IPSEC很好的解析课件

1第四章：IPSec-IKE4.1

什么是IKE?4.2

ISAKMP协议4.3

IKE第一阶段4.4

IKE第二阶段：建立IPSec

SAs24.1

什么是IKE?IKE（

Internet

Key

Exchange

，RFC2409）：因特网密钥交换协议是一个以受保护的方式动态协商SA的协议。IKE的功能：协商：通信参数，安全特性认证通信对端保护实体用安全的方法产生，交换，建立密钥管理，删除安全关联（SA）3IKE的组成和实现IKE是一个混合的协议，它的组成：Internet密钥交换协议（IKE，RFC2409）Internet安全关联密钥管理协议（ISAKMP，RFC2408）Oakley密钥确定协议（RFC2412）IPSec

Domain

of

Interpretation

，（IPSec

DOI，RFC2407）IKE分两个阶段实现：第一阶段为建立IKE本身使用的安全信道而相互交换SA（采用ISAKMP）——ISAKMP

SA（双向）第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA——IPSecSA（单向）4IKE

Network

PlacementDOIDefinitionSecurityProtocol(IPsec)ApplicationProtocolApplicationProcessIKESocket

Layer

ProtocolTransport

Protocols

(TCP/UDP)Internet

Protocol

(IP)Link

Layer

Protocol54.2

ISAKMP协议6Internet

Security

Association

and

KeyManagement

Protocol

(RFC

2407)提供密钥管理架构定义SA的建立、协商、修改、删除规程和分组格式独立于密钥交换协议、加密算法和认证方法下层由UDP协议承载，端口号为500。ISAKMP

payload

format7ISAKMP

headGeneric

Payload

HeaderData

AttributesTransform

PayloadProposal

PayloadSecurity

Association

PayloadKey

Exchange

PayloadIdentification

PayloadCertificate

PayloadCertificate

Request

PayloadHash

PayloadSignature

PayloadNonce

PayloadISAKMP头（HDR）通用载荷头数据属性

变换载荷

建议载荷安全关联载荷（SA）密钥交换载荷识别载荷证书载荷（CERT）证书请求载荷杂凑载荷

签名载荷

Nonce载荷ISAKMP

head2310

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1Initiate

cookieResponder

cookieNextPayloadMjVer

MnverExchange

typeFlagMessage

IDLength抗阻塞，通常采用HASH算法对地址、端口号及本地秘密信息计算得到。主版本、次版本以字节为单位，表示整个报文的长度（头＋载荷）由发起者生成的一个随机值，用于阶段2协商中标识协议状态指示后续的载荷是否是加密或认证？8ISAKMP Generic

Payload

Header每一个ISAKMP载荷由通用头开始，它定义了载荷的边界，所以可以连接不同的载荷。NextPayloadRESERVED1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1PayloadLength以字节为单位的载荷长度（包括通用载荷头）910Security

Association

Payload1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthDomain

of

Interpretation

(DOI)Situation32bits，用于指定协商DOI0——ISAKMP

DOI1——IPSECDOI用于协商SA所基于的解释域，DOI定义载荷格式、交换类型和用于命名的相关信息（密码算法，模式等）的约定。表明协商发生时的情形，即决定需要的安全服务的信息

SIT_IDENTITY_ONLY——0x01SIT_SECRECY

——0x02SIT_INTEGRITY

——0x0411Proposal

Payload1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthProposal

#Protocol

-

IDSPI

size#ofTransformSPI

(variable)包括SA协商中需要的信息1－ISAKMP协议2－AH协议3－ESP协议建议号，若有相同的建议号，则表示这两个建议是and关系，如果不同，则表示or关系12Transform

PayloadNextPayloadRESERVEDPayloadLengthTransform

#Transform

-

IDReservedSA

attribute1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1AH变换标识符:2－AH_MD53－AH_SHAESP变换标识符：1－带64比特IV的CBC-DES2－CBC-DES3－三重DES定义安全服务中的算法Key Exchange

Payload密钥交换载荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthKey

ExchangeDate以字节为单位，长度包括净荷头部变长域，用来生成密钥的数据，各密钥交换的DOI给出了这个域的格式和解释13Identification

Payload标识载荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthID

TypeProtocol

IDPORTIdentification

Date用于通信双方交换身份信息描述标识数据域中发现的身份信息1——表示数据域中是4字节的IPv4地址6——TCP17——UDP14Certificate

Payload证书载荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthCert

EncodingCertificate指示证书的种类和相关信息：类型PGP证书

X.509证书签名X.509密钥交换证书值245变长域，包含证书编码域中指定类型的真正的证书数据。15IKE的结构16安全关联（SA）安全关联数据库（SAD）安全参数索引（SPI）174.3

IKE第一阶段目的：建立ISAKMP

SA（安全通道）步骤（交换4-6个报文）协商安全参数Diffie-Hellman

交换认证实体交换模式：主模式（Main

Mode）：在IKE中必须配置主模式野蛮模式（

Aggressive

Mode）：用来简化规程和提高处理效率18Diffie

Hellman

AlgorithmAxBySetupp

:

prime.g

:

generator

of

Z*pprotocolshare

a

secret

value

Kgx

modpgy

modpK

=

(gy)x

modp=

(gx)y

modp19第一阶段属性认证方法预先共享密钥数字签名（DSS或RSA）公钥加密（RSA或EI-Gamal）群（group）描述（预先定义）群类型（协商）模指数群MODP（modular

exponentiationgroup）在有限域GF[2^N]上定义的椭圆曲线群EC2N

（elliptic

curve

group

over

GF[2^N]）IKE预定义群20MODP素数Prime:768-bit,1024-bit,1536-bit生成元Generator:2EC2NGF[2^155],GF[2^185]GF[2^163](2groups),GF[2^283](2groups)第一阶段属性（续）21加密算法密钥长度分组大小哈希算法生存时间（秒和/或千字节）主模式AliceBob参数协商22交换密钥发送ID认证

加密Message

1Message

2Message

3Message

4Message

5Message

6Crypto

suites

I

supportCrypto

suite

I

choosega

mod

pgb

mod

pgab

mod

p{“Alice”,Proof

I’m

Alice}gab

mod

p{“Bob”,Proof

I’m

Bob}野蛮模式AliceBobMessage

1Message

2Message

323ga

mod

p,

“Alice”,

crypto

proposalgb

mod

p,

crypto

choice,

proof

I’m

BobProof

I’mAlice2符号说明HDR：一个ISAKMP头，HDR*表明ISAKMP后面的载荷是加密的SA：带有一个或多个建议的安全关联载荷KE：密钥交换载荷IDX：标识载荷，X=i表示发起者，

X=r表示响应者HASH：杂凑载荷SIG：签名载荷CERT：证书载荷NX：X的nonce载荷，X为i（发起者）或r（响应者）〈P〉_b：载荷P的主体，就是没有通用头的载荷CKY-I（CKY-R）：ISAKMP头中的发起者（响应者）cookiei

rgX

或gX

：发起者或响应者的D-H公开值Prf（key，msg）：使用密钥key和输入信息msg的伪随机数函数，如HMAC。SKEYID：一个衍生自仅有通信双方知道的秘密密钥信息的密钥串。SKEYIDe:ISAKMP用来保护它的消息保密性的密钥信息SKEYIDa:ISAKMP用来认证它的消息的密钥信息SKEYIDd:用来在第二阶段协商中为非ISAKMP

SA生成密钥的密钥信息〈X〉y：表示用密钥y加密x。x|y：代表x与y相连接。[x]：表示X是可选的4251

20

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3435

6

7

8

9

0

1Initiate

cookieResponder

cookieNextPayloadMjVerMnverExchangetypeFlagMessage

IDLengthNext

PayloadRESERVEDPayloadLengthKey

Exchange

Date1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1KE载荷ISAKMP头格式（HDR)26主模式：用预共享密钥认证HDR

contains

CKY-I

|

CKY-R，是ISAKMP头标SA带有一个或多个建议的安全关联载荷。Ni/Nr是nonce值KE=g^i(Initiator)org^r(Responder)，是密钥交换载荷IDii/IDir是发起者/响应者的标识载荷HASH是杂凑载荷HDRSAKE27主模式：用预共享密钥认证

IDii/IDir是发起者R/|响2应)者的标识载荷HASH是杂凑载荷HDRSA发起者KE协商了CKY-I,CKY-R；SA带有一个响或应多者个建议载荷、变换载荷，确定了加密、认证算法等交换了g^i，g^r和Ni,Nr,生成密钥：

SKEYID=PRF(preshared

key,Ni|Nr)SKEYID_d

=PRF(SKEYID,gir|CKY-i|CKY-r|0)HDR

contains

CKSYK-EIY|IDCK_aY-=R，pr是f(ISSKAEKYMIDP,头S标KEYID_d|g^ir|CKY-I|CKY-SA带有一个或多个R建|议1)的安全关联载荷。Ni/Nr是nonce值KE=g^i(InitiatSoKr)EYoIrDg_^er

=(Rpersfp(SoKnEdYerI)D，,S是K密EY钥I交D_换a载|g荷^ir|CKY-I|CKY-28哈希值计算HASH_I:HMAC_H(SKEYID,

g^i

|

g^r

|

CKY-I|

CKY-R|

SA|IDii)HASH_R:HMAC_H(SKEYID,

g^r

|

g^i

|

CKY-R|

CKY-I|

SA|IDir)29主模式：用数字签名认证HDR

contains

CKY-I

|

CKY-RKE

=

g^i

(Initiator)

or

g^r

(Responder)SIG_I/SIG_R

=

digital

sig

of

HASH_I/HASH_RCERT是证书载荷30主模式：用公钥加密认证HDR

contains

CKY-I

|

CKY-R，HASH（l）是响应方证书的HASH值KE

=

g^i

(Initiator)

or

g^r

(Responder)这里nonce是通过加密传输的，因此可作为共享密钥，HASH值就可以直接用来认证对方的身份。用公钥加密认证中存在的问题31问题采用了四次公钥加/解密操作，耗费计算资源，与签名认证算法相比，多了两次加/解密修改方法采用修正的公钥加密认证Main

Mode:Authentication

with

Revised

Public

Key

EncryptionHDR

containsCKY-I|CKY-RKE

=

g^I(Initiator)

or

g^r

(Responder)

Ki

=

prf(Ni,CKY-I),

Kr

=

prf(Nr,CKY-R)3233密钥推导SKEYIDPre-shared

keysSKEYID=PRF(preshared

key,

Ni|Nr)SKEYID是从预共享密钥推导得到，并且总是与Ni/Nr有关，这样即使采用相同的预共享密钥，不同的Ni/Nr产生的SKEYID是不同的。Digital

signatures:SKEYID=PRF(Ni|Nr,

gir)Public

key

encryptionSKEYID=PRF(hash(Ni|Nr),

CKY-i|CKY-r)密钥推导（续）34SKEYID_d

(used

to

derive

keying

materialforIPsec

SA):SKEYID_d

=PRF(SKEYID,

gir|CKY-i|CKY-r|0)SKEYID_a

(auth

key

for

ISAKMP

SA):SKEYID_a

=PRF(SKEYID,

SKEYID_d|gir|CKY-i|CKY-r|1)SKEYID_e

(enc

key

for

ISAKMPSA):SKEYID_e

=PRF(SKEYID,

SKEYID_a|gir|CKY-i|CKY-r|2)IKE第一阶段小节认证根据预共享密钥和公钥密码机制抗中间人、伪装攻击DH密钥协商提供密钥的生成源gir，Ni/r，生成SKEYID，SKEYID_d，SKEYID_a，SKEYID_e35Why

all

these

secrets?36SKEYID_d

is

used

for

deriving

keying

datafor

IPSecSKEYID_a

is

used

for

integrity

anddatasource

authenticationSKEYID_e

is

used

to

encrypt

IKE

messages.Different

keys

must

be

used

for

securitypurposes.

Because

of

thehash

function

PRF,the

original

secret

SKEYID

cannotbecalculated

from

the

derived

secrets.4.4

IKE第二阶段37目的：建立IPsec

SA，一个第1阶段的SA可以用于建立多个第2阶段的SA。步骤（3-4报文交换）协商安全参数可选的Diffie-Hellman交换可选的一致性（Identity）交换快速模式（Quick

Mode）新群模式（New

Group

Mode）阶段2属性38群描述（for

PFS，perfect

forwardsecrecy）加密算法密钥长度Key

rounds认证算法生存时间（秒和/或千字节）加密模式（传输或隧道）快速模式INITIATORHDR*

|

HASH(1)

|

SA

|

Ni [

|

KE] [

|

IDi2

|

IDr2]1HDR*

|

HASH(3)3HDR*

|

HASH(2)|

SA

|

Nr

[

|

KE] [

|

IDi2

|

IDr2]239RESPONDERHDR

contains

CKY-I

|

CKY-RKE

(for

PFS)

=

g^I

(Initiator)

or

g^r

(Responder)HASH(1)

＝PRF

(SKEYID_a

| Message_ID

|

SA|Ni[|KE][|

IDi2

|IDr2])HASH(2)=PRF

(SKEYID_a| Message_ID

|

Ni

|

SA|Nr[|KE][|

IDi2|

IDr2])HASH(3)

=PRF

(SKEYID_a

| 0

|

Message_ID

|

Ni

|

Nr)密钥推导40KEYMAT

(no

PFS)=PRF(SKEYID_d,protocol

|

SPI

|

Ni

|

Nr)KEYMAT

(with