密交换消息+消息与源认证4模式：主模式+野蛮模式+快速模式+新群模

30、式4认证：数字签名认证+公钥加密认证+修正的公钥加密认证+预共享密钥认证,郑州轻工业学院计算机与通信,Diffie-Hellman,Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分 Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥.然后可以用这个密钥进行加密和解密.但是注意,这个密钥交换

31、协议/算法只能用于密钥的交换,而不能进行消息的加密和解密.双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息.,该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换.这种密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密. Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度.简言之,可以如下定义离散对数:首先定义一个素数p的原根,为其各次幂产生从1 到p-1的所有整数根,也就是说,如果a是素数p的一个原根,那么数值 a mod p, a2 mod p, .,

32、ap-1 mod p 是各不相同的整数,并且以某种排列方式组成了从1到p-1的所有整数. 对于一个整数b和素数p的一个原根a,可以找到惟一的指数i,使得 b = ai mod p 其中0 i (p-1) 指数i称为b的以a为基数的模p的离散对数或者指数.该值被记为inda ,p(b).,基于此背景知识,可以定义Diffie-Hellman密钥交换算法.该算法描述如下: 1,有两个全局公开的参数,一个素数q和一个整数a,a是q的一个原根. 2,假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA3,用户A产生共享秘密密钥的计算方式是K = (YB)XA mod q.同样,用户B

33、产生共享秘密密钥的计算是K = (YA)XB mod q.这两个计算产生相同的结果: K = (YB)XA mod q = (aXB mod q)XA mod q = (aXB)XA mod q (根据取模运算规则得到) = aXBXA mod q = (aXA)XB mod q = (aXA mod q)XB mod q = (YA)XB mod q 因此相当于双方已经交换了一个相同的秘密密钥. 4,因为XA和XB是保密的,一个敌对方可以利用的参数只有q,a,YA和YB.因而敌对方被迫取离散对数来确定密钥.例如,要获取用户B的秘密密钥,敌对方必须先计算 XB = inda ,q(YB) 然后

34、再使用用户B采用的同样方法计算其秘密密钥K. Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难.对于大的素数,计算出离散对数几乎是不可能的.,下面给出例子.密钥交换基于素数q = 97和97的一个原根a = 5.A和B分别选择私有密钥XA = 36和XB = 58.每人计算其公开密钥 YA = 536 = 50 mod 97 YB = 558 = 44 mod 97 在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下: K = (YB)XA mod 97 = 4436 = 75 mod 97 K

35、= (YA)XB mod 97 = 5058 = 75 mod 97 从|50,44|出发,攻击者要计算出75很不容易.,ISAKMP协议,ISAKMP概述ISAKMP头格式ISAKMP载荷格式ISAKMP安全协商ISAKMP交换类型,郑州轻工业学院计算机与通信,ISAKMP概述,ISAKMP定义协商、建立、修改和删除SA的过程和包格式 (RFC2408)，属于请求-应答协议 ISAKMP被设计为与密钥交换协议无关的协议，即不受任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制 通信双方通过ISAKMP向对方提供自己支持的功能从而协商共同的安全属性 ISAKMP消息可通过TCP和UDP传

36、输：Port号500,郑州轻工业学院计算机与通信,ISAKMP协议头,郑州轻工业学院计算机与通信,发起者与接收者cookie,8bit串，由ISAKMP交换的发起者/接收者生成会话过程中保持不变，用于验证生成的方法可不同，建议采用MD5、SHA-1或其它支持的hash函数利用通信方源地址、目的地址、UDP/TCP源端口、目的端口、生成时间等生成 必须保证唯一,郑州轻工业学院计算机与通信,下一载荷,郑州轻工业学院计算机与通信,交换类型,郑州轻工业学院计算机与通信,标志,郑州轻工业学院计算机与通信,使用8bit中的低3位，用于加密同步 1加密比特 2提交比特 3仅认证比特,消息ID与长度,郑州轻工

37、业学院计算机与通信,消息ID密钥交换保护协议ID，在IKE中指相同IKE SA保护下的不同协议SA，IKE协议建立时为0长度包括ISAKMP头部在内的所有载荷总长度,ISAKMP载荷类型,郑州轻工业学院计算机与通信,通用载荷安全关联载荷建议载荷变换载荷密钥交换载荷标识载荷证书载荷,证书请求载荷杂凑载荷签名载荷nonce载荷通知载荷删除载荷厂商ID载荷,ISAKMP报文格式,郑州轻工业学院计算机与通信,ISAKMP载荷格式,郑州轻工业学院计算机与通信,见文档（RFC2408）ISAKMP协议标准,SA数据属性,郑州轻工业学院计算机与通信,ESP加密算法,郑州轻工业学院计算机与通信,ISAKMP安

38、全协商,郑州轻工业学院计算机与通信,安全通道协商+安全服务协商安全通道协商建立一个已通过身份验证和安全保护的通道；安全服务协商为其它协议提供协商安全服务定于了5种密钥交换：不分阶段+不完整交换（没有具体定义密钥交换协议）+先cookie，后才能与SPI标示SA,ISAKMP策略协商概述,郑州轻工业学院计算机与通信,要建一个SA，首先要协商好采用的安全策略。由于策略可能非常复杂，所以要能灵活地解析SA，提案以及转码载荷，这样才能构建和处理复杂的策略。一个SA内，可能包含一个或多个提案，而每个提案可能包含一种或多种转码方式。,ISAKMP策略协商报文,郑州轻工业学院计算机与通信,SA载荷的DOI字

39、段定义了一个特殊的解释域。一个DOI定义了如何用ISAKMP为那种特定的服务建立SA。,ISAKMP策略协商解释,郑州轻工业学院计算机与通信,提案载荷中包含了一个提案编号（可能存在多个提案），还有一个特殊字段，指出后面跟随有多少转码载荷。转码载荷中，包含了一个转码编号，以及一个转码标识符，指出具体的转码类型。紧跟在转码之后，是一些特殊的属性（如有），与那种具体的转码方式有关（用属性载荷进行编码）,ISAKMP策略协商提案示例,郑州轻工业学院计算机与通信,提案ESP转码1：随HMAC-SHA使用3DES转码2：随HMAC-MD5使用3DES转码3：随HMAC-SHA使用DES转码4：随HMAC-

40、MD5使用DES,IKE交换机制概述,郑州轻工业学院计算机与通信,ISAKMP本身没有定义具体的密钥交换。IKE用ISAKMP语言来定义密钥交换。IKE并非IPSec专用。其它协议需要，比方说RIPv2或OSPF，便可用它协商具体的安全服务。IKE使用了两个阶段的ISAKMP。 IKE SA阶段+ IPSec SA，与ISAKMP不一样，在IKE载荷中，只为自身SA的属性进行了定义。,IKE交换机制概述,郑州轻工业学院计算机与通信,IKE载荷中没有定义IPsec SA的属性。这种定义留在解释域（DOI）进行。DOI规定了IKE在阶段2交换中需要协商解决的可选及必需属性两种阶段1交换模式+一种阶

41、段2交换模式+两种额外的交换（维护SA）。阶段1交换：主模式+野蛮模式，其中前者是必需的，后者是可选的。阶段2交换：快模式,IKE交换机制参数,郑州轻工业学院计算机与通信,IKE SA提供了各种各样的参数，它们是由通信双方协商制定所有的参数称为一个保护组件（加密算法，散列算法，验证方法以及D-H组）。保护组件中的每一种属性都包含在转码载荷中。IKE定义了5个组（3个属D-H交换，2个属椭圆曲线加密算法） D-H组定义了交换时通信双方要采用的参数。,IKE交换机制D-H交换示例,郑州轻工业学院计算机与通信,通信双方可以通过不安全的途径协商共享密钥A、B通信双方P是大素数，q是P有限域的乘法群的原

42、根,A,r1=random，y1=qr1mod P,B,r2=random，y2=qr2mod P,r1=0p-2,KAB=y2r1mod P=qr1r2mod P,KAB=y1r2mod P=qr1r2mod P,IKE交换机制预共享密钥,郑州轻工业学院计算机与通信,IKE SA与IPSec SA的区别在于前者是双向的使用数字签名算法（DSS）得到的数字签名；使用RSA算法得到的数字签名；通过交换加密的nonce，从而实现的两种类似的验证方法。通信双方会生成四种机密：SKEYID，SKEYID-d, SKEYID-a, SKEYID-e,IKE交换机制主模式交换,郑州轻工业学院计算机与通信,

43、三个步骤:模式协商D-H交换nonce交换第一次交换：协商SA的各项参数：在cookie中第二次交换：D-H交换，并生成SKEYID状态；第三次交换：通信双方标定自己的身份，并相互验证散列摘要，报文是用SKEYID-e加密的nonce交换用于对对方身份验证使用六条报文，建立IKE SA。特点：身份保护，ISAKMP协商能力的完全利用,IKE交换机制主模式交换,郑州轻工业学院计算机与通信,IKE交换机制数字签名主模式,郑州轻工业学院计算机与通信,Nx-x的nonce载荷，NonceCert-证书，SIG-签名最后的两条报文也是加密了的。,IKE交换机制公钥加密主模式,郑州轻工业学院计算机与通信,

44、Nx-加密的nonce载荷，其中，pub-x指用x的公钥进行加密。两次加密是一个不足。不能把两个载荷连起来加密，接收者无法确定两种载荷的真实长度。,IKE交换机制改进公钥加密主模式,郑州轻工业学院计算机与通信, ke-x表示用密钥Ne-x进行对称密钥加密。密钥的生成：Ne-i=PRF(Ni, CKY-I)，Ne-r=PRF(Nr, CKY-R)这里PRF是伪随机函数（散列函数），CKY-I是发起者Cookie, CKY-R是响应者的Cookie。,IKE交换机制野蛮交换模式,郑州轻工业学院计算机与通信,3条报文完成交换。不提供身份保护。发起者：保护组件列表，D-H公共值，nonce以及身份资料

45、。响应者：保护组件列表，D-H公共值，nonce，身份资料和验证载荷（散列载荷/签名载荷）发起者：验证载荷（散列载荷/签名载荷）,IKE交换机制野蛮交换模式缺陷,郑州轻工业学院计算机与通信,远程访问时，由于发起者的地址不可能被响应者提前知道，而且双方都想用预共享密钥验证方法，要建立IKE SA，只有用此模式才可行。发起者已知响应者的策略，或者对策略的理解非常全面，用此模式可更快地建立IKE SA,IKE交换机制阶段2-快速交换模式,郑州轻工业学院计算机与通信,IKE SA建立后，可用它为其它安全协议（如IPSec）生成相应的SA。这些SA是通过快速模式交换建立的。在一个SA之下，可以并发地使用

46、快速模式交换建立多个SA,IKE交换机制新群模式,郑州轻工业学院计算机与通信,IKE交换机制阶段2-快速交换模式,郑州轻工业学院计算机与通信,IPsec优点,郑州轻工业学院计算机与通信,机密性：IKE使用D-H组中的加密算法。IKE定义了5个D-H组，其中3个组使用乘幂算法（模数位数分别是768、1024、1680位），另两个组使用椭圆曲线算法（字段长度分别是155、185位）。因此，IKE的加密算法强度高，密钥长度大。完整性：在阶段1和2交换中，IKE通过交换验证载荷（包含散列值或数字签名）保护交换消息的完整性，并提供对数据源的身份验证。IKE列举了4种验证方法：预共享密钥、数字签名、公钥加

47、密和改进的公钥加密。,IPsec优点,郑州轻工业学院计算机与通信,抗DOS：对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供了一定程度的抗拒绝服务攻击的能力。对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供一定程度抗拒绝服务攻击的能力。防中间人攻击：中间人攻击包括窃听、插入、删除、修改报文、反射报文回到发送者、重放旧报文以及重定向报文。ISAKMP的特征能阻止这些攻击。,IPsec优点,郑州轻工业学院计算机与通信,完美的向前保密：完美向前保密（PFS），指即使攻击者破解了一个密钥，也只能还原这个

48、密钥加密的数据，而不能还原其他的加密数据。要达到理想的PFS，一个密钥只能用于一种用途，生成一个密钥的素材也不能用来生成其他的密钥。可以把采用短暂的一次性密钥的系统称为“PFS”。,IPsec的解释域DOI,郑州轻工业学院计算机与通信,DOI专用协议标识的一套命名方案；域的解释；安全策略集合；DOI专用安全载荷内容的语法；DOI专用安全关联特性的语法；额外的密钥交换类型；附加的提示信息类型,IPsec问题,郑州轻工业学院计算机与通信,更小子集：AH与ESP功能重复更小子集与NAT协同：NAT改变IP头通不过AH+NAT新校验和通不过传输层校验+ NAT改变IP头共享密钥IKE通不过+NAPT修改端口号认证通不过+IKE使用固定端口号使得NATP不能区分不同连接与L2TP结合：互补不足，问题：重复封装、包过长、反复认证。支持VPN缺陷：不支持基于用户认证+不支持动态地址与多种VPN应用+不支持多协议+IKE过于灵活与复杂导致管理不可控没有也不能增强IP网的QoS保证机制,