网络安全协议北京大学计算机系信息安全室

1

信息安全原理与应用第十一章网络安全协议本章由王昭主写2内容提要网络协议安全简介网络层安全传输层安全3TCP/IP协议栈

4Internet安全性途径网络层——IP安全性(IPsec)传输层——SSL/TLS应用层——S/MIME,PGP,PEM,SET,Kerberos,SHTTP,SSH5应用层安全应用层安全必须在终端主机上实施，优点以用户为背景执行，更容易访问用户凭据对用户想保护的数据具有完整的访问权应用可以自由扩展应用程序对数据有着充分的理解缺点针对每个应用须设计一套安全机制6传输层安全优点不会强制要求每个应用都在安全方面作出相应改进缺点由于要取得用户背景，通常假定只有一名用户使用系统，与应用级安全类似，只能在端系统实现应用程序仍需要修改，才能要求传输层提供安全服务7网络层安全优点密钥协商的开销被大大削减了需要改动的应用程序要少得多能很容易构建VPN缺点很难解决“抗抵赖”之类的问题8数据链路层最大的好处在于速度不易扩展在ATM上得到广泛应用9网络层安全

10传输层安全

11应用层安全12内容提要TCP/IP基础网络层安全传输层安全用户数据经过过协议栈的封封装过程IPv4数据报15IPv6分组16IPv6基本头17IP协议IP是TCP/IP协议族中至关关重要的组成成部分，但它提供的是是一种不可靠靠、无连接的的的数据报传传输服务。不可靠（unreliable)：不能保证一一个IP数据报成功地地到达其目的的地。无连接（connectionless)：IP并不维护关于于连续发送的的数据报的任任何状态信息息。18IPv4的缺陷缺乏对通信双双方身份真实实性的鉴别能能力缺乏对传输数数据的完整性性和机密性保保护的机制IP的分组和重组组机制不完善善由于IP地址可软件配配置，IP地址的表示不不需要真实并并确认真假，，以及基于源源IP地址的鉴别机机制，IP层存在：业务流被监听听和捕获、IP地址欺骗、信信息泄露和数数据项篡改等等攻击、IP碎片攻击，源源路由攻击，，IP包伪造，PingFlooding和PingofDeath等大量的攻击击19IPsec网络层安全性性需求：身份鉴鉴别、数据完完整性和保密密性好处：对于应应用层透明弥补IPv4在协议设计时时缺乏安全性性考虑的不足足20IPsec的历史1994年IETF专门成立IP安全协议工作组，来制定和推动一一套称为IPsec的IP安全协议标准准。1995年8月公布了一系系列关于IPSec的建议标准1996年，IETF公布下下一代代IP的标准准IPv6，把鉴鉴别和和加密密作为为必要要的特特征，，IPsec成为其其必要要的组组成部部分1999年底，，IETF安全工工作组组完成成了IPsec的扩展展，在在IPSec协议中中加上上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议，，密钥钥分配配协议议IKE、Oakley。ISAKMP/IKE/Oakley支持自自动建建立加加密、、鉴别别信道道，以以及密密钥的的自动动安全全分发发和更更新。。2005年底，，对IPsec所采用用和支支持的的算法法等特特性又又进行行了新新的修修订，，公布布了一一系列列新的的IPsec标准。。21IPsec的应用用方式式端到端端（end-end）：：主机到到主机机的安安全通通信端到路路由（（end-router））：主机到到路由由设备备之间间的安安全通通信路由到到路由由（router-router）：：路由设设备之之间的的安全全通信信，常常用于于在两两个网网络之之间建建立虚虚拟私私有网网（VPN）。IPsec的文档档IPsec包含三三个系系列的的文档档：第一系系列的的文档档重要要的有有1995年发布布的RFC1825、RFC1826、RFC1827、RFC1827、RFC1829。第二系系列的的文档档包括括1998年发布布的RFC2401~RFC2412，重要要的有有RFC2401、RFC2402、RFC2406和RFC2408。最新系系列的的文档档发布布于2005年，包包括RFC4301~RFC4309。22最新系系列IPsec文档的的组成成24IPsec的内容容协议部部分，，分为为AH:AuthenticationHeaderESP:EncapsulatingSecurityPayload密钥管管理(KeyManagement)SA(SecurityAssociation)IKEv2是目前前正式式确定定用于于IPsec的密钥钥交换换协议议25说明IPSec在IPv6中是强强制的的，在在IPv4中是可可选的的,这两种种情况况下都都是采采用在在主IP报头后后面接接续扩扩展报报头的的方法法实现现的。。AH(AuthenticationHeader)是鉴别别的扩扩展报报头ESPheader(EncapsulatingSecurityPayload)是实现现加密密和鉴鉴别(可选)的扩展展报头头26安全关关联SA(SecurityAssociation)SA是IP鉴别和和保密密机制制中最最关键键的概概念。。一个关关联就就是发发送与与接收收者之之间的的一个个单向向关系系，是与与给定定的一一个网网络连连接或或一组组网络络连接接相关关联的的安全全信息息参数数集合合如果需需要一一个对对等关关系，，即双双向安安全交交换，，则需需要两两个SA。每个SA通过三三个参参数来来标识识<spi,dst(src),protocol>安全参参数索索引SPI(SecurityParametersIndex)对方IP地址安全协协议标标识:AHorESP27SAD定义了了SA参数序号计计数器器：一一个64位值，，用于于生成成AH或ESP头中的的序号号字段段；计数器器溢出出位：：一个个标志志位表表明该该序数数计数数器是是否溢溢出，，如果果是，，将生生成一一个审审计事事件，，并禁禁止本本SA的的分分组继继续传传送。。抗重放放窗口口：用用于确确定一一个入入站的的AH或ESP包是否否是重重放AH信息：：鉴别别算法法、密密钥、、密钥钥生存存期以以及相相关参参数ESP信息：：加密密和鉴鉴别算算法、、密钥钥、初初始值值、密密钥生生存期期、以以及相关参数SA的生存存期：：一个个时间间间隔隔或字字节计计数，，到时时间后后，一个个SA必须用用一个个新的的SA替换或或终止止，并并指示示哪个个操作作发生生的指指示。。IPSec协议模模式：：隧道道、传输路径MTU：不经经分片片可传传送的的分组组最大大长度度和老老化变变量28AH(AuthenticationHeader)为IP包提供供数据据完整整性和和鉴别别功能能利用MAC码实现现鉴别别，双双方必必须共共享一一个密密钥鉴别算算法由由SA指定鉴别的的范围围：整整个包包两种鉴鉴别模模式：：传输模模式：：不改改变IP地址，，插入入一个个AH隧道模模式：：生成成一个个新的的IP头，，把把AH和原原来来的的整整个个IP包放放到到新新IP包的的净净荷荷数数据据中中IPsecAuthenticationHeader2930AH处理理过过程程(1)AH定位位在IP头之之后后，，在在上上层层协协议议数数据据之之前前鉴别别算算法法计算算ICV或者者MAC对于于发发出出去去的的包包(OutboundPacket)的处处理理，，构构造造AH查找找SA产生生序序列列号号计算算ICV(IntegrityCheckValue)内容容包包括括：：IP头中中部部分分域域、、AH自身身、、上上层层协协议议数数据据分片片31AH处理理过过程程(2)对于于接接收收到到的的包包(InboundPacket)的处处理理分片片装装配配查找找SA依据据：：目目标标IP地址址、、AH协议议、、SPI检查查序序列列号号(可选选，，针针对对重重放放攻攻击击)使用用一一个个滑滑动动窗窗口口来来检检查查序序列列号号的的重重放放ICV检查查ICV/MAC计算算MAC计算算所所有有变变化化的的字字段段填填0后后参参与与运运算算源和和目目的的地地址址都都是是受受保保护护的的，，可可防防地地址址欺欺骗骗ICV/MAC算法法RFC4305规定定必必须须实实现现的的完完整整性性算算法法是是HMAC-SHA1-96[RFC2404]，应应该该实实现现的的完完整整性性算算法法是是AES-XCBC-MAC-96[RFC3566]，可可以以实实现现HMAC-MD5-96[RFC2403]。HMAC-SHA1-96和HMAC-MD5-96都使使用用了了基基于于SHA-1或者者MD5的HMAC算法法，，计计算算全全部部HMAC值，，然然后后取取前前96位。。AES-XCBC-MAC-96算法是使使用1个1和多个0填充的基基本CBC-MAC的变体，，AES-XCBC-MAC-96的计算使使用128位密钥长长度的AES。3334AH两种模式式示意图图IPv435AH两种模式式示意图图IPv636ESP(EncapsulatingSecurityPayload)提供保密密功能，，包括报报文内容容的机密密性和有有限的通通信量的的机密性性，也可可以提供供鉴别服服务（可可选）将需要保保密的用用户数据据进行加加密后再再封装到到一个新新的IP包中，ESP只鉴别ESP头之后的的信息加密算法法和鉴别别算法由由SA指定也有两种种模式：：传输模模式和隧隧道模式式37IPsecESP格式ESP的算法和和实现要要求3839ESP的传输模模式40ESP隧道模式式41ESP处理过程程(1)ESP头定位加密算法法和鉴别别算法由由SA确定对于发出出去的包包(OutboundPacket)的处理查找SA加密封装必要要的数据据，放到到payloaddata域中不不同的模模式，封封装数据据的范围围不同增加必要要的padding数据加密操作作产生序列列号计算ICV，注意，，针对加加密后的的数据进进行计算算分片42ESP处理过程程(2)对于接收收到的包包(InboundPacket)的处理分片装配配查找SA依据：目目标IP地址、ESP协议、SPI检查序列列号(可选，针针对重放放攻击)使用一个个滑动窗窗口来检检查序列列号的重重放ICV检查解密根据SA中指定的的算法和和密钥、、参数，，对于被被加密部部分的数数据进行行解密去掉padding重构原始始的IP包43SA的组合（1）特定的的通信量量需要同同时调用用AH和ESP服务（2）特定的的通信量量需要主主机之间间和防火火墙之间间的服务务传输邻接接：同一一分组应应用多种种协议，，不形成成隧道循环嵌套套：通过过隧道实实现多级级安全协协议的应应用44鉴别与机机密性的的组合带有鉴别别选项的的ESP传输邻接接使用两个个捆绑的的传输SA，内部是是ESPSA（没有鉴鉴别选项项），外外部是AHSA传输隧道道束加密之前前进行鉴鉴别更可可取内部的AH传输SA+外部的ESP隧道SA45IPsec密钥管理包括密钥的确确定和分配。。两种方式：手工的自动的：Internet密钥交换IKE（非IPSec专用）作用：在IPsec通信双方之间间，建立起共共享安全参数数及验证过的的密钥（建立立“安全关联联”），IKE代表IPsec对SA进行协商，并并对SAD数据库进行填填充46IPsec小结IPsec在网络层上提提供安全服务务定义了两个协协议AH和ESPIKE提供了密钥交交换功能通过SA把两部分连接接起来已经发展成为为Internet标准一些困难IPsec太复杂协议复杂性，，导致很难达达到真正的安安全性管理和配置复复杂，使得安安全性下降实现上的兼容容性攻击：DOS，网络层之下下的协议、之之上的协议的的弱点还在进一步完完善47内容提要TCP/IP基础网络层安全传输层安全48传输层安全传输层介绍传输层的安全全性49传输层介绍传输层存在两两个协议，传传输控制协议议(TCP)和用户数据报报协议(UDP)TCP是一个面向连连接的协议UDP是一个非面向向连接的协议议50TCP数据包格式TCP包头TCP包头的标记区区建立和中断断一个基本的的TCP连接有三个标记来来完成这些过过程SYN：同步序列号号FIN：发送端没有有更多的数据据要传输的信信号ACK：识别数据包包中的确认信信息5152建立一个TCP连接53结束一个TCP连接用户数据报协协议(UDP)传输层协议，，为无确认的的数据报服务务，只是简单单地接收和传传输数据UDP比TCP传输数据快5455TCP和UDP的公认端口56传输层安全传输层介绍传输层的安全全性57传输层安全措措施依赖于应用(程序)对安全保密的的需求，以及及用户自己的的需要.必须的安全服服务:密钥管理机密性抗抵赖完整性/身份验证授权58SSL/TLS协议1994年Netscape开发了SSL(SecureSocketLayer)安全套接层协协议，专门用用于保护Web通讯在互联网上访访问某些网站站时也许你会会注意到在浏浏览器窗口的的下方会显示示一个锁的小小图标。这个个小锁表示什什么意思呢？？它表示该网网页被SSL/TLS保护着。SSL/TLS被设计用来使使用TCP提供一个可靠靠的端到端安安全服务。为为两个通讯个个体之间提供供保密性和完完整性(身份鉴别)版本和历史1.0，不成熟2.0，基本上解决决了Web通讯的安全问问题Microsoft公司发布了PCT(PrivateCommunicationTechnology)，并在IE中支持3.0，1996年发布，增加加了一些算法法，修改了一一些缺陷TLS1.0(TransportLayerSecurity传输层安全协协议,也被称为SSL3.1)，1997年IETF发布了Draft，同时，Microsoft宣布放弃PCT，与Netscape一起支持TLS1.01999年，发布RFC2246(TheTLSProtocolv1.0)2006年，发布了RFC4346（TheTLSProtocolv1.1）和RFC4366（TLSExtensions）以取代RFC2246。2008年8月发布了RFC5246（TheTLSProtocolv1.2）取代RFC3268、RFC4346和RFC4366。5960TLS体系结构61两个主要的协协议TLS记录协议建立在可靠的的传输协议(如TCP)之上它提供连接安安全性，有两两个特点保密性，使用用了对称加密密算法完整性，使用用HMAC算法用来封装高层层的协议TLS握手协议客户和服务器器之间相互鉴鉴别协商加密算法法和密钥它提供连接安安全性，有三三个特点身份鉴别，至至少对一方实实现鉴别，也也可以是双向向鉴别协商得到的共共享密钥是安安全的，中间间人不能够知知道协商过程是可可靠的62TLS的两个重要概概念TLS连接（connection））一个连接是一一个提供一种种合适类型服服务的传输（（OSI分层的定义））。TLS的连接是点对点的关关系。连接是暂时的的，每一个连连接和一个会会话关联。TLS会话（session）一个TLS会话是在客户户与服务器之之间的一个关关联。会话由由HandshakeProtocol创建。会话定定义了一组可可供多个连接接共享的密码码安全参数。。会话用以避免免为每一个连连接提供新的的安全参数所所需昂贵的协协商代价。63会话话状状态态有多多个个状状态态与与每每一一个个会会话话相相关关联联一旦旦一一个个会会话话建建立立，，就就存存在在一一个个读读或或写写的的当当前前状状态态在握握手手协协议议中中，，创创建建了了挂挂起起的的读读写写状状态态成功功的的握握手手协协议议，，将将挂挂起起状状态态转转变变为为当当前前状状态态64会话话状状态态参参数数连接接端端点点（（connectionend）：：一一个个连连接接中中的的客客户户端端或或者者服服务务器器端端。。PRF算法法：：用用于于从从主主密密钥钥推推导导密密钥钥的的算算法法。。总体体加加密密算算法法（（bulkencryptionalgorithm）：：用用于于加加密密的的算算法法，，须须说说明明算算法法的的密密钥钥长长度度、、是是分分组组还还是是流流密密码码，，分分组组密密码码的的分分组组大大小小。。MAC算法法：：用用于于消消息息鉴鉴别别的的算算法法，，须须说说明明MAC算法法输输出出的的消消息息鉴鉴别别码码的的长长度度。。压缩缩算算法法（（compressionalgorithm）：：用用于于数数据据压压缩缩的的算算法法。。主密密钥钥（（mastersecret）：：连连接接双双方方共共享享的的48字节节秘秘密密值值。。客户户端端随随机机数数（（clientrandom），，客客户户端端提提供供的的32字节节数数值值。。服务务器器端端随随机机数数（（serverrandom），服服务器器端提提供的的32字节数数值。。65安全参参数客户端端写MAC秘密值值（clientwriteMACkey）：一一个密密钥，，用来来对client发送的的数据据进行行MAC操作。。服务器器端写写MAC秘密值值（serverwriteMACkey）：一一个密密钥，，用来来对server发送的的数据据进行行MAC操作。。客户端端写密密钥（（clientwriteencryptionkey）：用用于client进行数数据加加密，，server进行数数据解解密的的对称称保密密密钥钥。服务器器端写写密钥钥（serverwriteencryptionkey）：用用于server进行数数据加加密，，client进行数数据解解密的的对称称保密密密钥钥。客户端端写初初始向向量（（clientwriteIV）。服务器器端写写初始始向量量（serverwriteIV）。66TLSRecordProtocol具体操操作67TLS记录协协议中中的操操作第一步步，fragmentation上层消消息的的数据据被分分片成成214(16384)字节大大小的的块，，或者者更小小第二步步，compression(可选)必须是是无损损压缩缩，如如果数数据增增加的的话，，则增增加部部分的的长度度不超超过1024字节68第三步步，MAC计算：：使用共共享的的密钥钥MAC_write_secretMAC(MAC_write_key，seq_num+TLSCompressed.type+TLSCompressed.version+TLSCompressed.length+TLSCompressed.fragment)；其中：：MAC_write_secret:共享的的保密密密钥钥seq_num:该消息息的序序列号号TLSCompressed.type:更高层层协议议用于于处理理本分分段TLSCompressed.length:压缩分分段的的长度度TLSCompressed.fragment:压缩的的分段段(无压缩缩时为为明文文段)可供选选择的的MAC算法有有HMAC-MD5、HMAC-SHA1、HMAC-SHA-256、HMAC-SHA-384和HMAC-SHA-512。69第四步步,加密,可供选选择的的加密密算法法：BlockCipherStreamCipher128位的流流密码码RC4和分组组密码码3DES_EDE、128位和256位密钥钥的AES。分组组密码码采用用CBC模式进进行计计算。。采用CBC，算法法由cipherspec指定说明：：如果果是流流密码码算法法，则则不需需要paddingTLS记录格格式内容类类型（（ContentType）：一一个8位字节节，封封装上上层协协议的的类型型。协议主主从版版本号号：两两个8位字节节，如如TLS的版本本号为为{3，3}压缩长长度：：16位，明明文段段的长长度。。70TLS的其他他协议议修改密密码规规范协协议警报协协议握手协协议71握手消消息的的处理理过程程72TLS握手协协议步步骤交换Hello消息，，商定定算法法，交交换