计算机安全技术7

第7讲安全协议

loIPSec协议

2oIPSec的安全性评价及其改进

3o密钥交换协议

.「1、IPSec协议

・1、IPSec体系结构

-2、IPSec协议框架

・3、AH协,议

•4、ESP协议

•5、IPSec传输模式

・6、IPSec隧道模式

•7、安全策略数据库(SPD)

・8、安全联盟数据库(SADB)

•9、数据包输出处理

•10、数据包输入处理

•11、包处理组件实现模型

1。1、IPSec体系结构

图IPSec安全体系结构

•1。2、IPSec协议框架(1)

综合了密码技术和协议安全机制，IPSec协议

的设计目标是在IPV4和IPV6环境中为网络层

流量提供灵活的安全服务。IPSec协议提供的

安全服务包括：访问控制、无连接完整性、数

据源鉴别、重传攻击保护、机密性、有限的流

量保密等。IPSec协议主要内容包括：

・协议框架一RFC2401；

・安全协议：AH协议一RFC2402、ESP协议一

RFC2406；

•1。2、IPSec协议框架(2)

・密钥管理协议：IKE-RFC2409、

ISAKMP—RFC2408、OAKLEY协议一

RFC2412o

・密码算法：HMAC-RFC2104/2404>CAST

-RFC2144、ESP加密算法一RFC2405/2451等。

・其他：解释域DOI—RFC2407、IPComp-

RFC2393、Roadmap-RFC2411o

Io2、IPSec协议框架（3）

IPSec协议文件框架图

r-----

lo3、AH协议

—r—认证的(ip头中可变字段除外)fIPv4

原IP头一屈买一TCP头数据传输模式

_____

下一负载头标(8)|净载荷长度(8)|保留(16)

安全参数索弓l(SPI)_______________________

序列号

认证数据(32比特的整数倍)

图AH的格式

1。5、IPSec传输模式

认证的（原IP头的可变字段除外）

IPv4

原IP头AHTCP头数据

AH传输模式

认证的

加密的

IPv4

原IP头ESP头部TCP头数据ESP尾部ESP认证数据

ESP传输模式

图IPSec传输模式下的AH、ESP数据封装格式

鬲

Lo6、IPSec隧道模式

VPN网关X经认证（加密）的数据VPN隧道VPN网关X

数据|B»-数据BAYXT数据.~|

BA数据一一；Y|XBA数据|/BA数据」：：,：,二!

<IP分组N(SPD)(SPD)主机B

新IP头信息-原IP头信息

（源地址Y、目的地址X）（源地址B、目的地址A）

原IP头TCP头数据原IP包

IPv4

新IP头AH原IP头TCP头数据

AH隧道模式

认证的（新IP头的可变字段除外）

------认证的--------

-加密的------►

IPv4

新IP头ESP头部原IP头TCP头数据ESP尾部ESP认证数据

ESP隧道模式

图IPSec隧道模式下的AH、ESP的数据封装格式

Ho7、安全策略数据库(SPD)

(1)

・SP是一个描述规则，定义了对什么样的

数据流实施什么样的安全处理，至于安

全处理需要的参数在SP指向的一个结构

SA中存储。

•SP描述：对本地子网和远程网关后的子

四间的Telnet通信流，实施ESP通道保护,

采用3DES加密算法和HMAC-SHA1验证

算法。

Ho7、安全策略数据库(SPD)

、(2)

•系统中的安全策略组成了SPD,每个记录

就是一条SP,定义类似上例中的描述规则,

一般分为应用IPSec处理、绕过、丢弃。

•从通信数据包中，可以提取关键信息填

充到一个称为“选择符”的结构中去，

包括目标IP、源IP、传输层协议、源和目

标端口等等。然后利用选择符去搜索

SPD,找到描述了该通信流的SP。

Io8、安全联盟数据库(SADB)

1'(1)

•SA(SecurityAssociation)是两个IPSec通信

实体之间经协商建立起来的一种共同协

定，它规定了通信双方使用哪种IPSec协

议保护数据安全、应用的算法标识、加

密和验证的密钥取值以及密钥的生存周

期等等安全属性值。

Io8、安全联盟数据库(SADB)

--(2)

•安全联盟常用参数

•加密及验证密钥。

密码算法在系统中的标识。

•序列号，32位的字段，在处理外出的数据包时，一个SA被应用一次,

它的序列号号字段就递增一，并被填充到数据包的IPSec头中，接收方

可以利用此字段进行抗重播攻击。

•抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机重复发出的

数据包进行检测。

•生存周期。规定了该SA的有效使用周期，可以按照建立至今的时间

或者处理的流量来计算。

•实施模式。即通道模式还是传输模式。

•IPSec隧道目的地址。

•安全参数索引(SPI)。参与唯一标识某SA。

►eIo.9、数据包输出处理

数据包被从网络设备发送出去之前，截取到

IP包，然后从中提取选择符信息，依据之搜索

SPD,产生如下可能结果：

•SP决定丢弃此包，于是直接丢弃，或者还可

以向源主机发送ICMP信息；

•SP决定通过此包，直接将数据包投放到网络设

备的发送队列；

•SP决定应用IPSec,此时SP要么指向一个SA,可

以根据它进行安全处理，要么需要的SA不存在,

则触发IKE模块协商建立SA,协商周期内数据

包进入等待队列等待协商完成，若协商超时，

也会丢弃该包。

Io10＞数据包输入处理

系统收到IP包后，判断如果是IPSec包，则从

头部取到＜dst_ip,protocol,SPI＞,搜索SADB。

•若找不到SA,丢弃包；

•若找到，根据其进行解封装，得到去通道

化后的原始IP包，再从原始IP包中提取选择符，

搜索到SPD中某一条目，检查收到包的安全处理

是否符合描述规则，不符合则丢弃包，符合则转

入系统IP协议栈进行后继处理。

Ioq11、包处理组件实现模型

ESPAHCrypotolib

2。IPSec的安全性评价及其

.、改进

•1、IPSecVPN的优势

•2、IPSec过于复杂

•3、IPSec协议存在的问题

•4、对IKE协议的改进

•5、IPSec与NAT的共处

■6、远程拨号接入

•7、支持组播

•8、对先加密后认证顺序的评价

•9、对IPSec的总体评价

2o1、IPSecVPN的优势(1)

VPN技术虽然种类众多，但IETF下的IPSec

工作组推出的IPSec协议是目前工业界IP

VPN标准，以IPSec协议构建虚拟专用网已成

为主流。

基于IPSec构建IPVPN是指利用实现IPsec协

议的安全网关(SecurityGateway)充当边界

路由器，完成安全的远程接入和在广域网上

内部网络的“虚拟”专线互联等。

2。1、IPSecVPN的优势(2)

­为数据的安全传输提供了身份鉴别、数据完

整性、机密性保证等措施，并且其提供的安

全功能与密钥管理系统松散耦合。

•端到端的IPSecVPN专线租费比PVC等物理

专线的租用费低很多。

•远程接入IPSecVPN接入成本比长途电话费

用低(只考虑本地拨号和VPN隧道占用费)。

2o2、IPSec过于复杂（1）

举例说明。比如在IPSec中，存在两种模式，两种

协议AH和ESP。若要对两台主机之间的数据包

进行认证，存在以下六种方案：

传送模式+AH；

隧道模式+AH；

传送模式+ESP（无加密）；

隧道模式+ESP（无加密）；

传送模式+ESP（加密）;

隧道模式+ESP（加密）；

2。2、IPSec过于复杂（2）建

议去掉传送模式

•去掉传送模式；

,去掉AH协议；

•在ESP中，数据源认证是必须的，而加密

功能是可选的；

•先加密后认证的顺序存在问题

2o2、IPSec过于复杂（3）建

1议去掉AH协议

•AH和ESP在功能上重叠

・AH的认证存在的问题

•隧道模式+ESP

-提供和AH几乎同样强度的认证

-通过压缩机制来节省带宽

-2o3、IPSec协议存在的问题

网络新技术不断涌现，对IPSec协议提出了

新的挑战；针对IPSec协议的各种不足，IETF

下的IPSec工作组正在酝酿IPSec协议的改进，

包括IKEV2。

国内外研究发现，IPSec协议大致存在下列

问题：

LIKE协议的安全性；

2.与现有网络机制的兼容性；

3.缺乏对远程拨号接入的支持；

4.不支持组播、多协议；

-2o4、对IKE协议的改进(1)

1.网络新技术不断涌现，对IPSec协议提出

了新的挑战；针对IPSec协议的各种不足，

IETF下的IPSec工作组正在酝酿对IPSec协议的

改进，即IKEV2。

2.J.Zhou在分析IKE协议基础上，提出

HASH」和HASH_R的计算公式存在安全隐患。

3.BruceSchneier等人认为IKE协议过于复杂

，某些细节描述不够清楚，与ISAKMP协议有

冲突。

--2o4、对IKE协议的改进(2)

4.J.M.Sierra等人提出利用新的协商模式-

发生器模式(GeneratorMode)实现IKESA的

快速更新。

5.RadiaPerlman等研究发现，IKE协议提

供的用户身份保密功能与采用的身份认证方

法直接相关，对激进模式进行适当的修改也

能提供身份保护。J.Zhou提出采用数字签名

认证方式的主模式可能导致发起方的身份信

息泄漏。

2。5、IPSec与NAT的共处(1)

网络地址转换一NAT技术通过修改IP包

内容实现包的正常传输；而IPSec协议通过采

用MAC技术保护IP包中数据完整性，因此

NAT与IPSec是一对矛盾。

IETF下的网络工作组提出了在隧道模式下

使用IPC-NAT(IPSecControlNAT)的解

决方案O

对于端到端的IPSec与NAT的共处，网络工

作组建议使用RSIP(RealmSpecificIP)协

议。

2o5、IPSec与NAT的共处(2)

♦BalajiSivasubramanian等提出适用于协作

IP网络的一种的端到端安全解决方案。

该方案的巧妙之处在于IPSec处理预先使

用NAT变换之后的数据(公共IP地址或

端口)，数据包经过NAT设备时，NAT

设备对它的修改正好与IPSec提供的数据

完整性保护相吻合。

♦IPSec工作组提出利用UDP协议封装

IPSec处理后的数据包，则NAT设备最多

需要涉及对UDP头的数据修改。

2。6、远程拨号接入

IPSec协议本身只提供IP层的安全服务，无

法在更高层实施更小颗粒的访问控制，这样

就有必要借鉴高层机制，帮助IPSec协议改进

对远程接入的支持。

安全远程接入解决方案大致有：

联合L2Tp协议

利用MobileIP协议；

♦:♦修改IKE协议一Xauth协议、Crack协

议、Hybrid鉴别协议；

PIC协议；

-2o7、支持组播(1)

IPSec协议文件虽然指出协议支持使用组

播(Multicast)地址，但实质上协议缺乏对组

播的完整支持。

将IPSec协议应用到组播环境中，迫切需

要解决的问题包括：

♦SA的唯一性问题；

。组机密性问题；

。单个源鉴别问题；

防重传攻击服务失效；

2o7、支持组播(2)

组播源鉴别：G_R方案基于数字签名技术和摘要技

术，将对多个消息单个源鉴别分解为对第一个消

息的签名和其他消息摘要的链式组合。CKWong等

人提出多个包的一次签名可等价转化为对每个包

的摘要的集中签名；为减少每个包的尺寸，可采

用树形链或星形链技术，安排每个包中携带的摘

要。C.Canetti等提出利用MAC技术实现组播

源鉴别：发送方拥有K个密钥，每个接收方只

与其共享£个密钥(ZXK),发送方发送每个

包时同时附带K个MAC值。

:二2。7、支持组播（3）

组播密钥管理方案

C.KWong等提出分级树组密钥方案，利

用密钥服务器（KS）负责产生所有密钥，并

按照虚拟的分级树组织每个成员存储的密钥。

A.Ballardie>H.Harney等人分别提出可扩

展的组播密钥分发协议（SMKD）和组密钥

管理协议（GKMP）,这两种协议的共同缺

点是缺乏针对组成员关系变化的密钥更新机

制，SMKD依赖特殊的组播体系（CBT）。

在lolus方案中，S.Mitra采用分级架构将组

播组细分为若干个独立的子组；组安全接口

（GSI）负责跨组通信的转换。

2o&对先加密后认证顺序的

评价

・IPSec中的加密和认证顺序；

・Horton定理：认证协议应当基于消息本

身的含义进行认证；

•如果出于效率考虑，应当认证解密密钥

2o9、对IPSec的总体评价

•优点

-安全性明显优于其它隧道协议

•缺点

-过于复杂

—存在安全漏洞

-安全性分析困难

•根本的解决方案：对IPSec进行修补不能解决根

本问题，必须彻底诙变制定IPSec的委员会模式

(committeeprocess)

3O互联网密钥交换

(InternetKeyExchange)

1、IKE功能

2、密钥交换包格式(ISAKMP)-

3、安全联盟的协商

4、密钥交换的两个阶段

5、Diffie-HeiIman密钥交换

6、交换流程

3。1、IKE功能

•用IPSec保护数据包，必须首先建立一个IPSec的安全

联盟，这个安全联盟可以手工建立，也可以动态由特定进

程来创建。这个特定的进程就是InternetKeyExchange,即

IKEoIKE的用途就是在IPSec通信双方之间通过协商建立

起共享安全参数及验证过的密钥，也就是建立安全联盟。

•IKE协议是Oakley和SKEME协议的混合，在由

ISAKMP规定的一个框架内运作，可以为多种需要安全服

务的协议进行策略磋商和密钥建立，比如

SNMPv3,OSPFv2,IPSec等。

3o2、密钥交换包格式(ISAKMP)--

-3o2、密钥交换包格式

(ISAKMP)-2

•安全联盟载荷，

•转码载荷表示协商时供对方选择的一组安全属性字段的取

值，比如算法，安全联盟的存活期，密钥长度等等。

•密钥交换载荷，表示了实施密钥交换必需的信息。散列载

荷，是一个散列函数的运算结果值。

•nonce载荷，是一串伪随机值，用以衍生加密材料。

•证书载荷，在身份验证时向对方提供证书。

■证书请求载荷。

3o3、安全联盟的协商

通信双方要建立共享的安全联盟，必须进行协商。

双方根据本方的实际安全需求，制定采用的算法，密钥刷新频

率，密钥的长度等等策略。发起方在发送的安全联盟载荷中，

根据策略的优先级顺序，将计划采用的安全参数的组合以提案

载荷和转码载荷的形式级联表示出来，响应方收到后，依据策

略选择最合适的一种，再构建应答的安全联盟，此时应答方只

包含了选中的一种安全参数组合。这样，一个共享的安全联盟

就可以获得了。

在协商的进程中，双方也通过计算得到共享的密钥。

3。4、密钥交换的两个阶段

1.阶段一交换(phase1exchange):在“阶段一”周期里，两个

IKE实体建立一个安全的，经验证的信道进行后续通信，要

建立这样的安全信道，双方会建立一对ISAKMP安全联盟。

阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来

实现，而这两种模式也仅用于阶段一中。

2.阶段二交换(phase2exchange):“阶段二"周期里，IKE实体

会在阶段一建立起来的安全信道中，为某种进程协商和产生

需要的密钥材料和安全参数，在VPN实现中，就是建立

IPSec安全联盟。快速模式交换可用来实现阶段二交换并且

仅用于此阶段中。

3o5、Diffie-Hellman密钥交换

D-H交换的安全性源于在有限域上计算离散对

数比计算指数更为困难。

DH交换的原理简述如下。

通信双方为Alice和Bob,双方均定好一个参数组，其中指定了运算中使用隹

质致P和底效g,Alice和Bob分别选择一个随机的私人数字a和b,然后两人分

别计算：

Alice:A=gttmodpBob:5=gdmodp

通过开放信道，两人交换A和B,然后再次进行乘幕运算，使用收到的数字作

底数，生成共享的一个公共值：

32modp=modp=dmodp

在交换运算过程中，只有私人数字a和b需要保密，其他数字A,B,g,p都不必保

抵交换双方生成共享密钥后，就可以用之来保护后续的通信，这样，原来不生

全的信道就变得安全了。

3o6、交换流程（1）

（阶段一身份保护模式）

IntiatorDirectionNote

(l)HDR;SA=>发起协商

(2)<=HDR;SA对SA达成一致

(3)HDR;KE;NONCE=>交换DH公开值

(4)<=HDR;KE;NONCE交换DH公开值

(5)HDR*;IDi;AUTHDATA=>发送验证身份数

据.加密传送

⑹<=HDR*；I