第三章 实验2 IPsec协议(课堂讲-全部)

1、安全协议综合设计实验安全协议综合设计实验实验二实验二 IPSec协议实验协议实验n理解理解IPSec（IP Security）协议在网络安全中）协议在网络安全中的作用。的作用。n理解理解IP层数据加密与数据源验证的原理。层数据加密与数据源验证的原理。n掌握实现掌握实现IPSec 的典型配置方法。的典型配置方法。n掌握掌握IPSec中中AH头和头和ESP头的格式头的格式n掌握掌握IPSec SA协商的过程协商的过程实验目的nPC个人计算机个人计算机n安装安装Windows xp 操作系统操作系统nIPSec服务模块服务模块n局域网（支持局域网（支持IPv4） 实验环境n启动启动IPsec Pol

2、icy Agent 服务服务n启动控制台启动控制台MMCn在在MMC中添加中添加IP安全策略管理和安全策略管理和IP安全监视器安全监视器n配置配置IPSec策略，包括策略，包括n规则、筛选器、筛选器动作规则、筛选器、筛选器动作n身份认证方法、隧道设置、连接类型身份认证方法、隧道设置、连接类型n进行数据加密传输验证进行数据加密传输验证n在在IP安全监视器中统计安全监视器中统计IPSec的通信数据，并的通信数据，并分析所生成的分析所生成的SA实验参考步骤一n协商一个只使用协商一个只使用AH认证的认证的IPSec SAn协商一个只使用协商一个只使用ESP认证的认证的IPSec SAn用网络嗅探软件分

3、析用网络嗅探软件分析AH头头n用网络嗅探软件分析用网络嗅探软件分析ESP头头n用网络嗅探软件分析用网络嗅探软件分析ISAKMP头以及后面的头以及后面的载荷头载荷头实验参考步骤二n阐述本实验中的阐述本实验中的IPsec的原理的原理n提交在主模式和快速模式所生成的提交在主模式和快速模式所生成的SAn对对IPSec通信的实验结果进行说明通信的实验结果进行说明n要显示协商出来的要显示协商出来的IPSec SA（AH）n要显示协商出来的要显示协商出来的IPSec SA（ESP）n显示在显示在AH头的内容头的内容n显示在显示在ESP头的内容头的内容n显示在显示在ISAKMP头的内容头的内容实验报告实验预备

4、知识问题的引入问题的引入nIP内容的安全性加密内容的安全性加密nIP源和目的地址的身份鉴别鉴别源和目的地址的身份鉴别鉴别n不同网络内部不同网络内部IP地址之间的通信隧道地址之间的通信隧道目目 录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式TCP/IP协议栈协议栈用户数据经过协议栈的封装过程用户数据经过协议栈的封装过程网络层安全网络层安全传输层安全传输层安全应用层安全应用层安全IPV4数据报数据报IPv4的缺陷的缺陷缺

5、乏对通信双方身份真实性的鉴别能力缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制缺乏对传输数据的完整性和机密性保护的机制由于由于IP地址可软件配置地址可软件配置以及以及基于源基于源IP地址的鉴别机制地址的鉴别机制，IP层存在业务流被监听和捕获、层存在业务流被监听和捕获、IP地址欺骗、信息泄露地址欺骗、信息泄露和数据项篡改等攻击和数据项篡改等攻击目目 录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换

6、模式IPSec两个通信协议：两个通信协议：AH , ESP两种操作模式：传输模式，隧道模式两种操作模式：传输模式，隧道模式一个密钥交换管理协议：一个密钥交换管理协议：IKE两个数据库：安全策略数据库两个数据库：安全策略数据库SPD，安全，安全关联数据库关联数据库SADIPSec的体系结构的体系结构IPSec的实现的实现目目 录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式AH为为IP包提供数据完整性和鉴别功能包提供数据

7、完整性和鉴别功能利用利用MAC码实现鉴别，双方必须共享一个密钥码实现鉴别，双方必须共享一个密钥鉴别算法由鉴别算法由SA指定指定 鉴别的范围：整个包鉴别的范围：整个包两种鉴别模式：两种鉴别模式： 传输模式：不改变传输模式：不改变IP地址，插入一个地址，插入一个AH 隧道模式：生成一个新的隧道模式：生成一个新的IP头，把头，把AH和原来的整个和原来的整个IP包放到新包放到新IP包的载荷数据中包的载荷数据中AH提供的服务包括提供的服务包括数据源认证数据源认证无连接的完整性无连接的完整性可选的抗重放服务可选的抗重放服务不提供保密性不提供保密性AH头格式头格式 AH头说明头说明 Next Header

8、8 比 特 ， 指 出比 特 ， 指 出 A H 后 的 下 一 载 荷 的 类 型后 的 下 一 载 荷 的 类 型(RFC1700)AH头说明头说明Payload Length 包含以包含以32比特为单位的比特为单位的AH的长度减的长度减 2AH头说明头说明SPI32bit用于和源用于和源/目的目的IP地址、地址、IPSec协议协议(ESP/AH)共同唯一标识一个共同唯一标识一个SA1255：保留：保留可用范围：从可用范围：从256232-1AH头说明头说明Sequence NumberSA建立时，发送方和接收方建立时，发送方和接收方SN初始化为初始化为0通信双方每使用一个特定的通信双方每

9、使用一个特定的SA发送一个数据报则将它们发送一个数据报则将它们增增1，用于抵抗重放攻击，用于抵抗重放攻击AH规范强制发送者必须发送规范强制发送者必须发送SN给接收者，而接收者可给接收者，而接收者可以选择不使用抗重放特性，这时它不理会该以选择不使用抗重放特性，这时它不理会该SN若接收者启用抗重放特性，则使用滑动接收窗口机制检若接收者启用抗重放特性，则使用滑动接收窗口机制检测重放包。具体的滑动窗口因测重放包。具体的滑动窗口因IPSec的实现而异的实现而异1232，不可以循环，满之前双方需重新协商，不可以循环，满之前双方需重新协商AH头说明头说明Authentication Data该变长域包含数据

10、报的认证数据，称为完整性校验值该变长域包含数据报的认证数据，称为完整性校验值(ICV)生成生成ICV的算法由的算法由SA指定，具体视指定，具体视IPSec的具体实现而定的具体实现而定为保证互操作性，为保证互操作性，AH强制所有的强制所有的IPSec必须实现两个必须实现两个MAC: HMAC-MD5, HMAC-SHA-1AH使用模式使用模式传输模式传输模式通道模式通道模式AH传输模式的特点传输模式的特点保护端到端通信保护端到端通信通信的终点必须是通信的终点必须是IPSec终点终点AH认证认证AH传输模式失效案例传输模式失效案例1NAT网关网关AH传输模式失效案例传输模式失效案例2代理网关代理网

11、关代理网关代理网关AH隧道模式的特点隧道模式的特点保护点到点通信保护点到点通信通信的终点必须是通信的终点必须是IPSec终点终点克服了传输模式的一些缺点克服了传输模式的一些缺点AH认证认证完整性校验值完整性校验值(ICV)的计算的计算ICV用于验证用于验证IP包的完整性包的完整性ICV采用采用MAC生成生成计算计算MAC时需要密钥，因此通信双方需要共享密钥，该时需要密钥，因此通信双方需要共享密钥，该密钥在密钥在SA 中定义，由通信双方协商生成中定义，由通信双方协商生成ICV的长度依赖于所使用的的长度依赖于所使用的MAC算法：算法： HMAC-MD5: 128位位 HMAC-SHA-1:160位

12、位AH输出输入处理流程输出输入处理流程目目 录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式ESP提供保密功能，包括报文内容的机密性和有限提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供鉴别服务（可的通信量的机密性，也可以提供鉴别服务（可选）选）将需要保密的用户数据进行加密后再封装到一将需要保密的用户数据进行加密后再封装到一个新的个新的IP包中，包中，ESP只鉴别只鉴别ESP头之后的信息头之后的信息

13、加密算法和鉴别算法由加密算法和鉴别算法由SA指定指定两种模式：传输模式和隧道模式两种模式：传输模式和隧道模式ESP提供的服务包括提供的服务包括数据保密性数据保密性有限的数据流保密性有限的数据流保密性数据源认证（认证是可选的）数据源认证（认证是可选的）无连接的完整性无连接的完整性抗重放服务抗重放服务初始化向量初始化向量(IV）加密和鉴别算法加密和鉴别算法加密算法加密算法 3DES、RC5、IDEA、3IDEA、CAST、Blowfish鉴别算法鉴别算法 ICV计算应支持计算应支持: HMAC-MD5-96、HMAC-SHA-1-96, 仅用仅用96位位ESP输出输入处理流输出输入处理流程程目目

14、录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式安全关联安全关联SA用于通信对等方之间对某些要素的一种协定，如：用于通信对等方之间对某些要素的一种协定，如：IPSec协议协议协议的操作模式：传输、隧道协议的操作模式：传输、隧道密码算法密码算法密钥密钥用于保护数据流的密钥的生存期用于保护数据流的密钥的生存期安全关联安全关联SA通过像通过像IKE这样的密钥管理协议在通信对等方之间协商这样的密钥管理协议在通信对等方之间协商而

15、生成而生成当一个当一个SA协商完成后，两个对等方都在其安全关联数据协商完成后，两个对等方都在其安全关联数据库库(SAD)中存储该中存储该SA参数参数SA具有一定的生存期，当过期时，要么中止该具有一定的生存期，当过期时，要么中止该SA，要，要么用新的么用新的SA替换替换终止的终止的SA将从将从SAD中删除中删除安全关联安全关联SASAnSA3SA2SA1安全关联安全关联SA安全参数索引安全参数索引32位整数，唯一标识位整数，唯一标识SA1255被被IANA保留将来使用保留将来使用0被保留用于本地实现被保留用于本地实现SAnSA3SA2SA1安全关联安全关联SA输出处理输出处理SA的目的的目的IP

16、地址地址输入处理输入处理SA的源的源IP地址地址SAnSA3SA2SA1安全关联安全关联SAAHESPSAnSA3SA2SA1安全关联安全关联SA32位整数，刚开始通常为位整数，刚开始通常为0每次用每次用SA来保护一个包时增来保护一个包时增1用于生成用于生成AH或或ESP头中的序列号域头中的序列号域在溢出之前，在溢出之前，SA会重新进行协商会重新进行协商SAnSA3SA2SA1安全关联安全关联SA用于外出包处理用于外出包处理标识序列号计数器的溢出时，一个标识序列号计数器的溢出时，一个SA是否仍是否仍 可以用来处理其余的包可以用来处理其余的包SAnSA3SA2SA1安全关联安全关联SA使用一个使

17、用一个32位计数器和位图确定一个输入的位计数器和位图确定一个输入的 AH或或ESP数据包是否是一个重放包数据包是否是一个重放包SAnSA3SA2SA1安全关联安全关联SAAH认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1安全关联安全关联SAESP认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1安全关联安全关联SAESP加密算法，密钥，初始化向量加密算法，密钥，初始化向量(IV)和和IV模式模式IV模式：模式：ECB，CBC，CFB，OFBSAnSA3SA2SA1安全关联安全关联SA传输模式传输模式隧道模式隧道模式通配模式：暗示可用于传输

18、隧道模式通配模式：暗示可用于传输隧道模式SAnSA3SA2SA1安全关联安全关联SA路径最大传输单元路径最大传输单元是可测量和可变化的是可测量和可变化的它是它是IP数据报经过一个特定的从源主机到数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的目的主机的网络路由而无需分段的IP数据数据 包的最大长度包的最大长度SAnSA3SA2SA1安全关联安全关联SA包含一个时间间隔包含一个时间间隔外加一个当该外加一个当该SA过期时是被替代还是终止过期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在采用软和硬的存活时间：软存活时间用于在 SA会到期之前通知内核，便于在硬存活时间会到期之前

19、通知内核，便于在硬存活时间 到来之前内核能及时协商新的到来之前内核能及时协商新的SASAnSA3SA2SA1安全策略安全策略SPSP：指定用于到达或源自特定主机：指定用于到达或源自特定主机/网络的数网络的数据流的策略据流的策略SPD：包含策略条目的有序列表：包含策略条目的有序列表通过使用一个或多个选择符来确定每个条目通过使用一个或多个选择符来确定每个条目安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地址地址范围，地址加子网掩码地址地址范围，地址加子网掩

20、码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地址地址范围，地址加子网掩码地址地址范围，地址加子网掩码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符指定传输协议（只要传输协议指定传输协议（只要传输协议 能访问）能访问）许多情况下，只要使用了许多情况下，只要使用了ESP, 传输协议便无法访问，此时需传输协议便无法访问，此时需 使用通配符使用通配符SRnSR3SR2SR1安全策略安

21、全策略SP选择符选择符完整的完整的DNS名名或或e-mail地址地址SRnSR3SR2SR1安全策略安全策略SP选择符选择符完整的完整的DNS用户名用户名如如或或X.500 DNSRnSR3SR2SR1安全策略安全策略SP选择符选择符应用端口应用端口如无法访问，则使用通配符如无法访问，则使用通配符SRnSR3SR2SR1安全策略安全策略SP采取的动作采取的动作DiscardBypass IPSecApply IPSecSRnSR3SR2SR1安全策略安全策略SP包括：包括：指向一个指向一个SA或或SA集的指针集的指针应用的应用的IPSec协议协议运用的密码算法运用的密码算法生成生成ICV的算法

22、的算法SRnSR3SR2SR1SPDSAD输入数据报处理输入数据报处理SPDSAD输出数据报处理输出数据报处理目目 录录1.TCP/IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式 ISAKMP定义协商、建立、修改和删除定义协商、建立、修改和删除SA的过程和包的过程和包格式格式 (RFC2408) ISAKMP被设计为与密钥交换协议无关的协议，即不被设计为与密钥交换协议无关的协议，即不受任何具体的密钥交换协议、密码算法、密钥生成技术受

23、任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制或认证机制 通信双方通过通信双方通过ISAKMP向对方提供自己支持的功能从向对方提供自己支持的功能从而协商共同的安全属性而协商共同的安全属性 ISAKMP消息可通过消息可通过TCP和和UDP传输：传输：Port 500主题主题 ISAKMP头格式头格式 ISAKMP载荷格式载荷格式 ISAKMP协商阶段协商阶段 ISAKMP交换类型交换类型ISAKMP头格式头格式ISAKMP头格式头格式- Initiator cookie 8bit串，由串，由ISAKMP交换的发起者生成交换的发起者生成会话过程中保持不变，用于验证会话过程中保持不变，用于

24、验证生成的方法可不同，建议采用生成的方法可不同，建议采用MD5、SHA-1或或其它支持的杂凑函数利用通信方源地址、目的地其它支持的杂凑函数利用通信方源地址、目的地址、址、UDP/TCP源端口、目的端口、生成时间等源端口、目的端口、生成时间等生成生成 必须保证唯一必须保证唯一ISAKMP头格式头格式- Next payloadISAKMP头格式头格式- Exchange typeISAKMP头格式头格式- Flag 使用使用8bit中的低中的低3位位 1加密比特加密比特 2提交比特提交比特 3仅认证比特仅认证比特ISAKMP载荷格式载荷格式SA数据属性数据属性ESP加密算法加密算法ISAKMP载

25、荷类型载荷类型通用载荷通用载荷安全关联载荷安全关联载荷建议载荷建议载荷变换载荷变换载荷密钥交换载荷密钥交换载荷标识载荷标识载荷证书载荷证书载荷证书请求载荷证书请求载荷杂凑载荷杂凑载荷签名载荷签名载荷nonce载荷载荷通知载荷通知载荷删除载荷删除载荷厂商厂商ID载荷载荷 交换阶段交换阶段交换模式交换模式生成密钥信息生成密钥信息 Oakley群群模式配置模式配置混合认证混合认证IKEIKE是一个混合协议，使用到三个不同协议的相关部分：是一个混合协议，使用到三个不同协议的相关部分： ISAKMP Oakley密钥确定协议密钥确定协议 SKEMEIKE实际定义了一个密钥交换，而实际定义了一个密钥交换，

26、而ISAKMP仅仅提供了一仅仅提供了一个可由任意密钥交换协议使用的通用密钥交换框架个可由任意密钥交换协议使用的通用密钥交换框架阶段阶段1协商协商ISAKMP通信双方建立一个通信双方建立一个ISAKMP SA，即用，即用于保护双方后面的协商通信的一个协定于保护双方后面的协商通信的一个协定然后用这个然后用这个ISAKMP SA为保护其它协议为保护其它协议(如如AH和和ESP)建立建立SA的协商的协商阶段阶段2协商协商用于为其它安全服务，如用于为其它安全服务，如AH和和ESP建立建立SA一个阶段一个阶段1的的SA可用于建立多个阶段可用于建立多个阶段2的的SA主模式主模式野蛮模式野蛮模式快速模式快速模

27、式新群模式新群模式主模式主模式用于协商阶段用于协商阶段1的的SA这种交换模式被设计成将密钥交换信息与身份、这种交换模式被设计成将密钥交换信息与身份、认证信息相隔离，便于保护什么信息认证信息相隔离，便于保护什么信息主模式主模式1发起者发送一个封装有建议载荷的发起者发送一个封装有建议载荷的SA载荷，而建议载荷载荷，而建议载荷重又封装有变换载荷重又封装有变换载荷2响应者发送一个响应者发送一个SA载荷，表明接受协商的载荷，表明接受协商的SA的建议的建议3、4发起者和接受者交换发起者和接受者交换D-H公开值和各种辅助数据，公开值和各种辅助数据，如如nonce。Nonce是计算共享密钥（用来生成加密密钥是

28、计算共享密钥（用来生成加密密钥和认证密钥）所必须的和认证密钥）所必须的5、6双方交换标识数据并认证双方交换标识数据并认证D-H交换。这两个消息中交换。这两个消息中传递的信息是加密的，用于加密的密钥由消息传递的信息是加密的，用于加密的密钥由消息34中交中交换的密钥信息生成，所以身份信息受到保护换的密钥信息生成，所以身份信息受到保护野蛮模式野蛮模式在不需要保护身份信息时，用于协商阶段在不需要保护身份信息时，用于协商阶段1的的SA这种交换模式允许同时传送与这种交换模式允许同时传送与SA、密钥交换和认、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减证相关的载荷。将这些载荷组合到一条消息中减少了

29、消息的往返次数少了消息的往返次数野蛮模式野蛮模式1发起者发送一个封装有单个建议载荷的发起者发送一个封装有单个建议载荷的SA载荷，而建议载荷，而建议载荷重又封装有变换载荷。在野蛮模式中，只提供带有一载荷重又封装有变换载荷。在野蛮模式中，只提供带有一个变换的建议载荷，响应者可以选择接受或拒绝该建议。个变换的建议载荷，响应者可以选择接受或拒绝该建议。D-H公开值、需要的随机数和身份信息也在其中发送公开值、需要的随机数和身份信息也在其中发送2响应者发送一个响应者发送一个SA载荷，其中封装有一个包含发起者的载荷，其中封装有一个包含发起者的建议和推荐的变换的建议载荷。建议和推荐的变换的建议载荷。 D-H公

30、开值、需要的随公开值、需要的随机数和身份信息也在其中发送机数和身份信息也在其中发送3发送者发送应用一致同意的认证函数生成的结果发送者发送应用一致同意的认证函数生成的结果快速模式快速模式用于协商阶段用于协商阶段2的的SA，协商受到阶段，协商受到阶段1协商好的协商好的ISAKMP SA的保护的保护这种交换模式下交换的载荷都是加密的这种交换模式下交换的载荷都是加密的新群新群(new group)模式模式用于为用于为D-H密钥交换协商一个新的群密钥交换协商一个新的群这种交换模式受到阶段这种交换模式受到阶段1协商好的协商好的ISAKMP SA的保护的保护IPSec和和IKE小结小结IPSec在网络层上提

31、供安全服务：定义了两个协议在网络层上提供安全服务：定义了两个协议AH和和ESPIKE提供了密钥交换功能提供了密钥交换功能：利用利用ISAKMP提供的提供的框架、以及框架、以及Oakley和和SKEME的密钥交换协议的的密钥交换协议的优点优点通过通过SA把两部分连接起来把两部分连接起来已经发展成为已经发展成为Internet标准标准IPSec和和IKE小结小结IPSec太复杂太复杂 协议复杂性，导致很难达到真正的安全性协议复杂性，导致很难达到真正的安全性 管理和配置复杂，使得安全性下降管理和配置复杂，使得安全性下降实现上的兼容性实现上的兼容性攻击：攻击：DOS，网络层之下的协议、之上的协议的弱点

32、，网络层之下的协议、之上的协议的弱点还在进一步完善还在进一步完善IPSec 配置和管理配置和管理WinXP IPSEC 配置配置见见使用使用IPsec保证网络的安全保证网络的安全性性和和在在WindowsXP上配置上配置IPsecWin2K IPSEC 配置配置启用启用IPSEC策略策略 n在Win 2000的计算机中，点击“开始”“运行”，输入“MMC”，按确定；出现Windows的管理控制台界面，按“CTRL+M”键，在出现的对话框中点“添加”，在“添加独立的管理单元”对话框中，选中“IP安全策略管理”，点添加(如图)；在“选择计算机”对话框中，选择“本地计算机”，表示管理现在正在使用的计

33、算机，依次用鼠标按“完成”、“关闭”、“确定”按钮。n用鼠标点击“IP安全策略，在本地机器”，在右边的窗口中有三种预定的策略：1)安全服务器(必须安全性)：如果采用这条策略，表示与这台计算机进行通信的计算机必须采用IPSEC安全策略，如果对方计算机没有采用安全策略，将不能与本机进行通信；2)服务器(请求安全设置)：如果采用这条策略，表示这台计算机与其他计算机进行通信时，首先要求进行安全通信，如果对方计算机不支持安全通信，这台计算机也可以与对方计算机进行通信，但这一通信是不可靠的；3)客户机(只用于响应)：如果采用这种策略，只有当对方计算机要求进行安全通信时，本机才会应用IPSEC安全策略，如果对方计算机没有要求，则采用正常方法进行通信，这一策略是最不安全的设置。建议设置建议设置n如果网络中所有的计算机都运行Win 2000，则将