第三章IP層安全I(xiàn)PSec楊禮珍yanglizhen2000@作業(yè)請寫出在IPSec實現(xiàn)嵌套式隧道時，AH和EPS的報文封裝方式。P.103思考題1、4、8、10概述IPSec的歷史與現(xiàn)狀I(lǐng)PSec的框架和思想?yún)f(xié)商協(xié)議ISAKMP（InternetSecurityAssociateandKeyManagementProtocol）IPSec三個協(xié)議IKE(InternetKeyExchange)AH(AuthenticationHeader)ESP(EncapsulatingSecurityPayload)IPSec的應(yīng)用與部署方式3.1引言IP協(xié)議在不安全網(wǎng)絡(luò)存在安全威脅容易遭受IP欺騙攻擊：攻擊者可以輕易構(gòu)造一個包含虛假源地址的數(shù)據(jù)報對數(shù)據(jù)缺乏機(jī)密性和完整性保護(hù)：IP數(shù)據(jù)報以明文形式發(fā)送，且因IP層是點對點可被轉(zhuǎn)發(fā)過程中的網(wǎng)絡(luò)看到甚至篡改IPSec對IP協(xié)議分組進(jìn)行加密和保護(hù)對IP提供身份認(rèn)證、機(jī)密性和完整性防止重放攻擊對通信流提供有限機(jī)密性保護(hù)：某些部署和模式下可加密源發(fā)和目的IP地址3.1.1歷史與現(xiàn)狀1993年10月，Johnloannidis和MattBlaze發(fā)表論文，首次提出在不更改IP體系結(jié)構(gòu)的前提下增加安全性。1994年，IETF成立了IPSec工作組。1998年11月，IETF公布了以RFC2401為代表的IP安全標(biāo)準(zhǔn)。截止2008年8月，已有43個RFC（其中三個廢除不用）。IPSec是IPv4的補充功能，是IPv6的內(nèi)置功能。3.1.3在IP層實現(xiàn)安全性的優(yōu)勢與劣勢在IP層實現(xiàn)安全的優(yōu)勢：通用性：IP是唯一一個由所有高層協(xié)議共享的協(xié)議，因此在IP層實現(xiàn)安全可以為所有上層提供安全保障。靈活性：IP層是點到點的，因此IPSec可以部署于通信鏈路的任意兩點之間。安全策略統(tǒng)一性：部署于網(wǎng)關(guān)可以保護(hù)兩個網(wǎng)絡(luò)的進(jìn)出安全性。3.1.3在IP層實現(xiàn)安全性的優(yōu)勢與劣勢在IP層實現(xiàn)安全的劣勢開發(fā)支持不好：IP通常作為操作系統(tǒng)的一部分，調(diào)用系統(tǒng)內(nèi)核功能不方便。使用不方便：IPSec部署復(fù)雜。對通信效率影響較大，尤其部署在網(wǎng)關(guān)時。3.1.4IPSec組成協(xié)議組成協(xié)商階段（相互認(rèn)證對方的身份，并根據(jù)安全策略協(xié)商使用的加密、認(rèn)證算法，生成會話密鑰）IKE（InternetKeyExchange，互聯(lián)網(wǎng)密鑰交互）數(shù)據(jù)交互（通信雙方利用協(xié)商好的算法和密鑰對數(shù)據(jù)進(jìn)行安全處理）AH（AuthenticationHeader認(rèn)證首部）：只提供認(rèn)證功能，不對報文做加密處理。ESP（EncapsulatingSecurityPayload，封裝安全載荷）：提供認(rèn)證功能、機(jī)密性和完整性保護(hù)。3.1.4IPSec組成標(biāo)準(zhǔn)組成IPSec體系結(jié)構(gòu)ESP協(xié)議AH協(xié)議加密算法認(rèn)證算法解釋域(DOI)：對IPSec中涉及的協(xié)議、算法以及各種參數(shù)取值的規(guī)定密鑰管理：規(guī)定了IKE、ISAKMP、Oakley等協(xié)商協(xié)議的語法、語義和時序應(yīng)用類：對應(yīng)用或?qū)崿F(xiàn)IPSec時涉及的一些實際問題的解決方案IPSec組成結(jié)構(gòu)（或見課本P.52圖3.1）3.1.5安全策略安全策略是針對安全需求給出的一系列的解決方案，它決定了對什么樣的通信實施安全保護(hù)，以及提供何種安全保護(hù)。IPSec的安全策略組件：SPD（SecurityPolicyDatabase，安全策略庫）：安全策略的表示形式，庫中每條記錄對應(yīng)一個安全策略。由管理員手工輸入。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，一般保存在一個策略服務(wù)器中集中管理。SAD（SecurityAsscoiationDatabase，安全關(guān)聯(lián)庫）：由安全關(guān)聯(lián)SA組成，是安全策略的具體化和實例化，具體規(guī)定了什么行為是允許的，什么是不允許的。3.1.5安全策略IPSec的安全策略描述通信特性：目的IP地址、源IP地址、傳輸層協(xié)議、源和目標(biāo)端口、數(shù)據(jù)敏感等級。保護(hù)方法：丟棄、繞過或應(yīng)用IPSec(應(yīng)用IPSec包含了使用的安全協(xié)議(AH或ESP)、模式、算法等，并以安全關(guān)聯(lián)SA形式存儲在SAD中)。安全關(guān)聯(lián)SA單向的，分為保護(hù)進(jìn)入數(shù)據(jù)的SA和保護(hù)外出數(shù)據(jù)的SA。標(biāo)識：<SPI（安全參數(shù)索引），目的IP地址，安全協(xié)議>3.1.5安全策略SA的基本結(jié)構(gòu)包括：目的IP地址：SA的目的地址IPSec協(xié)議：標(biāo)識用的是AH還是ESP序號計數(shù)器：32比特。序號計數(shù)器溢出標(biāo)志：標(biāo)識序號計數(shù)器是否溢出。如果溢出，則產(chǎn)生一個審計事件，并禁止用SA繼續(xù)發(fā)送數(shù)據(jù)包?？怪夭ゴ翱冢?2比特計數(shù)器及位圖，用于決定進(jìn)入的AH或ESP數(shù)據(jù)包是否為重發(fā)的。密碼算法及密鑰：AH驗證算法及其密鑰等。ESP加密算法、密鑰、IV模式、IV等。ESP驗證算法、密鑰等。如未選擇驗證服務(wù)，該字段為空。安全關(guān)聯(lián)的生存期：一個時間間隔。IPsec協(xié)議模式：隧道模式、傳輸模式或混合方式（通配符）。主機(jī)實施應(yīng)支持所有模式；網(wǎng)關(guān)實施應(yīng)支持隧道模式PMTU：所考察的路徑的MTU及其壽命變量。傳輸模式提供對高層協(xié)議數(shù)據(jù)（即負(fù)載）的保護(hù)

例：AH的傳輸模式隧道模式提供對IP數(shù)據(jù)報的保護(hù)

例：

AH的隧道模式3.1.5安全策略SA提供的安全服務(wù)取決于所選的安全協(xié)議（AH或ESP）、SA模式（傳輸模式或隧道模式）、SA作用的兩端點。安全關(guān)聯(lián)管理手工方式：由管理員按安全策略手工指定、手工維護(hù)自動方式：啟動IKE協(xié)商3.1.5IPSec協(xié)議流程(見p.57圖3.3)管理員根據(jù)安全需求制定安全策略，并最終以SPD的形式給出?；赟PD，手工或IKE協(xié)商構(gòu)造SAD。IPSec協(xié)議流程外出處理進(jìn)入處理圖3.3IPSec協(xié)議流程IPSec協(xié)議流程外出處理：發(fā)送方檢索SPD，對數(shù)據(jù)報作出三種可能處理丟棄：丟棄數(shù)據(jù)報繞過IPSec：給數(shù)據(jù)報添加IP頭，然后發(fā)送應(yīng)用IPSec：查詢SAD，根據(jù)以下可能處理存在有效SA：封裝后發(fā)送尚未建立SA：啟動IKE協(xié)商，成功則發(fā)送，不成功則丟棄。存在SA但無效：協(xié)商新的SA，成功則發(fā)送，不成功則丟棄。3.1.5IPSec協(xié)議流程進(jìn)入處理：查詢SAD得到有效SA：查詢?yōu)樵摂?shù)據(jù)報提供的安全保護(hù)是否與策略要求的相符，如果相符則還原數(shù)據(jù)報后轉(zhuǎn)發(fā)，如不相符則丟棄數(shù)據(jù)報。得不到有效SA，則丟棄數(shù)據(jù)報。3.3IKEIKE：InternetkeyExchange，互聯(lián)網(wǎng)密鑰交換IKE基于ISAKMP設(shè)計，通過參考了Oakley和SKEME。IKE報文沿用了ISAKMP的報文格式和載荷類型，區(qū)別為SA屬性不同。IKE的兩個階段第一階段：協(xié)商獲取IKESA，使用“主模式”或“野蠻模式”，分別對應(yīng)ISAKMP的“身份保護(hù)交換”和“野蠻交換”。第二階段：協(xié)商安全協(xié)議SA，使用“快速模式”。IKE使用D-H交換生成共享的會話密鑰。IKE使用新群模式協(xié)商如何使用一個新的D-H群?；仡櫍篋iffie-Hellman密鑰交換允許兩個用戶可以安全地交換一個秘密信息，用于后續(xù)的通訊過程算法的安全性依賴于計算離散對數(shù)的難度算法：雙方選擇素數(shù)q以及q的一個原根rA選擇X<q,計算XA=rXmodp,AB:XAB選擇Y<q,計算YB=rYmodp,BA:YBA計算:(YB)X(rY)XrXYmodpB計算:(XA)Y(rX)YrXYmodp雙方獲得一個共享密鑰(rXYmodp)背景:Diffie-Hellman密鑰交換算法面臨的問題中間人攻擊、重放攻擊加入nonce，防止中間人和重放攻擊。3.3.1IKE的SA協(xié)商SA協(xié)商的內(nèi)容：加密算法、散列算法、認(rèn)證方法、D-H群信息、偽隨機(jī)數(shù)函數(shù)、群描述、群類型、生命期類型以及密鑰長度。（詳見p.76-78，表3.6）兩個主要屬性認(rèn)證方法偽隨機(jī)函數(shù)PRF3.3.1SAIKE定義了4種認(rèn)證方法基于數(shù)字簽名的方法：通信雙方相互交換證書和簽名信息?；诠€加密的方法：通信雙方用對方的公鑰對身份、隨機(jī)數(shù)等信息進(jìn)行加密處理后發(fā)給對等端；通信雙方用私鑰解密后，將身份、隨機(jī)數(shù)等信息作為輸入生成認(rèn)證信息發(fā)給對方。通信雙方驗證認(rèn)證信息是否正確，如果正確，則說明對方擁有公鑰對應(yīng)的私鑰。改進(jìn)的基于公鑰加密的方法：對基于公鑰加密認(rèn)證的改進(jìn)，加密數(shù)據(jù)不是全部使用公鑰加密，而是通過部分信息使用公鑰加密，部分信息使用對稱加密來提高效率。基于預(yù)共享密鑰的方法：通信雙方預(yù)先共享一個密鑰，生成的認(rèn)證信息中把預(yù)共享密鑰作為輸入之一(類似于PPP的CHAP協(xié)議)。3.3.1SA協(xié)商PRF（Pseudo-RandomFunction，偽隨機(jī)函數(shù)）：以秘密信息和其它信息作為輸入并產(chǎn)生隨機(jī)的比特流。PRF生成以下4個秘密信息：SKEYID：用于推導(dǎo)其它秘密信息，由認(rèn)證方法生成。SKEYID_d：為IPSec衍生出加密的素材SKEYID_a：用于數(shù)據(jù)完整性檢驗及數(shù)據(jù)源發(fā)認(rèn)證SKEYID_e：用于數(shù)據(jù)加密3.3.1SA協(xié)商SKEYID_d=prf(SKEYID,g^xy|CKY-I|CKY-R|0)SKEYID_a=prf(SKEYID,SKEYID_d|g^xy|CKY-I|CKY-R|1)SKEYID_e=prf(SKEYID,SKEYID_a|g^xy|CKY-I|CKY-R|2)prf：偽隨機(jī)函數(shù)，如果沒有協(xié)商，則默認(rèn)為HMACg^xy：D-H交換中的共享秘密CKY-I：I-CookieCKY-R：R-Cookie“0”、“1”、“2”：字符“0”、“1”、“2”3.3.2模式IKE的模式(對應(yīng)于ISAKMP的交換類型)：主模式野蠻模式快速模式新群模式通知交換

主模式IKE的主模式是ISAKMP身份保護(hù)交換的實例。符號說明：Ni和Nr：發(fā)起方和回應(yīng)方的隨機(jī)數(shù)(NONCE)IDii和IDir：發(fā)起方和回應(yīng)方的身份信息SIG_I和SIG_R：發(fā)起方和回應(yīng)方的簽名。[]：可選字段*：經(jīng)過安全處理的消息_b：表示載荷的數(shù)據(jù)部分（去掉通用首部后）<x>y：表示用y作為密鑰加密xCERT：數(shù)字證書1.使用數(shù)字簽名的認(rèn)證方式1.使用數(shù)字簽名的認(rèn)證方式秘密信息生成SKEYID=prf(Ni_b|Nr_b,g^xy)簽名生成：分別以HASH-I和HASH-R作為輸入生成簽名。HASH_I=prf(SKEYID,g^xi|g^xr|CKY-I|CKY-R|SAi_b|IDii_b)HASH_R=prf(SKEYID,g^xr|g^xi|CKY-R|CKY-I|SAi_b|IDir_b)g^xi,g^xr分別發(fā)起方和回應(yīng)方的D-H公開值CKY-I是I-Cookie，CKY_R是R-Cookie2.使用公鑰加密認(rèn)證方式2.使用公鑰加密認(rèn)證方式參數(shù)生成SKEYID=prf(hash(Ni_b|Nr_b),CKY_I|CKY_R)HASH_I=prf(SKEYID,g^xi|g^xr|CKY-I|CKY-R|SAi_b|IDii_b)HASH_R=prf(SKEYID,g^xr|g^xi|CKY-R|CKY-I|SAi_b|IDir_b)分析：秘密信息SKEYID以雙方發(fā)送的隨機(jī)數(shù)（Ni_b和Nr_b）、身份信息（CKY_I和CKY_R）作為輸入。身份信息和隨機(jī)數(shù)使用對等端公鑰加密，只有私鑰的擁有者才能解密得到對方的身份信息和隨機(jī)數(shù)。HASH_I和HASH_R都以SKEYID作為輸入，如果對方發(fā)來的散列值通過，則說明對方擁有公鑰對應(yīng)的私鑰。3.使用改進(jìn)的公鑰加密認(rèn)證方式基本思想目的是提高公鑰加密認(rèn)證方式的計算效率。NONCE(即Ni_b和Nr_b)使用對方的公鑰加密。用NONCE生成對稱加密密鑰。用對稱加密加密身份信息和密鑰交換信息。3.使用改進(jìn)的公鑰加密認(rèn)證方式參數(shù)說明：Ke_i和Ke_r分別是發(fā)起方和回應(yīng)方用于加密身份信息和密鑰交換信息的臨時密鑰。計算方法：Ne_i=prf(Ni_b,CKY_I)Ki=Ki1|Ki2|….Ki1=prf(Ne_i,0),Ki2=prf(Ne_i,K1),….Ke_i=Ki[n]：根據(jù)需要提取Ki的前n個比特3.使用改進(jìn)的公鑰加密認(rèn)證方式Ne_r=prf(Nr_b,CKY_R)Kr=Kr1|Kr2|….Kr1=prf(Ne_r,0),Kr2=prf(Ne_r,K1),….Ke_r=Kr[n]：根據(jù)需要提取Kr的前n個比特4.使用預(yù)共享密鑰認(rèn)證方法4.使用預(yù)共享密鑰認(rèn)證方法秘密信息計算：SKEYID=prf(預(yù)共享密鑰，Ni_b|Nr_b)HASH_I和HASH_R以SKEYID作為輸入。只有擁有共享密鑰才能生成正確的HASH_I或HASH_R，從而驗證了身份。

野蠻模式IKE的野蠻模式是ISAKMP野蠻模式的實例。認(rèn)證思想和和主模式一樣。

快速模式快速模式用于第二階段，使用第一階段協(xié)商好的安全參數(shù)進(jìn)行處理。

快速模式

快速模式散列值計算：HASH(1)=prf(SKEYID_a,M-ID|SA|Ni,[,KE][,IDci,IDcr])HASH(2)=prf(SKEYID_a,M-ID|Ni_b|SA|Nr,[,KE][,IDci,IDcr])HASH(3)=prf(SKEYID_a,0|M-ID|Ni_b|Nr_b)分析HASH值中紅色字是被認(rèn)證的紫色字是用于防止重放攻擊的藍(lán)色字用于完整性校驗

快速模式可選項KE：用于完美的前向安全性（PFS）要求。PFS指一個密鑰的泄露只會影響到該密鑰加密的數(shù)據(jù)。如果要求PFS，則一個密鑰不能用于推導(dǎo)其它密鑰，則需要傳輸新的密鑰交換信息?？蛇x項目IDci和IDcr：用于代理情況，表示委托方的身份。

快速模式快速模式可協(xié)商多個SA，如下例

新群模式使用場合：協(xié)商新的D-H群HASH(1)=prf(SKEYID_a,M_ID|SA)HASH(2)=prf(SKEYID_a,M_ID|SA)HASH(1)和HASH(2)用于數(shù)據(jù)源發(fā)認(rèn)證(以SKEYID_a為輸入)和完整性校驗(以SA為輸入)

通知交換通知交換目的：錯誤通告、狀態(tài)通告和SA刪除。HASH(1)=prf(SKYID_a,M_ID|N/D)HASH(1)用于數(shù)據(jù)源發(fā)認(rèn)證（以SKYID_a為輸入）和完整性校驗（以N/D為輸入）3.3.3報文與載荷IKE報文沿用了ISAKMP的報文格式。IKE報文由首部和數(shù)據(jù)區(qū)組成，數(shù)據(jù)區(qū)則由載荷組成。3.4認(rèn)證首部AHAH提供的服務(wù)：數(shù)據(jù)完整性、數(shù)據(jù)源發(fā)認(rèn)證以及抗重放攻擊。AH可以單獨使用，也可和ESP聯(lián)合使用。AH+傳輸模式：保護(hù)上層協(xié)議。AH+隧道模式：保護(hù)完整的IP數(shù)據(jù)報。AH首部格式NextHeader:下一個頭的類型PayloadLength：AH的長度(32位字為單位)SPI：安全參數(shù)索引，用來標(biāo)識SASequenceNumber：序號，用來避免重放攻擊AuthenticationData：消息認(rèn)證碼，用來進(jìn)行數(shù)據(jù)源發(fā)認(rèn)證和完整性校驗。AH的認(rèn)證模式傳輸模式：不改變IP地址，插入一個AH頭(即AH首部)，可保護(hù)上層協(xié)議數(shù)據(jù)。隧道模式：生成一個新的IP頭，把AH頭和原來的整個IP包放到新IP包的凈荷數(shù)據(jù)中，可保護(hù)整個IP數(shù)據(jù)報。使用傳輸模式的AH報文封裝方式使用隧道模式的AH報文封裝方式AH的處理過程發(fā)送數(shù)據(jù)查找SPD數(shù)據(jù)庫；應(yīng)用或創(chuàng)建一個外出SA；填充AH頭的各字段：“SPI”置為外出SA的SPI；外出SA的序列號計數(shù)器加1，填寫“序列號”；填寫長度字段的值；“驗證數(shù)據(jù)”置為0（抗重放攻擊）；計算驗證數(shù)據(jù)ICV（提供數(shù)據(jù)完整性保護(hù)）；AH頭中的“下一頭部”置為原IP報頭中的“協(xié)議”字段的值，原IP報頭的“協(xié)議”字段置為51（代表AH）。AH的處理過程接收數(shù)據(jù)檢查IP頭的“協(xié)議”字段是否為51；根據(jù)IP頭中的目的地址及AH頭中的SPI等信息在SAD中查詢相應(yīng)SA，如果沒有找到合適的SA，則丟棄該數(shù)據(jù)包；找到SA之后，進(jìn)行序列號檢查（抗重放檢查），檢查這個包是新收的還是以前收到的。如果是已經(jīng)收到過的包，則丟棄該數(shù)據(jù)包；

檢查ICV：對整個數(shù)據(jù)包應(yīng)用“身份驗證器”算法，并將獲得的摘要值同收到的ICV值進(jìn)行比較，如果相符，通過身份驗證；如不相符，便丟棄該包；

ICV一經(jīng)驗證，遞增滑動接收窗口的序列號，結(jié)束一次AH處理過程。3.5封裝安全載荷ESPESP提供的安全服務(wù)：數(shù)據(jù)完整性、數(shù)據(jù)源發(fā)認(rèn)證、抗重放攻擊、機(jī)密性以及有限的傳輸流機(jī)密性。加密算法和認(rèn)證算法由SA指定兩種工作模式：傳輸模式和隧道模式ESP報文格式ESP報文格式ESP的傳輸模式ESP的隧道模式原IP頭的源和目的地址分別為通信的起點和終點；新IP頭的源和目的地址分別為安全的起點和終點。ESP處理過程ESP頭定位加密算法和認(rèn)證算法由SA確定對于發(fā)出去的包(OutboundPacket)的處理查找SA加密封裝必要