李凤华--计算机安全与保密技术--第七章

单,A,击此母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络安全,第,七,讲,IPSec,与,VPN,本讲内容,7.1,IP Security,示意图,7.2,IPSec,7.3,IPSec,& VPN,实现实例,7.4,IP,、,VPN,密码机设计原理,7.1,IP Security,示意图,7.2,IPSec,网络层安全性,需求：真实性(认证)、完整性和机密性,优点：对于应用层透明可以针对链路、最终用户,弥补,IPv4,在协议设计时缺乏安全性考虑的不足,IPSec,是,IETF,定义的一组安全,IP,协议集,目前已有一系列的,RFC,和,Internet Draft,在,IP,包这一级为,IP,通信业务提供保护,在,IPv4,中是一项可选支持的服务，在,IPv6,中是一项必须支持的服务,7.2.1,IPSec,的应用,通过,Internet,建立分支机构,通过,Internet,远程访问企业内部网络,合作伙伴之间通过,Internet,建立信任关系,也可用于电子商务应用,IPSec,最常见的应用,VPN,借助(参考),IPSec,更换密码算法,实现,Internet,密码通信,7.2.2,IPSec,的内容,协议部分,AH: Authentication Header,ESP: Encapsulating Security Payload,密钥管理(,Key Management),SA(Security Association),ISAKMP,定义了密钥管理框架,IKE,是目前正式确定用于,IPSec,的密钥交换协议,7.2.3,SA(Security Association),基本概念,SA,是发送者和接收者两个,IPSec,系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组网络连接相关联的安全信息参数(应用,IPSec,协议否、协议操作模式、密码算法、密钥及其生存期等)集合,因为,SA,是单方向的，所以对于一个双向通信，需要两个,SA,SA,与,IPSec,系统中实现的两个数据库相关,安全策略数据库(,SPD),安全关联数据库(,SAD),每个,SA,通过三个参数来标识,SPI(Security Parameters Index),目标地址,IP,安全协议标识,7.2.4,SPD & SAD,SPD,对于通过的流量有三种策略可供选择：,discard、 bypass,Ipsec,、apply,Ipsec,管理界面,条目的粒度不必很细，因为作用在,IP,包上,SAD，,通常用到以下一些域,Sequence Number Counter,Sequence Counter Overflow,Anti-Replay Window,AH Authentication algorithm, keys, etc,ESP Encryption algorithm, keys, IV mode, IV, etc,ESP authentication algorithm, keys, etc,Lifetime of this Security Association,IPsec,protocol mode,Path MTU,7.2.5,AH(Authentication Header),为,IP,包提供数据完整性和认证功能,利用,MAC,码实现认证，双方必须共享一个密钥,认证算法由,SA,指定,认证的范围：整个包,两种认证模式,传输模式：不改变,IP,地址，插入一个,AH,隧道模式：生成一个新的,IP,头，把,AH,和原来的整个,IP,包放到新,IP,包的载荷数据中,AH,两种模式示意图(,IPv4),传输模式,隧道模式,AH,两种模式示意图(,IPv6),传输模式,隧道模式,IPSec,Authentication Header,Next Header:,下一个头的类型(,RFC1700,中包含已分配的,IP,协议头值信息),Payload Length：AH,的长度(32位字为单位,总认证头长度-2),SPI：,用来标识,SA ,1-255,被,IANA,留用,0保留,255 - 2,32,-1可用,Sequence Number：,用来避免重放攻击,Authentication Data：,可变长度的域，包含针对这个包的,ICV(,完整性校验值)或者,MAC,AH,处理过程(1),AH,定位,在,IP,头之后，在上层协议数据之前,认证算法,计算,ICV,或者,MAC,对于发出去的包(,Outbound Packet,),的处理，构造,AH,查找,SA,产生序列号,计算,ICV(,Integrity Check Value,),内容包括：,IP,头中部分域、,AH,自身、上层协议数据,分片,AH,处理过程(2),对于接收到的包(,In,bound Packet,),的处理,分片装配,查找,SA,依据：目标,IP,地址、,AH,协议、,SPI,检查序列号(可选，针对重放攻击),使用一个滑动窗口来检查序列号的重放,ICV,检查,7.2.6,ESP(Encapsulating Security Payload),提供加密功能，也可以提供认证服务,将需要加密的用户数据进行加密后再封装在一个新的,IP,包中，,ESP,只认证,ESP,头之后的信息,加密算法和认证算法由,SA,指定,有两种模式：传输模式和隧道模式,ESP,两种模式示意图(,IPv4),传输模式,隧道模式,ESP,两种模式示意图(,IPv6),传输模式,隧道模式,ESP,两种模式示意图,Orig,IP,Hdr,ESP,hdr,TCP,Data,ESP,trlr,ESP auth,ESP,hdr,ESP auth,ESP,trlr,Data,TCP,Orig,IP,hdr,New IP,Hdr,经认证的数据,经加密的数据,(2) 隧道模式,经认证的数据,经加密的数据,(1) 传输模式,IPSec,ESP,格式,0 8 16 24 32,Security Parameters Index (SPI),Sequence Number,Payload Data (variable),Authentication Data (variable),Padding (0-255 bytes),Pad Length Next Header,加密范围,认证范围,ESP,处理过程(1),ESP,头定位,加密算法和认证算法由,SA,确定,对于发出去的包(,Outbound Packet,),的处理,查找,SA,加密,封装必要的数据，放到,payload data,域中不同的模式，封装数据的范围不同,增加必要的,padding,数据,加密操作,产生序列号,计算,ICV(,注意，针对加密后的数据进行计算),分片,ESP,处理过程(2),对于接收到的包(,Inbound Packet,),的处理,分片装配,查找,SA,依据：目标,IP,地址、,ESP,协议、,SPI,检查序列号(可选，针对重放攻击),使用一个滑动窗口来检查序列号的重放,ICV,检查,解密,根据,SA,中指定的算法和密钥、参数，对于被加密部分的数据进行解密,去掉,padding,重构原始的,IP,包,7.2.7,AH,和,ESP,的典型组合,这里,upper,指上层协议数据,IP1,指原来的,IP,头,IP2,指封装之后的,IP,头,Transport Tunnel,- -,1. IP1AHupper 4. IP2AHIP1upper,2. IP1ESPupper 5. IP2ESPIP1upper,3. IP1AHESPupper,7.2.8,IPSec,实现,实现形式,与,IP,协议栈紧密集成,要求有,IP,协议栈的源代码,既适用于主机模式，也适用于安全网关,(,BITS) Bump-in-the-stack,位于,IP,协议栈和网络驱动程序之间,通常适用于主机模式,BITW (Bump-in-the-wire),如果是在单独的主机上，类似于,BITS,情形,如果是,BITW,设备，通常是可,IP,寻址的,7.2.9,IPSec,密钥管理,ISAKMP: Internet Security Association and Key Management Protocol(Internet,安全关联密钥管理协议),RFC 2408,是一个针对认证和密钥交换的框架,IKE: The Internet Key Exchange,基于,ISAKMP,框架,结合了,Oakley,和,SKEME,的部分密钥交换技术,7.2.10,ISAKMP,基本的需求,商定,SA,确定身份，密钥交换,与协议、算法、厂商都无关,框架结构,针对身份认证和密钥交换的协商过程,定义了基本的消息结构,定义了各种消息类型和,payload,结构,提供了几种缺省的密钥交换模型,ISAKMP,消息结构,ISAKMP,头部结构,ISAKMP,的,payload,结构,各种,payload,Type,Parameters,Security Association(SA),DOI, Situation,Proposal(P),Proposal #, Protocol-ID, ,Transform(T),Transform #, SA Attributes,Key Exchange(KE),Key Exchange Data,Identification(ID),ID type, ID date,Certificate(CERT),Cert Encoding, Certificate data,Certificate Request(CR),#,Cert types,Cert,auths, ,Hash(HASH),Hash Data,Signature(SIG),Signature Data,Nonce(NONCE),Nonce Data,Notification(N),DOI, Protocol-ID, ,Delete(D),DOI, Protocol-ID, ,ISAKMP,载荷格式(1),安全关联载荷：协商,SA,建议载荷：包括,SA,协商中需要的信息，用于告知接收者它优先选择的安全协议及,SA,采用的相关安全机制,变换载荷：发起方在建立,SA,的协商中为一个指定协议提供不同的安全机制,密钥交换载荷：为任何常用的密钥交换协议传输密钥交换数据,标识载荷：允许通信双方交换身份信息,证书载荷：允许通信双方使用,ISAKMP,协议交换证书及其相关信息,证书请求载荷：使得,ISAKMP,通信双方可以通过,ISAKMP,请求证书,ISAKMP,载荷格式(2),杂凑载荷：包含在,SA,协商过程中选定杂凑函数生成的数据,签名载荷：含有为,SA,协商的数据签名函数生成的数据，用于验证,ISAKMP,消息的完整性并可用于非否认服务,none,载荷：包含用来保护交接的数据免受重放攻击的随机数,通知载荷：用于传送通知数据,删除载荷：通知对方某个特定,IPSec,协议(,ISAKMP、AH、ESP),指定的,SA,已经被从它的,SAD,中删除,厂商,ID,载荷：用来传递厂商定义的常数,两阶段协商(,Two phases of negotiation),The first phase,建立起,ISAKMP SA,双方(例如,ISAKMP Servers),商定如何保护以后的通信,此,SA,将用于保护后面的,protocol SA,的协商过程,The second phase,建立起针对其他安全协议的,SA(,比如，,IPSec,SA),这个阶段可以建立多个,SA,此,SA,将被相应的安全协议用于保护数据或者消息的交换,两阶段协商的好处,对于简单的情况，两阶段协商带来了更多的通信开销,但是，它有以下一些优点,第一阶段的开销可以分摊到多个第二阶段中所以，这允许多个,SA,建立在同样的,ISAKMP SA,基础上,第一阶段商定的安全服务可以为第二阶段提供安全特性,例如，第一阶段的,ISAKMP SA,提供的加密功能可以为第二阶段提供身份认证特性，从而使得第二阶段的交换更为简单,两阶段分开，提供管理上的便利,回顾：,Diffie,-,Hellman,密钥交换,允许两个用户可以安全地交换一个秘密信息，用于后续的通信过程,算法的安全性依赖于计算离散对数的难度,算法,双方选择素数,q,以及,q,的一个原根,r,A,选择,Xq,计算,XA=,r,X,mod,p,A,B: XA,B,选择,Y R: SAR - I: SAI - R: KE; NONCER - I: KE; NONCEI - R: ID,I,; AUTH,(,加密传输),R - I: ID,R,; AUTH,(,加密传输),前两条消息商定策略,接下来两条消息交换密钥资料,最后两条消息认证,Diffie,-,Hellman,Exchange,用于,phase 1,IKE,中的密钥交换,Aggressive Mode(,野蛮模式),是,ISAKMP,的,Aggressive Exchange,的一个实例,I - R: SA; KE; NONCE; ID,I,R - I: SA; KE; NONCE; ID,R,; AUTHI - R: AUTH (,加密传输),前两条消息商定策略，交换,Diffie,-,Hellman,公开的值，以及必要的辅助资料，个人标识,第二条消息认证应答者,第三条消息认证发起者,用于,phase 1,IKE Phase 1,中的认证方案,IKE Phase 1 Authenticated With Signatures,Phase 1 Authenticated With Public Key Encryption,Phase 1 Authenticated With a Pre-Shared Key,IKE,中的密钥交换,Quick Mode(,快速模式),在,ISAKMP,中没有对应的交换类型,I - R: SA; NONCE; ID,I, ID,R, KE; HASH(1)R - I: SA; NONCE; ID,I, ID,R, KE; HASH(2)I - R: HASH(3),以上消息都是加密传输,如果,PFS,不需要的话，则可以不传,KE,只用于第二阶段,IKE,中的密钥交换,New Group Mode(,新群模式),在,ISAKMP,中没有对应的交换类型,I - R: SA; HASH(1)R - I: SA; HASH(2),以上消息都是加密传输,用于第一阶段之后,7.2.12,IPSec,和,IKE,小结,IPSec,在网络层上提供安全服务,定义了两个协议,AH,和,ESP,IKE,提供了密钥交换功能,利用,ISAKMP,提供的框架、以及,Oakley,和,SKEME,的密钥交换协议的优点,通过,SA,把两部分连接起来,已经发展成为,Internet,标准,一些困难,IPSec,太复杂,协议复杂性，导致很难达到真正的安全性,管理和配置复杂，使得安全性下降,实现上的兼容性,攻击：,DoS,，,网络层之下的协议、之上的协议的弱点,还在进一步完善,7.2.13,IPSec,实现,一些网络设备厂商,比如,CISCO,等,各种操作系统,例如,Linux、,各种,UNIX,版本,IPv6,实现,一些,VPN,软件包,7.2.14,Windows2000,和,XP,下的,IPSec,文章,http:/online.,securityfocus,.com/,infocus,/1519,http:/online.,securityfocus,.com/,infocus,/1526,http:/online.,securityfocus,.com/,infocus,/1528,实现特点,与,IETF,兼容,支持,Kerberos,、,基于证书的认证、基于共享密钥的认证,一些不受,IPSec,保护的流量：广播包、组播包、,RSVP,包、,IKE,包、,Kerberos,包,与,L2TP,结合起来提供安全的,VPN,远程访问,不能与,NAT,协同工作,仍然面临一些攻击：,DoS,，,其他层上协议的攻击,对比,FreeBSD,的实现：,http:/www.,freebsd,.org/doc/en_US.ISO8859-1/books/handbook/,ipsec,.html,7.2.15,Windows2000,和,XP,下的,IPSec,管理工具,IPSec,Security Policies snap-in for the MMC (,secpol,.,msc,),IPSecmon,.exe,7.3,IPSec,& VPN,实现实例,实例,Linux,FreeSWAN,：,http:/www.,freeswan,.org/,中文网站,http:/,linuxipsecvpn,.,cosoft,.org.,cn,/,7.4,IP,、,VPN,密码机设计原理,7.4.1,IP,包是基础,网络协议的相关性,Frame,结构的实质,头结构:头结构的信息决定,frame,在网络中的流向,Data,域可若干二次封装:二次封装决定了,frame,的自由度,7.4.2,IP,密码机设计原理,IP,包头可认证，但不能加密,Data,域可加密、可认证,基本密钥在线更换、密码机在线监控,分组算法的高速硬件实现,分组算法会话密钥的交换与认证,IP,包高速转发机制,双以太网模块,7.4.3,VPN,密码机设计原理,IPSec,协议的全面实现,AH、ESP,认证、加密算法设计与实现,VPN,密码机认证与算法选择,基本密钥在线更换、密码机在线监控,会话密钥的交换与认证,IP,包高速转发机制,双以太模块,分组算法、,Hash,函数的高速实现,7.4.4 “三层交换”密码机设计原理（小结）,网络协议的相关性,数据封装成帧的含义与可修改性(可多次封装),IPSec,协议,密码机认证与算法选择,算法高速硬件实现,IP,包高速转发机制,密钥交换与认证,基本密钥在线更换、密码机在线监控,参考资料,书,IPSec,：VPN,的安全实施，,Carlton R. Davis,著，周永彬等译，清华大学出版社，2002.1,William Stallings, Cryptography and network security: principles and practice, Second Edition,计算机通信网络安全，冯登国，清华大学出版社，2001,David Chappell, Understanding Microsoft Windows 2000 Distributed Services,中文版(清华大学出版社，潘爱民译), 2001,参考资料,文章,Bel90. S. M.,Bellovin,and M. Merritt, Limitations of the,Kerberos,Authentication System,Computer Communications Review,20,(5), pp. 119-132 (October 1990).,John T. Kohl, B. Clifford,Neuman, Theodore Y. Tso, “The Evolution of the,Kerberos,Authentication Service”, Proceedings of the Spring 1991,EurOpen,Conference,B. Clifford,Neuman,and Theodore Tso, “,Kerberos,: An Authentication Service for Computer Networks”, IEEE Communications Magazine, Volume 32, Number 9, pages 33-38, September 1994.,David,Chappel, “Exploring,Kerberos, the Protocol for distributed security in Windows 2000”, Microsoft systems Journal, Aug. 1999,Web,站点,RSA,公司，,http:/www.,rsasecurity,.com/,http:/www.,freeswan,.org/,http:/www.,linuxipsecvpn,.,cosoft,.org.,cn,/,IPSec,文档,1.,IP Authentication using Keyed MD5 (RFC 1828) (9800 bytes),2.,The ESP DES-CBC Transform (RFC 1829) (19291 bytes),3.,HMAC: Keyed-Hashing for Message Authentication,(RFC 2104) (22297 bytes),4.,HMAC-MD5 IP Authentication with Replay Prevention,(RFC 2085) (13399 bytes),5.,Security Architecture for the Internet Protocol,(RFC 2401) (168162 bytes),6.,The NULL Encryption Algorithm and Its Use With,Ipsec,(RFC 2410) (11239 bytes),7.,IP Security Document Roadmap (RFC 2411) (22796 bytes),8.,IP Authentication Header (RFC 2402) (52831 bytes),9.,The OAKLEY Key Determination Protocol,(RFC 2412) (118649 bytes),10.,The ESP CBC-Mode Cipher Algorithms,(RFC 2451) (26400 bytes),11.,The Use of HMAC-MD5-96 within ESP and AH,(RFC 2403) (13578 bytes),12.,The Use of HMAC-SHA-1-96 within ESP and AH,(RFC 2404) (13089 bytes),13.,The ESP DES-CBC Cipher Algorithm With Explicit,IV (RFC 2405) (20208 bytes),14.,IP Encapsulating Security Payload (ESP),(RFC 2406) (54202 bytes),15.,The Internet IP Security Domain of Interpretation for,ISAKMP (RFC 2407) (67878 bytes),16.,Internet Security Association and Key Management,Protocol (ISAKMP) (RFC 2408) (209194 bytes),17.,The Internet Key Exchange (IKE),(RFC 2409) (94949 bytes),18.,The Use of HMAC-RIPEMD-160-96 within ESP and,AH (RFC 2857) (13544 bytes),19.,IP Encapsulating Security Payload (ESP),(RFC 1827) (30278 bytes),20.,IP Authentication Header (RFC 1826) (30475 bytes),21.,Security Architecture for the Internet Protocol,(RFC 1825) (56772 bytes),