网络安全之IP安全

第2部分网络安全应用

第4章密钥分配和用户认证(rènzhèng)

第5章传输层安全

第6章无线网络安全

第7章电子邮件安全

第8章IP安全第一页，共九十页。第8章

IP安全(ānquán)第二页，共九十页。提纲(tígāng)IP安全概述IP安全策略认证报头封装安全载荷安全关联(guānlián)组合密钥管理密码组件第三页，共九十页。TCP/IPExample第四页，共九十页。IPv4Header第五页，共九十页。IPv6Header第六页，共九十页。IP通信(tōngxìn)面临多种威胁（1）窃听一般情况下IP通信是明文形式的，第三方可以很容易地窃听到IP数据(shùjù)包并提取出其中的应用层数据(shùjù)。（2）篡改攻击者可以在通信线路上非法窃取到IP数据包，修改其内容并重新计算校验和，数据包的接收方一般不可能察觉出来。第七页，共九十页。IP通信(tōngxìn)面临多种威胁（3）IP欺骗在一台机器上可以假冒另外一台机器向接收方发包。接收方无法判断收到的数据包是否真的来自该IP包中所声称的源IP地址。（4）重放攻击搜集特定的IP包，进行(jìnxíng)一定的处理，然后再一一重新发送，欺骗接收方主机。第八页，共九十页。一、IPSec概述(ɡàishù)IPSec（IPSecurity）是由IETF设计的端到端的确保IP层通信安全的机制。IPSec是可以在当前的互联网协议（IPv4/6）中增加的功能，通过增加额外的报头来实现。IPSec包括(bāokuò)三个应用领域：认证、保密、密钥管理。第九页，共九十页。IPSec的应用(yìngyòng)IPSec提供了在LAN、专用/公用WAN以及

Internet中安全通信的性能(xìngnéng)：通过互联网安全分支机构接入（IntranetVPN）通过互联网进行安全远程访问（AccessVPN）与合作者建立企业间联网和企业内联网接入（ExtranetVPN）第十页，共九十页。IPSec的应用(yìngyòng)第十一页，共九十页。IPSec的优点(yōudiǎn)当在LAN边界使用IPSec时，可以对所有

的通信流提供强安全性，且内部不会增加开销。IPSec位于传输层之下，对所有应用都是透明的，用户系统和服务器系统的软件不需要进行调整。不需要对一般终端用户进行安全机制培训(péixùn)。提供路由选择的安全性。（路由器广播、邻居广播、重定向报文来源、路由更新等的真实性）第十二页，共九十页。IPSec文档最重要的IPSec文档（1998年11月发布）:RFC2401:安全体系结构概述RFC2402:IP扩展(kuòzhǎn)的包认证描述（IPv4和IPv6）RFC2406:IP扩展的包加密描述（IPv4和IPv6）RFC2408:密钥管理性能规范IPv6必须支持这些特性，IPv4可选择地支持。第十三页，共九十页。IPSecDocumentOverview第十四页，共九十页。IPSec文档RFC内容2401IPSec体系结构2402AH（AuthenticationHeader）协议2403HMAC-MD5-96在AH和ESP中的应用2404HMAC-SHA-1-96在AH和ESP中的应用2405DES-CBC在ESP中的应用2406ESP（EncapsulatingSecurityPayload）协议2407IPSecDOI（解释域）2408ISAKMP协议2409IKE（InternetKeyExchange）协议2411NULL加密算法及在IPSec中的应用2411IPSec文档路线图2412OAKLEY协议第十五页，共九十页。IPSecurityArchitecturespecificationisquitecomplex,withgroups:ArchitectureRFC4301

SecurityArchitectureforInternetProtocolAuthenticationHeader(AH)RFC4302

IPAuthenticationHeaderEncapsulatingSecurityPayload(ESP)RFC4303IPEncapsulatingSecurityPayload(ESP)InternetKeyExchange(IKE)RFC4306InternetKeyExchange(IKEv2)ProtocolCryptographicalgorithmsOther第十六页，共九十页。IPSec服务(fúwù)IPSec提供两个通信协议：AH（认证头）,

ESP（封装安全有效载荷）AH：认证头,为IP通信提供数据源认证,保护通信免受篡改。ESP：封装安全有效载荷,为IP数据包提供完整性检查和加密。两种协议(xiéyì)都支持两种使用模式：传输模式，隧道模式。传输方式：为上层协议提供保护，保护IP分组的有效载荷。隧道方式：对整个IP分组提供保护，将整个原数据包当作有效载荷封装起来，外面附上新的IP报头。第十七页，共九十页。IPSec服务(fúwù)IPSec在IP层提供安全服务，使得系统

可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密(jiāmì)密钥。访问控制连接完整性数据源认证拒绝重放数据包保密性（加密）有限信息流保密性第十八页，共九十页。AH ESP(仅加密） ESP(加密+认证) 访问控制连接完整性数据源认证拒绝重放包保密性有限保密性IPSec服务(fúwù)第十九页，共九十页。AH的传输(chuánshū)模式第二十页，共九十页。AH的隧道(suìdào)模式第二十一页，共九十页。ESP的传输(chuánshū)模式：ESP的传输(chuánshū)模式第二十二页，共九十页。ESP的隧道(suìdào)模式第二十三页，共九十页。二、IP安全策略安全关联(guānlián)安全关联数据库安全策略数据库IP通信进程第二十四页，共九十页。二、IP安全策略IPSec操作的基础是应用(yìngyòng)于每个源地址到目的地址传输中IP包安全策略的概念。IPSec安全策略本质上由两个交互的数据库确定：安全关联数据库（SAD）安全策略数据库（SPD）第二十五页，共九十页。二、IP安全策略IKESPDIPSecSADSADSPDIPSecIKE密钥交换IKESA安全SA配对ESP保护数据IPSec体系结构第二十六页，共九十页。1、安全(ānquán)关联SA(SecurityAssociation)SA是IP认证和保密机制中最关键的概念。SA是两个应用IPsec实体（主机、路由器）间的一个单向逻辑连接，决定保护什么、如何保护以及(yǐjí)谁来保护通信数据。如果需要一个对等关系，即双向安全交换，则需要两个SA。SA是用于通信对等方之间对某些要素的一种协定，如IPSec协议、协议的操作模式（传输、隧道）、密码算法、密钥、密钥的生存期等。第二十七页，共九十页。1、安全(ānquán)关联SA(SecurityAssociation)SA由三个参数(cānshù)唯一确定：SecurityParametersIndex(SPI)：安全变量索引。分配给这个SA的一个位串并且只有本地有效。SPI在AH和ESP报头中出现，以使得接收系统选择SA并处理收到的报文。IP目的地址：目前，只允许单播地址；这是该SA的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。安全协议标识符：表明是AH还是ESP的SA。第二十八页，共九十页。在通信对等方之间协商而生成当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储(cúnchǔ)该SA参数SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换终止的SA将从SAD中删除SA的工作(gōngzuò)机制1、安全(ānquán)关联SA(SecurityAssociation)第二十九页，共九十页。2、安全(ānquán)关联数据库SADSA的结构(jiégòu)SAn……SA3SA2SA1SADSASA列表(lièbiǎo)第三十页，共九十页。安全参数索引(suǒyǐn)32位整数，唯一标识SA1－255被IANA保留将来使用0被保留用于本地实现SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十一页，共九十页。输出处理SA的目的IP地址(dìzhǐ)输入处理SA的源IP地址SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十二页，共九十页。AHESPSAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十三页，共九十页。32位整数，刚开始通常为0每次用SA来保护一个包时增1用于生成(shēnɡchénɡ)AH或ESP头中的序列号域在溢出之前，SA会重新进行协商SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十四页，共九十页。用于外出包处理标识序列号计数器的溢出(yìchū)时，一个SA是

否仍可以用来处理其余的包SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十五页，共九十页。用于判断一个(yīɡè)输入的AH或ESP数据包是否是一个重放包SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十六页，共九十页。AH认证密码算法(suànfǎ)和所需要的密钥SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十七页，共九十页。ESP认证(rènzhèng)密码算法和所需要的密钥SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十八页，共九十页。ESP加密算法，密钥，初始化向量(xiàngliàng)(IV)和

IV模式IV模式：ECB，CBC，CFB，OFBSAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第三十九页，共九十页。传输模式(móshì)隧道模式SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第四十页，共九十页。路径最大传输单元是可测量和可变化的它是IP数据报经过一个特定的从源主机到目的(mùdì)主机的网络路由而无需分段的IP数据包的最大长度SAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第四十一页，共九十页。包含一个时间间隔外加一个当该SA过期时是被替代还是终止采用软和硬的存活(cúnhuó)时间：软存活(cúnhuó)时间用于在

SA快到期之前通知内核，便于在硬存活时间到来之前内核能及时协商新的SASAn……SA3SA2SA1SA的结构(jiégòu)2、安全(ānquán)关联数据库SAD第四十二页，共九十页。3、安全策略数据库SPDIP信息流与SA关联的手段是通过

安全策略数据库SPD(SecurityPolicyDatabase)SP指定用于到达或源自特定主机/网络的数据流的策略SPD包含策略条目的有序列表通过使用一个或多个选择符来确定每个条目以下的选择符确定SPD入口：目的IP地址：可以是单地址或多地址源地址：单地址或多地址UserID:操作系统中的用户标识。数据敏感级别(jíbié)：传输层协议：IPSec协议（AH,ESP,AH/ESP)源/目的端口服务类型(TOS)第四十三页，共九十页。3、安全策略数据库SPD协议本地IP端口远程IP端口动作注释UDP1.2.3.101500*500通过IKEICMP1.2.3.101***通过错误信息*1.2.3.101*1.2.3.0/24*保护：ESP传输方式加密内部网传输TCP1.2.3.101*1.2.4.1080保护：ESP传输方式加密到服务器TCP1.2.3.101*1.2.4.10443通过TSL：避免双重加密*1.2.3.101*1.2.4.0/24*丢弃DMZ的其他内容*1.2.3.101***通过Internet一个(yīɡè)主机SPD例子第四十四页，共九十页。4、IP通信(tōngxìn)进程IPSec是在报文到报文的基础上执行的。当IPSec执行时，外向的IP包在传送前经过IPSec逻辑(luójí)处理，内向的IP包在接收后并且在发送内容到更高层之前经过IPSec逻辑处理。第四十五页，共九十页。4、IP通信(tōngxìn)进程查询SPD丢弃报文决定策略查询SAD处理(AH/ESP)网络密钥交换通过IP传输报文无匹配丢弃发现匹配保护无匹配发现匹配通过外向IP包第四十六页，共九十页。4、IP通信(tōngxìn)进程查询SPD报文类型处理(AH/ESP)丢弃报文将报文传输较高层无匹配IP发现匹配通过内向IP包IPSec查询SAD不通过第四十七页，共九十页。三、认证(rènzhèng)报头AH提供IP数据包的数据完整性和认证(rènzhèng)可抵御重放攻击第四十八页，共九十页。AH的传输(chuánshū)模式第四十九页，共九十页。AH的隧道(suìdào)模式第五十页，共九十页。窗口与回放(huífànɡ)攻击检测如果收到的包落在窗口中并且是新的，

其MAC被检查。如果该包已被认证，则对应的窗口项做标记。如果接收包已到窗口右边并且是新的，其MAC被检查。如果该包一被认证，窗口向前运动，让该包的顺序号成为窗口的右端，对应的项做标记。如果接收的包在窗口的左边，或认证失败(shībài)，该包被丢弃，并做审计事件记录。第五十一页，共九十页。四、封装安全(ānquán)载荷ESPESP可以(kěyǐ)提供机密性、数据源认证等功能，所提供的功能依赖于建立安全关联SA时的选择。第五十二页，共九十页。Transport

and

TunnelMode

Protocols第五十三页，共九十页。第五十四页，共九十页。ESP的传输(chuánshū)模式第五十五页，共九十页。ESP的隧道(suìdào)模式第五十六页，共九十页。第五十七页，共九十页。单个的SA能实现AH或者ESP协议，

但是不能同时实现这两者。然而有时，特定的流量需要由AH和ESP共同提供的服务；特定的流量需要主机间的IPSec服务和安全网关间的服务独立。那么同一个流量可能需要多个SA才能获得需要的IPSec服务。安全关联束（SAbundle）：指一系列SA，通过这些SA来处理特定流量以提供一组期望的IPSec服务。这些SA可以在不同节点(jiédiǎn)终止，也可在同一节点(jiédiǎn)终止。五、安全(ānquán)关联组合第五十八页，共九十页。五、安全(ānquán)关联组合安全关联可以通过两种方式(fāngshì)组合成安全关联束传输邻接：在没有隧道激活的情况下，对一个IP包使用多个安全协议。单层组合AH和ESP。隧道迭代：通过IP隧道应用多层安全协议，多层嵌套。两者可以结合使用：在主机之间使用传输邻接，在网关之间使用隧道迭代。第五十九页，共九十页。五、安全关联(guānlián)组合如何实现认证加保密带认证选项的ESP（传输模式或隧道模式），但认证作用于密文而不是明文上。传输邻接：内部是不带认证的ESP的SA，外部(wàibù)是AH的SA。内部和外部都使用传输模式。传输-隧道束：内部使用传输模式的AH，外部使用隧道模式的ESP，做到先认证再加密。第六十页，共九十页。五、安全(ānquán)关联组合安全(ānquán)关联的基本组合：IPSec体系结构文档列举了IPSec主机和安全网关必须支持的4个SA组合的例子。如下图所示：第六十一页，共九十页。第六十二页，共九十页。六、密钥交换(jiāohuàn)管理(IKE)6.1什么是IKE?6.2ISAKMP协议(xiéyì)6.3IKE第一阶段6.4IKE第二阶段：建立IPSecSAs第六十三页，共九十页。6.1什么(shénme)是IKE?IKE（InternetKeyExchange，RFC2409）

因特网密钥交换协议是一个以受保护的方式(fāngshì)

动态协商SA的协议。IKE的功能：协商：通信参数，安全特性认证通信对端保护实体用安全的方法产生，交换，建立密钥管理，删除安全关联（SA）第六十四页，共九十页。IKE的组成(zǔchénɡ)和实现IKE是一个混合的协议，它的组成：Internet密钥交换(jiāohuàn)协议（IKE，RFC2409）Internet安全关联和密钥交换协议（ISAKMP，RFC2408）Oakley密钥确定协议（RFC2412）IPSecDomainofInterpretation(IPSec解释域)，（IPSecDOI，RFC2407）IKE分两个阶段实现：第一阶段为建立IKE本身使用的安全信道而相互交换SA（采用ISAKMP）——ISAKMPSA（双向）第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA——IPSecSA（单向）第六十五页，共九十页。6.2ISAKMP协议(xiéyì)InternetSecurityAssociationandKeyManagementProtocol(RFC2407)提供密钥管理架构定义SA的建立、协商、修改、删除规程和分组格式独立于密钥交换协议、加密算法和认证(rènzhèng)方法下层由UDP协议承载，端口号为500。第六十六页，共九十页。ISAKMP载荷(zàihè)格式ISAKMPhead ISAKMP头（HDR）GenericPayloadHeader 通用载荷头DataAttributes 数据属性(shǔxìng)TransformPayload 变换载荷ProposalPayload 建议载荷SecurityAssociationPayload 安全关联载荷（SA）KeyExchangePayload 密钥交换载荷IdentificationPayload 识别载荷 CertificatePayload 证书载荷（CERT）CertificateRequestPayload 证书请求载荷HashPayload 杂凑载荷SignaturePayload 签名载荷NoncePayload Nonce载荷第六十七页，共九十页。ISAKMPhead12301234567890123456789012345678901InitiatecookieRespondercookieNextPayload

MjVerMnverExchangetypeFlagMessageIDLength抗阻塞，通常采用HASH算法对地址、端口号及本地秘密信息计算(jìsuàn)得到。主版本(bǎnběn)、次版本(bǎnběn)以字节为单位，表示整个报文的长度(chángdù)（头＋载荷）由发起者生成的一个随机值，用于阶段2协商中标识协议状态指示后续的载荷是否是加密或认证？第六十八页，共九十页。ISAKMP

通用(tōngyòng)载荷头每一个ISAKMP载荷由通用头开始(kāishǐ)，它定义了载荷的边界，所以可以连接不同的载荷。12301234567890123456789012345678901NextPayloadRESERVEDPayloadLength以字节(zìjié)为单位的载荷长度（包括通用载荷头）第六十九页，共九十页。6.3IKE第一阶段目的：建立ISAKMPSA（安全通道）步骤（交换4-6个报文）协商安全参数Diffie-Hellman交换认证实体交换模式：主模式（MainMode）：在

IKE中必须配置(pèizhì)主模式野蛮模式（AggressiveMode）：用来简化规程和提高处理效率第七十页，共九十页。主模式AliceBob参数(cānshù)协商交换(jiāohuàn)密钥发送(fāsònɡ)ID认证加密Message1Message2Message3Message4Message5Message6CryptosuitesIsupportCryptosuiteIchoosegamodpgbmodpgabmodp{“Alice”,ProofI’mAlice}gabmodp{“Bob”,ProofI’mBob}第七十一页，共九十页。野蛮(yěmán)模式AliceBobMessage1Message2Message3gamodp,“Alice”,cryptoproposalgbmodp,cryptochoice,proofI’mBobProofI’mAlice第七十二页，共九十页。第一阶段属性(shǔxìng)认证方法预先(yùxiān)共享密钥数字签名（DSS或RSA）公钥加密（RSA或EI-Gamal）群类型（密钥交换，协商）模指数群(1—768;2—1024;5--1536)基于2n的椭圆曲线群加密算法（DES;3DES;AES）哈希算法（MD5;SHA-1）生存时间（120~86400s）第七十三页，共九十页。符号(fúhào)说明HDR：一个ISAKMP头，HDR*表明ISAKMP后面的载荷是加密的SA：带有一个或多个建议的安全(ānquán)关联载荷KE：密钥交换载荷IDX：标识载荷，X=i表示发起者，X=r表示响应者HASH：杂凑载荷SIG：签名载荷CERT：证书载荷NX：X的nonce载荷，X为i（发起者）或r（响应者）〈P〉_b：载荷P的主体，就是没有通用头的载荷CKY-I（CKY-R）：ISAKMP头中的发起者（响应者）cookiegXi或gXr：发起者或响应者的D-H公开值Prf（key，msg）：使用密钥key和输入信息msg的伪随机数函数(hánshù)，如HMAC。SKEYID：一个衍生自仅有通信双方知道的秘密密钥信息的密钥串。SKEYIDe:ISAKMP用来保护它的消息保密性的密钥信息SKEYIDa:ISAKMP用来认证它的消息的密钥信息SKEYIDd:用来在第二阶段协商中为非ISAKMPSA生成密钥的密钥信息〈X〉y：表示用密钥y加密x。x|y：代表x与y相连接。[x]：表示X是可选的第七十四页，共九十页。主模式：用预共享密钥认证(rènzhèng)HDRcontainsCKY-I|CKY-R，是ISAKMP头标SA带有一个或多个建议(jiànyì)的安全关联载荷。Ni/Nr是nonce值KE=g^i(Initiator)org^r(Responder)，是密钥交换载荷IDii/IDir是发起者/响应者的标识载荷HASH是杂凑载荷HDRSAKE第七十五页，共九十页。主模式：用预共享密钥认证(rènzhèng)HDRcontainsCKY-I|CKY-R，是ISAKMP头标SA带有一个或多个建议的安全关联载荷。Ni/Nr是nonce值KE=g^i(Initiator)org^r(Responder)，是密钥交换载荷IDii/IDir是发起者/响应者的标识(biāozhì)载荷HASH是杂凑载荷HDRSA发起者响应者KE协商了CKY-I,CKY-R；SA带有一个或多个建议载荷、变换载荷，确定了加密、认证算法等交换了g^i，g^r和Ni,Nr,生成密钥：SKEYID=PRF(presharedkey,Ni|Nr)SKEYID_d=PRF(SKEYID,gir|CKY-i|CKY-r|0)SKEYID_a=prf(SKEYID,SKEYID_d|g^ir|CKY-I|CKY-R|1)SKEYID_e=prf(SKEYID,SKEYID_a|g^ir|CKY-I|CKY-R|2)第七十六页，共九十页。主模式：用数字签名认证(rènzhèng)HDRcontainsCKY-I|CKY-RKE=g^i(Initiator)org^r(Responder)SIG_I/SIG_R=digitalsigofHASH_I/HASH_RCERT是证书(zhèngshū)载荷第七十七页，共九十页。主模式：用公钥加密(jiāmì)认证HDRcontainsCKY-I|CKY-R，HASH（l）是响应方证书的HASH值KE=g^i(Initiator)org^r(Responder)这里(zhèlǐ)nonce是通过加密传输的，因此可作为共享密钥，HASH值就可以直接用来认证对方的身份。第七十八页，共九十页。用公钥加密认证(rènzhèng)中存在的问题问题采用了四次公钥加/解密操作，耗费计算资源，与签名认证(rènzhèng)算法相比，多了两次加/解密修改方法采用修正的公钥加密认证第七十九页，共九十页。MainMode:

采用(cǎiyòng)修正的公钥加密认证HDRcontainsCKY-I|CKY-RKE=g^I(Initiator)org^r(Responder)Ki=prf(Ni,CKY-I),Kr=prf(Nr,CKY-R)第八十页，共九十页。R1(config)#cryptoisakmppolicy10R1(config-isakmp)#encryptionaesR1(config-isakmp)#hashmd5R1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#group2R1(config-isakmp)#lifetime86400R1(config-isakmp)#exitR1(config)#cryptoisa