第9章密鑰管理0WIFI5的密鑰1對(duì)稱密鑰的分發(fā)2公鑰加密體制的密鑰管理3秘密分享提要

現(xiàn)代密碼體制中，密碼算法都是公開的，密碼系統(tǒng)的安全性完全依賴于密鑰的安全。密鑰一旦泄露，敵手便可不費(fèi)吹灰之力，輕易地把加密數(shù)據(jù)還原成明文或偽造簽名信息。因此，密鑰的安全管理在基于密碼理論建立的信息安全環(huán)境中意義重大。密鑰管理的本質(zhì)和目的就是確保密鑰是安全的，防止密鑰泄漏。要防止密鑰泄漏，就要對(duì)密鑰的產(chǎn)生、密鑰的分發(fā)、密鑰的儲(chǔ)存、密鑰的使用和銷毀等各個(gè)環(huán)節(jié)進(jìn)行精心設(shè)計(jì)。許多標(biāo)準(zhǔn)化組織提出了一些密鑰管理技術(shù)的標(biāo)準(zhǔn)，如ISO11770-X和IEEE1363。本章我們主要討論密鑰的產(chǎn)生和分發(fā)問題，探討對(duì)稱體制下共享密鑰的建立方法、公鑰體制下的公鑰管理辦法和多人分享密鑰問題。提要本章要求學(xué)生重點(diǎn)掌握主密鑰、會(huì)話密鑰、數(shù)字證書、PKI和秘密分享等概念，理解Diffie-Hellman密鑰協(xié)商協(xié)議和Shamir秘密分享方案。非IT專業(yè)學(xué)生應(yīng)練習(xí)如何安裝和使用數(shù)字證書，IT專業(yè)學(xué)生應(yīng)嘗試編程實(shí)現(xiàn)數(shù)字證書的創(chuàng)建與分發(fā)。

0

WIFI的密鑰？你在家使用WIFI加密數(shù)據(jù)時(shí)，你的密鑰和你爸的密鑰是一樣的嗎？？財(cái)經(jīng)大學(xué)的WIFI安全還是你家的WIFI更安全？Wi-Fi中的數(shù)據(jù)加密密鑰TK

你家：即WPA2-PSK模式下，TK的產(chǎn)生過(guò)程為：無(wú)線網(wǎng)絡(luò)密碼(PSK)--PMK--PTK–TK。學(xué)校：WPA2-Enterprise模式下，TK的產(chǎn)生過(guò)程為：802.1X認(rèn)證協(xié)商--PMK--PTK–TK。你家與學(xué)校你家Pmk=hash(pskIIssid)學(xué)校：pmk=hash(masterkey,snonce,anonce)

你知道兩個(gè)問題的答案了嗎？用對(duì)稱密碼體制進(jìn)行保密通信時(shí)，首先必須有一個(gè)共享的秘密密鑰.為防止攻擊者得到密鑰，還必須時(shí)常更新密鑰。密碼系統(tǒng)的強(qiáng)度也依賴于密鑰分配技術(shù)。1對(duì)稱密鑰分發(fā)1、一方產(chǎn)生，然后安全的傳給另一方2、兩方協(xié)商產(chǎn)生；3、通過(guò)可信賴第三方的參與產(chǎn)生。第一種辦法

在現(xiàn)實(shí)生活中是很普遍的。很多機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)在投入使用時(shí)，其初始的對(duì)稱密鑰往往是員工的身份證號(hào)碼。當(dāng)然，這種密鑰的傳送方式的安全性是值得商榷的。物理手段親自遞送、通過(guò)掛號(hào)信或電子郵件傳送密鑰等方法也屬于這種類型。第2種方法Diffie-Hellman密鑰交換是W.Diffie和M.Hellman于1976年提出的第一個(gè)公鑰密碼算法，已在很多商業(yè)產(chǎn)品中得以應(yīng)用。算法的惟一目的是使得兩個(gè)用戶能夠安全地交換密鑰，得到一個(gè)共享的會(huì)話密鑰，算法本身不能用于加、解密。算法的安全性基于求離散對(duì)數(shù)的困難性。

Diffie-Hellman密鑰交換圖1是密鑰分配的一個(gè)實(shí)例。假定兩個(gè)用戶A、B分別與密鑰分配中心KDC(keydistributioncenter)有一個(gè)共享的主密鑰KA和KB，A希望與B建立一個(gè)共享的一次性會(huì)話密鑰，可通過(guò)以下幾步來(lái)完成：第3種方法圖1密鑰分配實(shí)例①A向KDC發(fā)出會(huì)話密鑰請(qǐng)求。表示請(qǐng)求的消息由兩個(gè)數(shù)據(jù)項(xiàng)組成，第1項(xiàng)是A和B的身份，第2項(xiàng)是這次業(yè)務(wù)的惟一識(shí)別符N1，稱N1為一次性隨機(jī)數(shù)，可以是時(shí)戳、計(jì)數(shù)器或隨機(jī)數(shù)。每次請(qǐng)求所用的N1都應(yīng)不同，且為防止假冒，應(yīng)使敵手對(duì)N1難以猜測(cè)。因此用隨機(jī)數(shù)作為這個(gè)識(shí)別符最為合適。②KDC為A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答是由KA加密的消息，因此只有A才能成功地對(duì)這一消息解密，并且A可相信這一消息的確是由KDC發(fā)出的。消息中包括A希望得到的兩項(xiàng)內(nèi)容：一次性會(huì)話密鑰KS；A在①中發(fā)出的請(qǐng)求，包括一次性隨機(jī)數(shù)N1，目的是使A將收到的應(yīng)答與發(fā)出的請(qǐng)求相比較，看是否匹配。因此A能驗(yàn)證自己發(fā)出的請(qǐng)求在被KDC收到之前，是否被他人篡改。而且A還能根據(jù)一次性隨機(jī)數(shù)相信自己收到的應(yīng)答不是重放的過(guò)去的應(yīng)答。此外，消息中還有B希望得到的兩項(xiàng)內(nèi)容：一次性會(huì)話密鑰KS；A的身份（例如A的網(wǎng)絡(luò)地址）IDA。這兩項(xiàng)由KB加密，將由A轉(zhuǎn)發(fā)給B，以建立A、B之間的連接并用于向B證明A的身份。③A存儲(chǔ)會(huì)話密鑰，并向B轉(zhuǎn)發(fā)EKB[KS‖IDA]。因?yàn)檗D(zhuǎn)發(fā)的是由KB加密后的密文，所以轉(zhuǎn)發(fā)過(guò)程不會(huì)被竊聽。B收到后，可得會(huì)話密鑰KS，并從IDA可知另一方是A，而且還從EKB知道KS的確來(lái)自KDC。這一步完成后，會(huì)話密鑰就安全地分配給了A、B。然而還能繼續(xù)以下兩步工作：④B用會(huì)話密鑰KS加密另一個(gè)一次性隨機(jī)數(shù)N2，并將加密結(jié)果發(fā)送給A。⑤A以f(N2)作為對(duì)B的應(yīng)答，其中f是對(duì)N2進(jìn)行某種變換（例如加1）的函數(shù)，并將應(yīng)答用會(huì)話密鑰加密后發(fā)送給B。這兩步可使B相信第③步收到的消息不是一個(gè)重放。注意：第③步就已完成密鑰分配，第④、⑤兩步結(jié)合第③步執(zhí)行的是認(rèn)證功能。密鑰可根據(jù)其不同用途分為會(huì)話密鑰和主密鑰兩種類型，會(huì)話密鑰又稱為數(shù)據(jù)加密密鑰，主密鑰又稱為密鑰加密密鑰。由于密鑰的用途不同，因此對(duì)密鑰的使用方式也希望加以某種控制。如果主密鑰泄露了，則相應(yīng)的會(huì)話密鑰也將泄露，因此主密鑰的安全性應(yīng)高于會(huì)話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的，如果把主密鑰當(dāng)作會(huì)話密鑰注入加密設(shè)備，那么其安全性則降低。主密鑰與會(huì)話密鑰會(huì)話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因?yàn)閿呈旨词公@得一個(gè)會(huì)話密鑰，也只能獲得很少的密文。但另一方面，會(huì)話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時(shí)還造成網(wǎng)絡(luò)負(fù)擔(dān)。所以在決定會(huì)話密鑰的有效期時(shí)，應(yīng)權(quán)衡矛盾的兩個(gè)方面。主密鑰與會(huì)話密鑰對(duì)面向連接的協(xié)議，在連接未建立前或斷開時(shí)，會(huì)話密鑰的有效期可以很長(zhǎng)。而每次建立連接時(shí)，都應(yīng)使用新的會(huì)話密鑰。如果邏輯連接的時(shí)間很長(zhǎng)，則應(yīng)定期更換會(huì)話密鑰。無(wú)連接協(xié)議（如面向業(yè)務(wù)的協(xié)議），無(wú)法明確地決定更換密鑰的頻率。為安全起見，用戶每進(jìn)行一次交換，都用新的會(huì)話密鑰。然而這又失去了無(wú)連接協(xié)議主要的優(yōu)勢(shì)，即對(duì)每個(gè)業(yè)務(wù)都有最少的費(fèi)用和最短的延遲。比較好的方案是在某一固定周期內(nèi)或?qū)σ欢〝?shù)目的業(yè)務(wù)使用同一會(huì)話密鑰。公鑰加密的一個(gè)主要用途是分配單鑰密碼體制使用的密鑰。本節(jié)介紹兩方面內(nèi)容：——公鑰密碼體制所用的公開密鑰的分配?！绾斡霉€體制來(lái)分配單鑰體制所需密鑰。2公鑰加密體制的密鑰管理1.公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團(tuán)體廣播。例如PGP（prettygoodprivacy）中采用了RSA算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網(wǎng)郵件列表。2.1公鑰的分配特點(diǎn)：方法簡(jiǎn)單。缺點(diǎn)：一個(gè)非常大的缺點(diǎn)，即任何人都可偽造這種公開發(fā)布。如果某個(gè)用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認(rèn)證。2.公用目錄表公用目錄表指一個(gè)公用的公鑰動(dòng)態(tài)目錄表，公用目錄表的建立、維護(hù)以及公鑰的分布由某個(gè)可信的實(shí)體或組織承擔(dān)，稱這個(gè)實(shí)體或組織為公用目錄的管理員。與第1種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：①管理員為每個(gè)用戶都在目錄表中建立一個(gè)目錄，目錄中有兩個(gè)數(shù)據(jù)項(xiàng):一是用戶名，二是用戶的公開鑰。②每一用戶都親自或以某種安全的認(rèn)證通信在管理者那里為自己的公開鑰注冊(cè)。③用戶如果由于自己的公開鑰用過(guò)的次數(shù)太多或由于與公開鑰相關(guān)的秘密鑰已被泄露，則可隨時(shí)用新密鑰替換現(xiàn)有的密鑰。④管理員定期公布或定期更新目錄表。例如，像電話號(hào)碼本一樣公布目錄表或在發(fā)行量很大的報(bào)紙上公布目錄表的更新。⑤用戶可通過(guò)電子手段訪問目錄表，這時(shí)從管理員到用戶必須有安全的認(rèn)證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個(gè)公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。3.公鑰證書分配公鑰的另一方法是公鑰證書，用戶通過(guò)公鑰證書來(lái)互相交換自己的公鑰而無(wú)須與公鑰管理機(jī)構(gòu)聯(lián)系。公鑰證書由證書管理機(jī)構(gòu)CA(certificateauthority)為用戶建立，圖5證書的產(chǎn)生過(guò)程X.509證書格式美國(guó)銀行數(shù)字證書示例因?yàn)橹挥杏肅A的公鑰才能解讀證書，接收方從而驗(yàn)證了證書的確是由CA發(fā)放的，且也獲得了發(fā)送方的身份IDA和公開鑰PKA。時(shí)戳T為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時(shí)戳可被當(dāng)作截止日期，證書如果過(guò)舊，則被吊銷。公鑰基礎(chǔ)設(shè)施PKI

上述數(shù)字證書要能在網(wǎng)絡(luò)環(huán)境下廣泛使用，必須要解決如下問題：證書頒發(fā)機(jī)構(gòu)必須是可信的，其公鑰也必須被大家所熟知或能夠被查證。必須提供統(tǒng)一的接口，使用戶能方便地使用基于數(shù)字證書的加密、簽名等安全服務(wù)。一個(gè)證書頒發(fā)機(jī)構(gòu)所支持的用戶數(shù)量是有限的，多個(gè)證書頒發(fā)機(jī)構(gòu)需要解決相互之間的承認(rèn)與信任等問題。用戶數(shù)字證書中公鑰所對(duì)應(yīng)私鑰有可能被泄露或過(guò)期，因而必須要有一套數(shù)字證書作廢管理辦法，避免已經(jīng)泄露私鑰的數(shù)字證書再被使用。公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI，即“PublicKeyInfrastructure”，是基于公鑰理論和技術(shù)解決上述問題的一整套方案。PKI的構(gòu)建和實(shí)施主要圍繞認(rèn)證機(jī)構(gòu)CA、證書和證書庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、證書歷史檔案系統(tǒng)和多PKI間的互操作性來(lái)進(jìn)行。國(guó)家網(wǎng)絡(luò)信任體系建設(shè)公開鑰分配完成后，用戶就可用公鑰加密體制進(jìn)行保密通信。然而由于公鑰加密的速度過(guò)慢，以此進(jìn)行保密通信不太合適，但用于分配單鑰密碼體制的密鑰卻非常合適。2.2用公鑰加密分配單鑰密碼體制的密鑰也稱為托管加密，其目的是保證對(duì)個(gè)人沒有絕對(duì)的隱私和絕對(duì)不可跟蹤的匿名性，即在強(qiáng)加密中結(jié)合對(duì)突發(fā)事件的解密能力。其實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來(lái)，數(shù)據(jù)恢復(fù)密鑰不必是直接解密的密鑰，但由它可得解密密鑰。數(shù)據(jù)恢復(fù)密鑰由所信任的委托人持有，委托人可以是政府機(jī)構(gòu)、法院或有契約的私人組織。一個(gè)密鑰可能是在數(shù)個(gè)這樣的委托人中分拆。調(diào)查機(jī)構(gòu)或情報(bào)機(jī)構(gòu)通過(guò)適當(dāng)?shù)某绦?，如獲得法院證書，從委托人處獲得數(shù)據(jù)恢復(fù)密鑰。3密鑰托管意義：密鑰托管加密技術(shù)提供了一個(gè)備用的解密途徑，政府機(jī)構(gòu)在需要時(shí)，可通過(guò)密鑰托管技術(shù)解密用戶的信息，而用戶的密鑰若丟失或損壞，也可通過(guò)密鑰托管技術(shù)恢復(fù)自己的密鑰。所以這個(gè)備用的手段不僅對(duì)政府有用，而且對(duì)用戶自己也有用。1993年4月，美國(guó)政府為了滿足其電信安全、公眾安全和國(guó)家安全，提出了托管加密標(biāo)準(zhǔn)EES(escrowedencryptionstandard)，該標(biāo)準(zhǔn)所使用的托管加密技術(shù)不僅提供了強(qiáng)加密功能，同時(shí)也為政府機(jī)構(gòu)提供了實(shí)施法律授權(quán)下的監(jiān)聽功能。這一技術(shù)是通過(guò)一個(gè)防竄擾的芯片(稱為Clipper芯片)來(lái)實(shí)現(xiàn)的。3.1美國(guó)托管加密標(biāo)準(zhǔn)簡(jiǎn)介它有兩個(gè)特性：①一個(gè)加密算法——Skipjack算法，該算法是由NSA設(shè)計(jì)的，用于加（解）密用戶間通信的消息。該算法已于1998年3月公布。②為法律實(shí)施提供“后門”的部分——法律實(shí)施存取域LEAF(lawenforcementaccessfield)。通過(guò)這個(gè)域，法律實(shí)施部門可在法律授權(quán)下，實(shí)現(xiàn)對(duì)用戶通信的解密。1.Skipjack算法Skipjack算法是一個(gè)單鑰分組加密算法，密鑰長(zhǎng)80比特，輸入和輸出的分組長(zhǎng)均為64比特。可使用4種工作模式：電碼本模式，密碼分組鏈接模式，64比特輸出反饋模式，1、8、16、32或64比特密碼反饋模式。算法的內(nèi)部細(xì)節(jié)在向公眾公開以前，政府邀請(qǐng)了一些局外人士對(duì)算法作出評(píng)價(jià)，并公布了評(píng)價(jià)結(jié)果。評(píng)價(jià)結(jié)果認(rèn)為算法的強(qiáng)度高于DES，并且未發(fā)現(xiàn)陷門。Skipjack的密鑰長(zhǎng)是80比特，比DES的密鑰長(zhǎng)24比特，因此通過(guò)窮搜索的蠻力攻擊比DES多224倍的搜索。所以若假定處理能力的費(fèi)用每18個(gè)月減少一半，那么破譯它所需的代價(jià)要1.5×24=36年才能減少到今天破譯DES的代價(jià)。在導(dǎo)彈控制發(fā)射、重要場(chǎng)所通行檢驗(yàn)等情況下，通常必須由兩人或多人同時(shí)參與才能生效，這時(shí)都需要將秘密分給多人掌管，并且必須有一定人數(shù)的掌管秘密的人同時(shí)到場(chǎng)才能恢復(fù)這一秘密。由此，引入門限方案（thresholdschemes）的一般概念。4秘密分割

4.1秘密分割門限方案定義5.1設(shè)秘密s被分成n個(gè)部分信息，每一部分信息稱為一個(gè)子密鑰或影子，由一個(gè)參與者持有，使得：①由k個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)s。②由少于k個(gè)參與者所持有的部分信息則無(wú)法重構(gòu)s。則稱這種方案為(k,n)秘密分割門限方案，k稱為方案的門限值。如果一個(gè)參與者或一組未經(jīng)授權(quán)的參與者在猜測(cè)秘密s時(shí)，并不比局外人猜秘密時(shí)有優(yōu)勢(shì)，即③由少于k個(gè)參與者所持有的部分信息得不到秘密s的任何信息。則稱這個(gè)方案是完善的，即(k,n)-秘密分割門限方案是完善的。下面介紹最具代表性的兩個(gè)秘密分割門限方案。Shamir門限方案是基于多項(xiàng)式的Lagrange插值公式的。設(shè){(x1,y1),…,(xk,yk)}是平面上k個(gè)點(diǎn)構(gòu)成的點(diǎn)集，其中xi(i=1,…,k)均不相同，那么在平面上存在一個(gè)惟一的k-1次多項(xiàng)式f(x)通過(guò)這k個(gè)點(diǎn)。若把密鑰s取作f(0),n個(gè)子密鑰取作f(xi)(i=1,2,…,n)，那么利用其中的任意k個(gè)子密鑰可重構(gòu)f(x)，從而可得密鑰s。4.2Shamir門限方案這種門限方案也可按如下更一般的方式來(lái)構(gòu)造。設(shè)GF(q)是一有限域，其中q是一大素?cái)?shù)，滿足q≥n+1,秘密s是在GF(q)\{0}上均勻選取的一個(gè)隨機(jī)數(shù)，表示為s∈RGF(q)\{0}。k-1個(gè)系數(shù)a1,a2,…,ak-1的選取也滿足ai∈RGF(q)

\{0}(i=1,2,…,k-1)。在GF(q)上構(gòu)造一個(gè)k-1次多項(xiàng)式f(x)=a0+a1x+…+ak-1xk-1。n個(gè)參與者記為P1,P2,…,Pn,Pi分配到的子密鑰為f(i)。如果任意k個(gè)參與者要想得到秘密s，可使用{(il,f(il))|l=1,…,k}構(gòu)造如下的線性方程組：(5.1)因?yàn)閕l(1≤l≤k)均不相同，所以可由Lagrange插值公式構(gòu)造如下的多項(xiàng)式：從而可得秘密s=f(0)。然而參與者僅需知道f(x)的常數(shù)項(xiàng)f(0)而無(wú)需知道整個(gè)多項(xiàng)式f(x)，所以僅需以下表達(dá)式就可求出s：如果k-1個(gè)參與者想獲得秘密s,他們可構(gòu)造出由k-1個(gè)方程構(gòu)成的線性方程組,其中有k個(gè)未知量。對(duì)GF(q)中的任一值s0，可設(shè)f(0)=s0，這樣可得第k個(gè)方程，并由Lagrange插值公式得出f(x)。因此對(duì)每一s0∈GF(q)都有一個(gè)惟一的多項(xiàng)式滿足式（5.1），所以已知k-1個(gè)子密鑰得不到關(guān)于秘密s的任何信息，因此這個(gè)方案是完善的。例5.1設(shè)k=3,n=5,q=19,s=11，隨機(jī)選取a1=2,a2=7，得多項(xiàng)式為f(x)=(7x2+2x+11)mod19分別計(jì)算 f(1)=(7+2+11)mod19=20mod19=1 f(2)=(28+4+11)mod19=43mod19=5 f(3)=(63+6+11)mod19=80mod19=4 f(4)=(112+8+11)mod19=131mod19=17 f(5)=(175+10+11)mod19=196mod19=6得5個(gè)子密鑰。如果知道其中的3個(gè)子密鑰f(2)=5,f(3)=4,f(5)=6，就可按以下方式重構(gòu)f(x)：所以從而得秘密為s=11。首先選取一大素?cái)?shù)q，正整數(shù)s，以及n個(gè)嚴(yán)格遞增的數(shù)m1,m2,…,mn,滿足①q>s。②(mi,mj)=1(i,j,i≠j)。③(q,mi)=1(i)。④。4.3Asmuth-Bloom門限方案以s作為秘密數(shù)據(jù)，條件①指出，秘密數(shù)據(jù)小于q，條件④指出，N/q大于任取的k-1個(gè)不同的mi之積。進(jìn)而，隨機(jī)選取A，滿足0≤A≤[N/q]-1，并公布q和A。求y=s+Aq(由上知y<N)，和yi≡y(modmi)(i=1,…,n)，(mi,yi)即為一個(gè)子密鑰，集合{(mi,yi)}ni=1即構(gòu)成了一個(gè)(k,n)門限方案。這是因?yàn)?，?dāng)k個(gè)參與者（記為i1,i2,…,ik）提供出自己的子密鑰時(shí)，由{(mij,yij)}kj=1建立方程組根據(jù)中國(guó)剩余定理可求得y≡y′(modN′)式中因?yàn)閥<N≤N′，所以y=y′是惟一的，再由y-Aq即得秘密數(shù)據(jù)s。另一方面，若僅有k-1個(gè)參與者提供出自己的子密鑰(mi,yi)，則只能求得y″≡y(modN″)，式中。由條件④得N″<N/q,即N/N″>q。由于N/N″>q，(N″,q)=1,故集合{[x]|[x]={x:xmodN″≡y″}}將覆蓋所有的模q同余類?；蛘吒?jiǎn)單地說(shuō)，至少以下整數(shù)y″+αN″(0≤α<q)都是y的可能取值。因此無(wú)法確定y。例5.2設(shè)k=2，n=3，q=7,s=4,m1=9,m2=11,m3=13，則N=m1m2=99>91=7·13=q·m3在之間隨機(jī)地取A=10，求y=s+Aq=4+10×7=74，y1≡ymodm1≡74mod9≡2，y2≡ymodm2≡74mod11≡8，y3≡ymodm3≡74mod13≡9。{(9,2),(11,8),(13,9)}即構(gòu)成(2,3)門限方案。若知道{(9,2),(11,8)}，可建立方程組解之得y≡(11×5×2+9×5×8)mod99≡74，所以s=y-Aq=74-10×7=4。1.列出在兩個(gè)實(shí)體之間建立起共享密鑰的方法。2、簡(jiǎn)介Diffie-Hellman密鑰交換協(xié)議。3.什么是數(shù)字證書？簡(jiǎn)述X.509證書的結(jié)構(gòu)。4.什么是公鑰基礎(chǔ)設(shè)施?5.銀行發(fā)放的U盾起什么作用？6.你家的wifi還是學(xué)校的wifi更安全？思考題

第十章

安全通信（1）本章提要應(yīng)用安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全協(xié)議并進(jìn)而采用安全協(xié)議進(jìn)行通信，是保護(hù)網(wǎng)絡(luò)通信安全的客觀要求?？蒲腥藛T針對(duì)不同的網(wǎng)絡(luò)層研制了大量特制的安全協(xié)議。在哪個(gè)層次上應(yīng)用哪個(gè)協(xié)議，要依賴于具體應(yīng)用的安全目標(biāo)和協(xié)議所能實(shí)現(xiàn)的功能。本章提要網(wǎng)絡(luò)層安全協(xié)議簇IPsec使用共享密鑰為數(shù)據(jù)傳輸提供安全服務(wù)。傳輸層安全協(xié)議簇SSL/TLS主要用于保護(hù)Web通信。部署SSL/TLS證書是保證網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站通信安全的最佳解決方案。。本章要求本章重點(diǎn)是IPsec協(xié)議。要求學(xué)生掌握IPsec的框架、AH和ESP采用的算法和能夠提供的安全服務(wù)，理解TLS協(xié)議在實(shí)現(xiàn)層次和認(rèn)證方法上與IPsec協(xié)議的不同，能夠利用IPsec或TLS構(gòu)建VPN。1網(wǎng)絡(luò)安全性協(xié)議概述通信協(xié)議是關(guān)于通信如何所達(dá)成的一致性規(guī)則。網(wǎng)絡(luò)安全協(xié)議是指在計(jì)算機(jī)網(wǎng)絡(luò)中使用具有安全功能的通信協(xié)議就是把密碼技術(shù)用于通信。不要想當(dāng)然地認(rèn)為我只要在應(yīng)用層用用一下密碼技術(shù)就可以了。安全協(xié)議概念安全協(xié)議：通信各方為保證信息交換安全協(xié)商的規(guī)則集合。安全協(xié)議目標(biāo)：信息交換安全=站點(diǎn)之間+站點(diǎn)內(nèi)部安全協(xié)議語(yǔ)法：安全交換數(shù)據(jù)格式+安全交換操作格式安全協(xié)議語(yǔ)義：數(shù)據(jù)項(xiàng)和數(shù)據(jù)操作的具體含義安全協(xié)議時(shí)序：數(shù)據(jù)交換和數(shù)據(jù)操作先后次序安全協(xié)議主要技術(shù)：密碼技術(shù)安全協(xié)議分類按功能分類：認(rèn)證協(xié)議+密鑰管理協(xié)議+防否認(rèn)協(xié)議+信息安全交換協(xié)議認(rèn)證協(xié)議：消息認(rèn)證+源認(rèn)證+身份認(rèn)證密鑰管理協(xié)議：密鑰分配+密鑰交換+密鑰保存+密鑰更新+密鑰共享防否認(rèn)協(xié)議：數(shù)字簽名+數(shù)字證書+數(shù)字指紋信息安全交換協(xié)議：例如IPsec、S-MIME、sHTTP鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信TCP/IP協(xié)議族分層HTTPSMTPDNSRTPTCPUDP硬件接口網(wǎng)絡(luò)層鏈路層運(yùn)輸層應(yīng)用層………以太網(wǎng)FRATMIGMPARPPARPICMP令牌網(wǎng)物理介質(zhì)/0層電纜FDDI雙絞線雙絞線微波無(wú)線衛(wèi)星IPTCP/IP協(xié)議族安全架構(gòu)網(wǎng)絡(luò)用戶物理介質(zhì)（物理防護(hù)與日常檢修）設(shè)備驅(qū)動(dòng)與接入?yún)f(xié)議PPTPL2FPPPL2TPIPIPsec(ah)IPsec(esp)TCPssltlsudP應(yīng)用程序setE-mailpgps/mimepemsnmpiketelnethttpsDNS安全擴(kuò)展x.509ripv2snmpv3bgp4鏈路層網(wǎng)際層傳輸層應(yīng)用層相關(guān)網(wǎng)絡(luò)安全協(xié)議Applicationlayerssh,S/MIME,PGP,httpdigest,TransportlayerSSL,TLS,WTLSNetworklayerIPsecDataLinklayerCHAP,PPTP,L2TP,

WEP(WLAN),A5(GSM),BluetoothPhysicallayerScrambling,Hopping,

QuantumCommunicationsCommunicationlayersSecurityprotocols什么VPN?就是利用上述某個(gè)協(xié)議，實(shí)現(xiàn)在公共網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)2

IPSec79一、IP安全性概述80IPv4這是目前互聯(lián)網(wǎng)采用的最基本協(xié)議，它向其它運(yùn)行在網(wǎng)絡(luò)層或網(wǎng)絡(luò)層之上的協(xié)議提供了數(shù)據(jù)傳送服務(wù)。任何類型的數(shù)據(jù)都能通過(guò)這個(gè)基本的傳送機(jī)制得到傳輸服務(wù)，但是IP不提供安全服務(wù)，IP數(shù)據(jù)包可以被偽造、篡改。因此如何保障IP傳輸?shù)陌踩允且粋€(gè)很重要的問題。81

IP安全性概述在當(dāng)今的Internet中，存在著大量特制的協(xié)議，專門用來(lái)保障網(wǎng)絡(luò)各個(gè)層次的安全。到底在哪個(gè)層次上應(yīng)用安全措施，要依賴于應(yīng)用（程序）對(duì)安全保密的要求，以及用戶自己的一些需要。通?？梢栽趹?yīng)用層、傳輸層、網(wǎng)絡(luò)層和鏈路層實(shí)現(xiàn)網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)具有多方面的優(yōu)點(diǎn)。多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)。假如安全服務(wù)在較低層實(shí)現(xiàn)，那么需要改動(dòng)的應(yīng)用程序便要少得多。通過(guò)它，我們不必集中在較高的層實(shí)現(xiàn)大量安全協(xié)議。網(wǎng)絡(luò)層安全最有用的一項(xiàng)特性是能夠構(gòu)建VPN和內(nèi)聯(lián)網(wǎng)(Intranet)。由于VPN和內(nèi)聯(lián)網(wǎng)是以子網(wǎng)為基礎(chǔ)，而且網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全，所以很容易實(shí)現(xiàn)VPN和內(nèi)聯(lián)網(wǎng)。82在網(wǎng)絡(luò)層提供安全服務(wù)的缺點(diǎn)是很難解決像數(shù)據(jù)的“不可抵賴”之類的問題。這樣的問題最好還是在較高的層解決。若在網(wǎng)絡(luò)層提供安全服務(wù)，很難在一部多用戶的機(jī)器上實(shí)現(xiàn)逐用戶的控制。然而，我們可在終端主機(jī)上提供相應(yīng)的機(jī)制，實(shí)現(xiàn)以用戶為基礎(chǔ)的安全保障。IP安全機(jī)制在網(wǎng)絡(luò)層提供了安全服務(wù)，包括鑒別、機(jī)密性和密鑰管理。鑒別機(jī)制保證收到的分組的真實(shí)性，以及確保分組在傳輸過(guò)程中未被修改；機(jī)密性機(jī)制使得通信節(jié)點(diǎn)加密報(bào)文以防止竊聽；密鑰管理機(jī)制是處理密鑰的安全交換的。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協(xié)議。此外，IPSec也允許提供逐個(gè)數(shù)據(jù)流或者逐個(gè)連接的安全，所以能實(shí)現(xiàn)非常細(xì)致的安全控制。IP安全性概述83IPv6availabilityGenerallyavailablewith(new)versionsofmostoperatingsystems.BSD,Linux2.2Solaris8AnoptionwithWindows2000/NTMostrouterscansupportIPV684IPv6DesignIssuesOvercomeIPv4scalingproblemlackofaddressspace.Flexibletransitionmechanism.Newroutingcapabilities.Qualityofservice.Security.Abilitytoaddfeaturesinthefuture.85IPv6ProtocolIPv6中的變化體現(xiàn)在以下五個(gè)重要方面：?擴(kuò)展地址。?簡(jiǎn)化頭格式。?增強(qiáng)對(duì)于擴(kuò)展和選項(xiàng)的支持。?流標(biāo)記。?身份驗(yàn)證和保密。86IPv6HeadersSimplerheader-fasterprocessingbyrouters.Nooptionalfields-fixedsize(40bytes)Nofragmentationfields.NochecksumSupportformultipleheadersmoreflexiblethansimple“protocol”field.87IPv4HeaderVERSHLFragmentOffsetFragmentLengthServiceDatagramIDFLAGTTLProtocolHeaderChecksumSourceAddressDestinationAddressOptions(ifany)Data1byte1byte1byte1byte4forIPv488IPv6HeaderVERSPRIOHopLimitFlowLabelPayloadLengthNextHeader1byte1byte1byte1byte6forIPv6SourceAddress(128bits-16bytes)Dest.Address(128bits-16bytes)89IPv6HeaderFieldsVERS:6(IPversionnumber)Priority:willbeusedincongestioncontrolFlowLabel:experimental-sendercanlabelasequenceofpacketsasbeinginthesameflow.PayloadLength:numberofbytesineverythingfollowingthe40byteheader,or0foraJumbogram.90IPv6HeaderFieldsNextHeaderissimilartotheIPv4“protocol”field-indicateswhattypeofheaderfollowstheIPv6header.HopLimitissimilartotheIPv4TTLfield(butnowitreallymeanshops,nottime).91ExtensionHeadersRoutingHeader-sourceroutingFragmentationHeader-supportsfragmentationofIPv6datagrams.AuthenticationHeaderEncapsulatingSecurityPayloadHeader92ExtensionHeaders93二、IPsec94RFC2411鑒于對(duì)IP層上的安全需求，IPSec工作組制定了目前的IP層的安全協(xié)議IPSec，IPSec是一組協(xié)議套件，其中包括鑒別首部AH、封裝安全載荷ESP、Internet密鑰交換IKE協(xié)議。IPsec提供的是IP的安全性體系結(jié)構(gòu)，而不是Internet的安全性體系結(jié)構(gòu)。兩者的區(qū)別很重要：IPsec定義了在IP層使用的安全性服務(wù)，對(duì)IPv4和IPv6都可用。如果在適當(dāng)?shù)腎Pv4選項(xiàng)格式中實(shí)現(xiàn)AH和ESP頭，IPv4也可以使用這種安全性功能，只是在IPv6中更容易實(shí)現(xiàn)。IPsec96IPSec提供的安全服務(wù)安全服務(wù)AHESP（只加密）ESP（加密并鑒別）訪問控制YYY無(wú)連接完整性YY數(shù)據(jù)源鑒別YY拒絕重放YYY保密性YY流量保密YY9798IPsec的工作模式IPSec有兩種工作模式：傳輸模式：傳輸模式的保護(hù)對(duì)象是IP載荷，即對(duì)運(yùn)行于IP之上的協(xié)議進(jìn)行保護(hù)，采用傳輸模式時(shí)，原IP數(shù)據(jù)包的報(bào)文頭之后的數(shù)據(jù)發(fā)生改變，IP報(bào)文頭不變，只有在要求兩個(gè)主機(jī)的端到端的安全保障時(shí)，才能使用傳輸模式隧道模式：隧道模式的保護(hù)對(duì)象是整個(gè)IP數(shù)據(jù)包，它將一個(gè)數(shù)據(jù)包用一個(gè)新的數(shù)據(jù)包封裝，再加上一個(gè)新的IP報(bào)文頭，通常在數(shù)據(jù)包的始發(fā)點(diǎn)或目的地不是安全終點(diǎn)的情況下需要使用隧道模式。99100隧道模式的IPSec運(yùn)作的舉例隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝IPSec也能安全地通信。某網(wǎng)絡(luò)的主機(jī)甲生成一個(gè)IP包，目的地址是另一個(gè)網(wǎng)中的主機(jī)乙。這個(gè)包從起始主機(jī)被發(fā)送到主機(jī)甲的網(wǎng)絡(luò)邊緣的安全路由器或防火墻。防火墻把所有出去的包過(guò)濾，看看有哪些包需要進(jìn)行IPSec的處理。如果這個(gè)從甲到乙的包需要使用IPSec，防火墻就進(jìn)行IPSec的處理，并把網(wǎng)包打包，添加外層IP包頭。這個(gè)外層包頭的源地址是防火墻，而目的地址可能是主機(jī)乙的網(wǎng)絡(luò)邊緣的防火墻。現(xiàn)在這個(gè)包被傳送到主機(jī)乙的防火墻，中途的路由器只檢查外層的IP包頭。主機(jī)乙網(wǎng)絡(luò)的防火墻會(huì)把外層IP包頭除掉，把IP內(nèi)層發(fā)送到主機(jī)乙去。101AnIPSecurityScenario102IPsecExampleInternetHead

QuartersSubsidiaryIdefixVPNTunnelVPNTunnelAsterix

4Obelix

8VPNClient/16/1655.66.x.xMajestixTroubadix103三、AH104鑒別首部(AH)鑒別首部是IPSec協(xié)議之一，用于為IP提供數(shù)據(jù)完整性、數(shù)據(jù)源身份驗(yàn)證和一些可選的、有限的抗重放服務(wù)。不能提供保密105AH首部的字段106AH的字段含義●下一個(gè)頭：表示AH頭之后首部的類型。在傳輸模式下，將是處于保護(hù)中的上層協(xié)議的值，比如UDP或TCP協(xié)議的值。在隧道模式下，其數(shù)值4表示IP-in-IP(IPv4)封裝；數(shù)值41表示IPv6封裝?！褙?fù)載長(zhǎng)度：采用32位字為單位的長(zhǎng)度減去2來(lái)表示?！?/p>

SPI字段中包含SPI。該字段和外部IP頭的目的地址一起，用于識(shí)別對(duì)這個(gè)包進(jìn)行身份驗(yàn)證的安全關(guān)聯(lián)?！裥蛄刑?hào)：一個(gè)單向遞增計(jì)數(shù)器。主要為了抵抗重放攻擊?！裾J(rèn)證數(shù)據(jù)：是一個(gè)可變長(zhǎng)度字段，其中包括完整性校驗(yàn)的結(jié)果。107108輸出處理109輸入處理110窗口與重放攻擊檢測(cè)由于IP協(xié)議是無(wú)連接、不可靠的，不能保證接收某個(gè)數(shù)據(jù)包時(shí)組成該消息的所有數(shù)據(jù)包都已順序接收，在接受端建立了長(zhǎng)度為W的窗口，接收到的數(shù)據(jù)包必須滿足下面全部條件才不會(huì)被丟棄:1)接收到的數(shù)據(jù)包序列號(hào)必須是新的，即在窗口中未出現(xiàn)過(guò)2)接收到的數(shù)據(jù)包序列號(hào)必須落在窗口內(nèi)部或窗口右側(cè)3)接收到的數(shù)據(jù)包能通過(guò)鑒別檢查如果接收到的數(shù)據(jù)包落在窗口右側(cè)且通過(guò)鑒別檢查，窗口就會(huì)向前走111112四、ESP113封裝安全載荷(ESP)封裝安全載荷(ESP)為IP提供保密性和抗重播服務(wù)，作為可選的功能，ESP也可提供數(shù)據(jù)完整性和鑒別服務(wù)。1141151)安全參數(shù)索引(SPI)是一個(gè)任意的32位值，它與目的IP地址和安全協(xié)議(ESP)結(jié)合，惟一地標(biāo)識(shí)這個(gè)數(shù)據(jù)報(bào)的SA。2)序列號(hào)(SequenceNumber)包含一個(gè)單調(diào)遞增的計(jì)數(shù)器值。用于抗重放攻擊。3)有效載荷數(shù)據(jù)(PayloadData)包含ESP要保護(hù)的數(shù)據(jù)1164)填充多種情況需要使用填充字段：●采用的加密算法要求明文是某個(gè)數(shù)量字節(jié)的倍數(shù)●利用填充字段來(lái)確保結(jié)果密文是32位的字右對(duì)齊●填充字段可以用于隱藏有效載荷實(shí)際長(zhǎng)度，支持(部分)信息流機(jī)密性。1175)填充長(zhǎng)度(PadLength)指明緊接其前的填充字節(jié)的個(gè)數(shù)。6)下一個(gè)報(bào)文頭(NextHeader)標(biāo)識(shí)有效載荷字段中包含的數(shù)據(jù)類型7)認(rèn)證數(shù)據(jù)(AuthenticationData)包含一個(gè)完整性校驗(yàn)值(ICV)，ESP分組中該值的計(jì)算不包含驗(yàn)證數(shù)據(jù)本身。驗(yàn)證數(shù)據(jù)字段是可選的，只有SA選擇驗(yàn)證服務(wù)才包含驗(yàn)證數(shù)據(jù)字段。118ESP的工作模式ESP使用方式：傳輸模式或隧道模式。1)傳輸模式僅在主機(jī)中實(shí)現(xiàn)，提供對(duì)上層協(xié)議的保護(hù)，不提供對(duì)IP報(bào)文頭的保護(hù)。2)隧道模式下，整個(gè)受保護(hù)的IP包都封裝在一個(gè)ESP中，并且還增加一個(gè)新的IP報(bào)文頭。119IPv4分組中ESP傳輸模式120ESP隧道模式121IPsecTunnelModeusingESPOriginal

IPHeaderTCP

HeaderDataIPv4BeforeapplyingESPIPprotocolnumberforESP:50ESPauthenticationisoptionalbutoftenusedinplaceofAHOriginalIPHeaderisencryptedandthereforehiddenOuter

IPHeaderESP

HeaderIPv4AfterapplyingESPencryptedauthenticatedOriginal

IPHeaderTCP

HeaderDataESP

TrailerESP

AuthEncapsulatingSecurity

Payload(ESP):RFC2406122ESP處理過(guò)程(輸出)123ESP處理過(guò)程(輸入)124EncryptionandAuthenticationAlgorithmsEncryption:Three-keytripleDESRC5IDEAThree-keytripleIDEACASTBlowfishAuthentication:HMAC-MD5-96HMAC-SHA-1-96125五、安全關(guān)聯(lián)(SA)126安全關(guān)聯(lián)（securityassociation)在使用AH或ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接，這個(gè)邏輯連接就叫安全關(guān)聯(lián)。!

這樣，Ipsec就將傳統(tǒng)的Internet無(wú)連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。127安全關(guān)聯(lián)安全關(guān)聯(lián)是一個(gè)單向連接，如果雙向通信，則需要建立兩個(gè)安全關(guān)聯(lián)。一個(gè)安全關(guān)聯(lián)由一個(gè)三元組組成：安全協(xié)議標(biāo)識(shí)符（用來(lái)標(biāo)識(shí)使用AH或ESP）此單向連接的目的IP一個(gè)32bit的連接標(biāo)識(shí)符,稱為安全參數(shù)索引SPI(securityparameterindex)對(duì)于一個(gè)給定的安全關(guān)聯(lián)，每個(gè)Ipsec數(shù)據(jù)報(bào)都有一個(gè)存放SPI的字段，通過(guò)此SA的所有數(shù)據(jù)報(bào)都使用同樣的SPI值。128在IPSec的實(shí)施方案中，需要維護(hù)兩個(gè)邏輯上的數(shù)據(jù)庫(kù)：安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD,安全策略數(shù)據(jù)庫(kù)SPD129當(dāng)一個(gè)系統(tǒng)需要對(duì)發(fā)送的包使用IPSec實(shí)施保護(hù)時(shí)，它查詢數(shù)據(jù)庫(kù)中的安全關(guān)聯(lián)，根據(jù)其相關(guān)內(nèi)容進(jìn)行特定處理，然后將安全連接的SPI插入到IPSec報(bào)頭當(dāng)對(duì)等接收方收到數(shù)據(jù)包時(shí)，就利用SPI和目的IP地址，從網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中查詢相對(duì)應(yīng)的安全關(guān)聯(lián)，之后根據(jù)安全關(guān)聯(lián)的內(nèi)容對(duì)數(shù)據(jù)包作相關(guān)的安全處理。130SA的管理：創(chuàng)建和刪除SA管理既可以手工進(jìn)行，也可以通過(guò)一個(gè)Internet標(biāo)準(zhǔn)密鑰管理協(xié)議來(lái)完成，比如IKE。SA的創(chuàng)建分兩步進(jìn)行——先協(xié)商SA參數(shù)，再用SA更新SADB(安全關(guān)聯(lián)數(shù)據(jù)庫(kù))。安全關(guān)聯(lián)數(shù)據(jù)庫(kù)包含了每個(gè)SA的參數(shù)信息，如AH和ESP的算法和密鑰、序列號(hào)、協(xié)議模式和有效期等。131在IPSec的早期開發(fā)及測(cè)試過(guò)程中，SA管理曾得到廣泛的應(yīng)用手工進(jìn)行。通信雙方都需要離線同意SA的各項(xiàng)參數(shù)。132在已經(jīng)配置好的IPSec環(huán)境中，SA的建立可以通過(guò)因特網(wǎng)標(biāo)準(zhǔn)密鑰管理協(xié)議(比如IKE)來(lái)完成。如果安全策略要求建立安全、保密的連接，但卻找不到相應(yīng)的SA，IPSec的內(nèi)核便會(huì)自動(dòng)調(diào)用IKE。IKE會(huì)與目標(biāo)主機(jī)或者途中的主機(jī)/路由器協(xié)商具體的SA；SA創(chuàng)建好且加入SADB數(shù)據(jù)庫(kù)后，在兩個(gè)主機(jī)間正常流動(dòng)的數(shù)據(jù)包便會(huì)采用SA參數(shù)實(shí)現(xiàn)相應(yīng)的安全服務(wù)。133可能有很多方面的理由需要?jiǎng)h除SA，例如：存活時(shí)間過(guò)期；密鑰已遭破解；使用SA加密/解密或驗(yàn)證的字節(jié)數(shù)已超過(guò)策略設(shè)定的某一個(gè)閾值；另一端要求刪除這個(gè)SA。134安全策略安全策略決定了為一個(gè)包提供的安全服務(wù)。如確定要保護(hù)什么樣的數(shù)據(jù)包，采用何種手段保護(hù)數(shù)據(jù)包。對(duì)所有IPSec實(shí)施方案來(lái)說(shuō)，它們都會(huì)將策略保存在一個(gè)數(shù)據(jù)庫(kù)中，這個(gè)數(shù)據(jù)庫(kù)名為SPD(安全策略數(shù)據(jù)庫(kù))。IP包的外出和進(jìn)入處理都要以安全策略為準(zhǔn)。在進(jìn)入和外出包處理過(guò)程中，需要查詢SPD，以判斷為這個(gè)包提供的安全服務(wù)有哪些。135IKE是一個(gè)使用已知的UDP端口（端口為500）的應(yīng)用層協(xié)議六、InternetKeyExchange

IKE136因特網(wǎng)密鑰管理協(xié)議前面我們?cè)谑褂肐PSec時(shí)都假定一個(gè)安全關(guān)聯(lián)已經(jīng)建立，IPSec并沒有提供如何建立該安全關(guān)聯(lián)的機(jī)制。實(shí)際上，因特網(wǎng)工程任務(wù)組(IETF)把整個(gè)過(guò)程分成了兩個(gè)部分：IPSec提供了分組級(jí)別的安全處理，而因特網(wǎng)密鑰管理協(xié)議(IKMP)負(fù)責(zé)協(xié)商安全關(guān)聯(lián)。IETF確定IKE作為配置IPSec安全關(guān)聯(lián)的標(biāo)準(zhǔn)協(xié)議。137IPSec的密鑰管理138小結(jié)IPSec/IKE系統(tǒng)處理139主機(jī)系統(tǒng)的外出IPSec處理只要IPSec功能激活，任何外出數(shù)據(jù)包都將受到安全策略數(shù)據(jù)庫(kù)(SPD)約束，通過(guò)查詢?cè)摂?shù)據(jù)庫(kù)來(lái)確定是否需要IPSec處理。如果需要，那么就根據(jù)數(shù)據(jù)包的信息來(lái)搜索安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)以找到相匹配的SA。如果不存在相應(yīng)的SA，那么通常會(huì)啟動(dòng)IKE協(xié)商，并最終為該數(shù)據(jù)包建立所需的SA。然后對(duì)該數(shù)據(jù)包進(jìn)行IPSec處理，并發(fā)送出去。140主機(jī)系統(tǒng)的外出IPSec處理141主機(jī)系統(tǒng)的進(jìn)入IPSec處理進(jìn)入處理有別于外出處理，收到IP包后，假如包內(nèi)根本沒有包含IPSec頭，那么安全層就會(huì)對(duì)策略進(jìn)行檢查，判斷該如何對(duì)這個(gè)包進(jìn)行處理。它會(huì)用選擇符字段來(lái)檢索SPD數(shù)據(jù)庫(kù)。策略的輸出可能是下述三種選擇：丟棄、繞過(guò)或應(yīng)用。如果策略的輸出是丟棄，那么數(shù)據(jù)包就會(huì)被放棄；如果是應(yīng)用，但SA沒有建立，那就要看系統(tǒng)是否支持按需(on-demand)建立進(jìn)入SA，如果不支持包同樣會(huì)被丟棄。否則，就將包傳遞給下一層，作進(jìn)一步的處理。142主機(jī)系統(tǒng)進(jìn)入IPSec處理143IPsec–AutomaticKeyManagement

TheInternetKeyExchange(IKE)IKE是目前使用著的最通用的密鑰協(xié)商協(xié)議。

IKE允許兩個(gè)實(shí)體或者多個(gè)實(shí)體（也就是網(wǎng)絡(luò)主機(jī)或網(wǎng)關(guān)）通過(guò)一系列消息得到安全通信的會(huì)話密鑰，IKE交換為通信雙方的消息提供認(rèn)證和（或）加密，并且針對(duì)洪流、重播、欺騙等攻擊提供不同程度保護(hù)。

默認(rèn)的IPSEC密鑰協(xié)商方式IKE密鑰交換協(xié)議當(dāng)然，在IPSEC實(shí)施時(shí)也可以使用其它密鑰協(xié)商協(xié)議（如SKIP），但是IKE是所有IPSEC實(shí)施時(shí)都必須遵循的.

144TheInternetKeyExchange(IKE)IKE的核心就是實(shí)現(xiàn)密鑰信息的安全交換，建立安全的SA（包括IKESA和IPSECSA）。IKE通過(guò)兩個(gè)階段的ISAKMP完成通信雙方的密鑰交換.第一階段:交換模式是主模式或野蠻模式，結(jié)果建立了一個(gè)安全的IKESA；

第二階段:交換采用快速模式，結(jié)果建立一個(gè)安全的IPSECSA。ISAKMP提供了詳細(xì)的協(xié)議描述和包格式。145IPsec–AutomaticKeyManagement

TheInternetKeyExchange(IKE)NegotiatedParametersAuthenticationMechanism(secretorpublickey,certificates)EncryptionAlgorithm(mode,keylength,initializationvector)HashAlgorithmKeyvaluesandkeylifetimesSArenewalperiod146Exchange(IKE)–MainModeInternetKey主模式交換分為三個(gè)步驟，每個(gè)步驟由兩條消息組成，一共六條消息，最終建立了IKESA。模式協(xié)商交換；一次Diffie-Hellman交換和一次nonce交換；身份驗(yàn)證信息交換。其中身份驗(yàn)證信息的交換最為重要，驗(yàn)證方法包括：預(yù)共享密鑰認(rèn)證，數(shù)字簽名認(rèn)證和公共密鑰加密認(rèn)證三種方法。

147Exchange(IKE)–MainModeInternetKeyIKEusesUDPport500ResponderInitiatorIKE

HeaderDHKey

ExchangeNr43IKE

HeaderDHKey

ExchangeNiIKE

HeaderISAKMPSA

Proposal1IKE

HeaderISAKMPSA

Response25IKE

HeaderencryptedIDiCertiSigiencryptedIKE

Header6IDrCertrSigrIKEQuickMode–3messages148IKEMainModeusingPre-SharedKeysPre-sharedkey

●isworkedintoHash

●ispartoftheIKEsessionkey

ResponderInitiatorIKE

HeaderDHKey

ExchangeNr43IKE

HeaderDHKey

ExchangeNiIKE

HeaderISAKMPSA

Proposal1IKE

HeaderISAKMPSA

Response25IKE

HeaderencryptedIDiHashiencryptedIKE

Header6IDrHashr149IKEAggressiveModeusingPreSharedKeysUnencryptedIKEAggressiveModemessagescarryingcleartextIDscanbeeasilysniffedbyapassiveattacker.Pre-SharedKeyisworkedintoHashr,togetherwithotherknownparameters,sothatanoff-linecrackingattackbecomespossible.ResponderInitiator3HashiIKE

HeaderISAKMPSA

Proposal1DHKey

ExchangeNiIDiIKE

HeaderISAKMPSA

Response2DHKey

ExchangeNrIDrHashr150Man-in-the-MiddleAttackpossible

withIKEAggressiveModeandXAUTHVPNGatewayWLANAccessPointAttackerMan-in-the-MiddleWirelessLANUserVPNClientUsername:Password:bodoaznHu4UmXAUTHWithIKEAggressiveMode,use

One-TimePasswordscheme(e.g.SecureID).1GroupPassword2bodoaznHu4UmXAUTHGroupPassword151IKEPhase2–QuickMode

EstablishorRenewanIPsecSA第一階段建立了IKESA，便可以開始第二階段的協(xié)商了。第二階段只有一種模式，即快速模式?？焖倌Ｊ浇粨Q不一定要在第一階段后立刻進(jìn)行，只要目前存在已經(jīng)建立好的IKESA便可以了。另外在單獨(dú)一個(gè)IKESA的保護(hù)下甚至可以進(jìn)行多個(gè)快速模式交換?？焖倌Ｊ揭戎髂Ｊ胶?jiǎn)單，它由三條消息組成，可以簡(jiǎn)單地描述為“請(qǐng)求－響應(yīng)－驗(yàn)證”.152IKEPhase2–QuickMode

EstablishorRenewanIPsecSAEncryptedQuickModeMessageExchangeAllQuickModenegotiationsareencryptedwithasharedsecretkeyderivedfromaDiffie-Hellmannkey-exchangeplusadditionalparameters.NegotiationofIPsecParameters

Phase2QuickModeestablishesanIPsecSAusingthesecure

channelcreatedbythephase1IKESA.ThespecificconfigurationparametersfortheIPsecconnectionarenegotiated(AH,ESP,authentication/encryptionmethodsandparameters).QuickModecanbeusedrepeatedlytorenewIPSecSAsabouttoexpire.OptionalPerfectForwardSecrecyIfperfectforwardsecrecyisrequired,eachconsecutiveQuickModewilldoafreshDiffie-Hellmannkey-exchange.153Antje

BodoAntje

BodoPerfectForwardSecrecy(PFS)usingDHSession1:July10200209:00DataDataSession2:July11200210:00DataDataIfkeys1getscompromised,thenkeys2isstilltotallysecure!(assumingthata1,b1,a2andb2aretrulyrandom)154IPsecSA–ConfigurationExampleInternetHead

QuartersSubsidiaryIdefixVPNTunnelVPNTunnelAsterix

4Obelix

8VPNClient/16/1655.66.x.xMajestixTroubadix155IPsec–RelevantRFCsIKE

RFC2409ISAKMP

RFC2408Oakley

RFC2412IPsecDOI

RFC2407AH

RFC2402ESP

RFC2406ISAKMPInternetSecurityAssociation

andKeyManagementProtocolIKEInternetKeyExchangeDOIDomainofInterpretationAH

AuthenticationHeaderESP

EncapsulatingSecurityPayloadIPsec

RFC2401156MotivationforanewIKERFCIKEv1isspreadoverthreedocuments(RFCs2407,2408,and2409)Toomanymessages(6inMain/3-4inQuickMode)Toomanyvariants(AH/ESP,transport/tunnel,authenticationmodes)Toocomplex–thereforepotentiallyinsecure(BruceSchneier)CookiesnotrequiredwhennotunderDoSattackNewfeatures:NAT-T,QoS,DeadPeerDetection,etc.IKEv2Protocol<draft–ietf–ipsec–ikev2–17.txt>IPsecSAcanbeestablishedwith2request/responsepairsAdditionalChildSAsrequireonerequest/responsepair,eachIKEv2hasbeenapprovedaproposedstandardinSeptember2004IKEv2willnotbebackwardscompatiblewithIKEv1!!!

IKEv2七、VPN的基本概念

VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是近年來(lái)隨著Internet的廣泛應(yīng)用而迅速發(fā)展起來(lái)的一種新技術(shù)，實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)?！疤摂M”主要是指這種網(wǎng)絡(luò)是一種邏輯上的網(wǎng)絡(luò)。

1VPN的系統(tǒng)特性安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和模式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，盡管實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。

VPN的系統(tǒng)特性服務(wù)質(zhì)量保證

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證(QoS)。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。對(duì)于移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其他應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

VPN的系統(tǒng)特性可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

可管理性

從用戶角度和運(yùn)營(yíng)高角度方面應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫隙地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、使其具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

降低成本

VPN利用現(xiàn)有的Internet或其他公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全隧道，不需要專門的租用線路，如DDN和PSTN，這樣就節(jié)省了專門線路的租金。如果是采用遠(yuǎn)程撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，需要長(zhǎng)途話費(fèi)；而采用VPN技術(shù)，只需撥入當(dāng)?shù)氐腎SP就可以安全地接入內(nèi)部網(wǎng)絡(luò)，這樣也節(jié)省了線路話費(fèi)。VPN的原理與協(xié)議雖然VPN技術(shù)非常復(fù)雜，但目前實(shí)現(xiàn)VPN的幾種主要技術(shù)及相關(guān)協(xié)議都已經(jīng)非常成熟，并且都有廣泛應(yīng)用，尤其以L2TP、IPSec和

SSL協(xié)議應(yīng)用最廣，因此做為本節(jié)的主要內(nèi)容。

實(shí)現(xiàn)VPN的隧道技術(shù)

為了能夠有在公網(wǎng)中形成的企業(yè)專用的鏈路網(wǎng)絡(luò)，VPN采用了所謂的隧道(Tunneling)技術(shù)，模擬點(diǎn)到點(diǎn)連接技術(shù)，依靠ISP和其他的網(wǎng)絡(luò)服務(wù)提供商在公網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過(guò)隧道傳輸。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是將原始網(wǎng)絡(luò)信息進(jìn)行再次封裝，并在兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩?。它主要利用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這種功能，具體包括第二層隧道協(xié)議(用于傳輸二層網(wǎng)絡(luò)協(xié)議)和第三層隧道協(xié)議(用于傳輸三層網(wǎng)絡(luò)協(xié)議)。

第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，這種經(jīng)過(guò)兩層封裝的數(shù)據(jù)包由第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有以下幾種。(1)PPTP(RFC2637，Point-to-PointTunnelingProtocol)。(2)L2F(RFC2341，Layer2Forwarding)。(3)L2TP(RFC2661，LayerTwoTunnelingProtocol)。

第三層隧道協(xié)議是在網(wǎng)絡(luò)層進(jìn)行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有以下幾種：(1)IPSec(IPSecurity)是目前最常用地VPN解決方案。(2)GRE(RFC2784，GeneralRoutingEncapsulation)。

隧道技術(shù)包括了數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過(guò)程。封裝是構(gòu)建隧道的基本手段，它使得IP隧道實(shí)現(xiàn)了信息隱蔽和抽象。封裝器建立封裝報(bào)頭，并將其追加到純數(shù)據(jù)包的前面。當(dāng)封裝的數(shù)據(jù)包到達(dá)解包器時(shí)，封裝報(bào)頭被轉(zhuǎn)換回純報(bào)頭，數(shù)據(jù)包被傳送到目的地。

隧道的封裝具有以下特點(diǎn)。(1)源實(shí)體和目的實(shí)體不知道任何隧道的存在。(2)在隧道的兩個(gè)端點(diǎn)使用該過(guò)程，需要封裝器和解包器兩個(gè)新的實(shí)體。(3)封裝器和解包器必須相互知曉，但不必知道在它們之間的網(wǎng)絡(luò)上的任何細(xì)節(jié)。

169SecurityProtocolsfortheOSIStackApplicationlayerssh,S/MIME,PGP,httpdigestTransportlayerSSL,TLS,WTLSNetworklayerIPsecDataLinklayerCHAP,PPTP,L2TP,

WEP(WLAN),A5(GSM),BluetoothPhysicallayerFrequencyHopping,

QuantumCryptographyCommunicationlayersSecurityprotocolsPPTP協(xié)議

點(diǎn)對(duì)點(diǎn)隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)是常用的協(xié)議。這主要是因?yàn)槲④浀姆?wù)器操作系統(tǒng)占有很大的市場(chǎng)份額。PPTP是點(diǎn)對(duì)點(diǎn)協(xié)議(Point-to-PointProtocol，PPP)的擴(kuò)展，而PPP是為在串行線路上進(jìn)行撥入訪問而開發(fā)的。PPTP是在1996年被引入因特網(wǎng)工程任務(wù)組織(IntenetEngineeringTaskForce，IETF)的，它在WindowsNT4.0中就已完全實(shí)現(xiàn)了。PPTP將PPP幀封裝成IP數(shù)據(jù)報(bào)。以便在基于IP的互聯(lián)網(wǎng)上(如因特網(wǎng)，或一個(gè)專用的內(nèi)聯(lián)網(wǎng))傳輸。PPTP協(xié)議是一個(gè)為中小企業(yè)提供的VPN解決方案，但PPTP協(xié)議在實(shí)現(xiàn)上存在著重大安全隱患。有研究表明，其安全性甚至比PPP還弱，因此不用于需要一定安全保證的通信。如果條件允許，用戶最好選擇完全替代PPTP的下一代二層協(xié)議L2TP。

VirtualPrivateNetworksInternetHead

QuartersSubsidiary?RoadWarrior“VPNTunnelVPNTunnelVPNGateway

4VPNGateway

8VPNClient/16/1655.66.x.xExtranetVPNsInternetPartner

NetworkCustomerVPNTunnelVPNTunnelVPNClientCustomer

AccessPrivate

NetworkPartner

AccessVPNGatewayVPNGatewayNetworkaccessmustbepartitionedandtightlycontrolledFlexibleanddynamicsetupofExtranetVPNconnectionsExtranetVPNspansmultipleadministrativetrustdomainsIntranetVPNsInternetPrivateIntranetWireless

IntranetUserVPNTunnel

/0VPNGateway

/FirewallVPNClientIntranet

ServerWLANAccessPointDMZInterfaceWirelessVPNclientstunnel100%oftheirIPtrafficovertheinsecureairlinkusingthepeernetworksubnetmask/0.3.傳輸層安全協(xié)議簡(jiǎn)介SSLandTLSSSLwasoriginatedbyNetscapeTLSworkinggroupwasformedwithinIETFFirstversionofTLScanbeviewedasanSSLv3.1SSLArchitecture1)用戶和服務(wù)器的合法性認(rèn)證認(rèn)證用戶和服務(wù)器的合法性，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上?？蛻魴C(jī)和服務(wù)器都有各自的識(shí)別號(hào)，這些識(shí)別號(hào)由公開密鑰進(jìn)行編號(hào)，為了驗(yàn)證用戶是否合法，安全套接層協(xié)議要求在握手交換數(shù)據(jù)時(shí)進(jìn)行數(shù)字認(rèn)證，以此來(lái)確保用戶的合法性。

2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)安全套接層協(xié)議所采用的加密技術(shù)既有對(duì)稱密鑰技術(shù)，也有公開密鑰技術(shù)。在客戶機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換之前，交換SSL初始握手信息，在SSL握手信息中采用了各種加密技術(shù)對(duì)其加密，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且用數(shù)