第4章 网络层安全通信协议

第四章

网络层安全通信协议内容提要IPsec概述AH协议ESP协议IKE协议IPsec问题IPsec概述产生背景发展概述设计目标协议特点系统架构实现模式工作模式安全关联安全策略IPsec是什么？为了弥补TCP/IP协议的安全缺陷，为IP层及其以上层协议提供保护而设计的，由IETF工作组于1998年制定的一组基于密码学的安全的开放网络安全协议，成为IPsec安全体系结构，IPsecurity。“Internet协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec

工作组开发的标准。

IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在WindowsXP和WindowsServer2003家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet以及漫游客户端之间的通信。

IPSec有两个目标：

保护IP数据包的内容。

通过数据包筛选及受信任通讯的实施来防御网络攻击。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。

IPSec基于端对端的安全模式，在源IP和目标IP地址之间建立信任和安全性。考虑认为IP地址本身没有必要具有标识，但IP地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持IPSec。该模式允许为下列企业方案成功部署IPSec：

局域网(LAN)：客户端/服务器和对等网络

广域网(WAN)：路由器到路由器和网关到网关

远程访问：拨号客户机和从专用网络访问Internet

通常，两端都需要IPSec配置（称为IPSec策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec

工作组开发的业界标准。IPSec相关服务部分是由Microsoft与CiscoSystems,Inc.共同开发的。

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHeader（AH）、封装安全载荷协议EncapsulatingSecurityPayload（ESP）、密钥管理协议InternetKeyExchange（IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

IPSec的安全特性主要有：

不可否认性“不可否认性”可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但“不可否认性”不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。反重播性“反重播”确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。·数据完整性防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

·数据可靠性（加密）在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

·认证数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。

IPsec产生背景以IPv4为代表的TCP/IP协议没有考虑安全性问题，主要存在的安全隐患有：IP协议没有为通信提供良好的数据源认证机制。而是采用基于IP地址的身份认证机制。IP地址伪造就可以冒充他人。IP协议没有为数据提供完整性保护机制。只是通过IP头的校验和为IP分组提供了一定程度的完整性保护。IP协议没有为数据提供任何形式的机密性保护机制，明文传输成为电子商务等的应用瓶颈。协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞。IPsec发展过程IETF(TheInternetEngineeringTaskForce)RFC相关标准见教材郑州轻工业学院计算机与通信TCP/IP协议族安全架构网络用户物理介质（物理防护与日常检修）设备驱动与接入协议PPTPL2FPPPL2TPIPIPsec(ah)IPsec(esp)TCPssltlsudP应用程序setE-mailpgps/mimepemsnmpiketelnethttpsDNS安全扩展x.509ripv2snmpv3bgp4链路层网际层传输层应用层IPsec设计目标与功能设计目标：为IPv4/6提供可互操作的、高质量的、基于密码学的安全性保护机制。安全服务功能：在IP层提供：访问控制+数据报源认证+数据报完整性验证+数据报加密通信机制+流数据的有限机密机制+抗重放攻击机制为什么在IP层？IP层可以为上层协议无缝的提供安全保障，各种应用程序可以享用IP层提供的安全服务和密钥管理，不必设计自己的安全机制，减少密钥协商的开销。IPsec安全实现的方法安全通信协议：

主要包括：

头协议AH,封装协议ESP。功能：定义了对通信的各种保护方式。密钥交换协议：

主要使用：IKE协议。功能：定义了如何为安全协议协商保护参数，以及如何认证通信实体的身份。两个数据库：安全策略数据库SPD，安全关联数据库SADIPsec协议安全机制特点在TCP/IP的关键层上提供安全服务功能允许传输层与应用层共享网际层安全服务对网际层、传输层与应用层提供一致的安全服务为上层协议提供无缝透明的安全服务各个应用层程序共享IP层安全机制（安全服务+密钥管理），无需设计自己的安全机制。IPsec体系结构（1）IPsec体系结构（2）IPsec体系：思想+需求+术语+技术机制AH&ESP：防控+源认证+完整性+抗重放+加密解释域DOI：通信消息字段语义解释规则集合算法：ESP加密&认证算法，AH认证算法密钥管理：IKE>=SA+可信密钥材料（=ISAKMP+Oakley+SKEME）通信策略

实体通信协商：没有形成标准IPsec实现模式（1）郑州轻工业学院计算机与通信IPsec实现方式（2）集成模式：在IP协议源代码中增加IPsec模块BITS模式：在IP层与链路层之间增加IPsec层BITW模式：直接主机/通信子网中实现IPsec集成模式

在主机/安全网关中实现BITS模式

主机中实现BITW模式

内网直接主机/路由器/网关中实现郑州轻工业学院计算机与通信传输模式：保护IP数据报有效载荷，AH和ESP拦截从传输层到网络层的数据包，由IPsec组建添加AH或ESP头InternetA主机IP头IPsec

头TCP/UDP头应用数据B主机安全网关安全网关IPsec保护区优点：内网保密通信+负载均衡（各主机分担IPSEC处理负荷）缺点：公共IP+端用户不透明+可泄露内网拓扑新增的保护头受保护的内容IPsecIPsecIPsec工作模式（1）郑州轻工业学院计算机与通信IPsec工作模式（2）隧道模式：保护整个IP数据报InternetA主机B主机安全网关安全网关IPsec保护区优点：内网用户透明+保护内网拓扑+可用私有IP缺点：内网明文通信+安全网关负载较重旧IP头IPsec

头TCP/UDP头应用数据新IP头新增的保护头受保护的内容比较：ESP:如果要求在主机A和主机B之间流通的所有传输数据包都要加密，应采用ESP模式。AH：如果只需要对传输层的数据包进行认证，采用AH传输模式。郑州轻工业学院计算机与通信安全关联SA——概念安全关联SA:securityassociation安全关联是IPsec的基础，AH,ESP都是采用SA.IKE协议的一个主要功能就是建立动态的SA。为实现数据流安全服务而与通信对等方关于某些要素的一种协定，如：IPSec协议协议的操作模式：传输、隧道密码算法与密钥用于保护数据流的密钥的生存期郑州轻工业学院计算机与通信安全关联SA——概述SA通过像IKE这样的密钥管理协议在通信对等方之间协商而生成，当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该SA参数。SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换，终止的SA将从SAD中删除。SA使用三元组<SPI，目的IP地址，AH/ESP>唯一标示，SPI是一整数，在AH/ESP传输，用于接收方索引SA，目的IP地址目前只能使用单播地址。郑州轻工业学院计算机与通信安全关联SA——类型SA类型：隧道模式SA+传输模式SA隧道模式SA：定义用于隧道模式通信的SA为隧道模式SA，用于保护隧道通信，一方是安全网关时需使用隧道模式SA。传输模式SA：定义用于传输模式的SA为传输模式SA，主要用于主机间的安全通信，如果主机使用隧道通信，也能使用隧道模式SA。郑州轻工业学院计算机与通信安全关联SA——特性IPsecSA——使用IPsec保护某一数据流时建立的安全关联SA单向性——与被保护的数据流方向相关，双向通信的主机既有输出数据流也有输入数据流，对输出数据流需要输出SA保护，输入数据流需要输入SA保护，SA保护数据流的实质是保护数据流对应的输出/输入缓冲区。SA单功能性——一个SA只能完成一种安全保护功能（AH或ESP），一个数据流根据其安全要求可能需要多个SA保护，这些SA称为SA集束（SABundle），构成SA束的方式主要有传输邻接与嵌套隧道两种方式。安全关联SA——传输邻接SA束

传输邻接是指将多个安全协议应用于一份IP数据报中，应用过程中不出现隧道。这种方式仅允许AH和ESP进行一层联合。如SA中的算法强度足够，则没有必要将多个SA嵌套。因为，数据包到达目的地后，只由一个IPsec实例来处理。安全关联SA——嵌套隧道SA束

重复隧道是指将多个SA嵌套用于一份数据报。这些SA的起点和终点可以不同。

注意：对一份数据报同时使用AH和ESP传输模式时，应先应用ESP，再应用AH。隧道模式无此要求。安全关联SA——特性SA时效性——一个SA不是与通信数据流相始终的，而是具有一定的时效性/生存期，这个时效性/生存期可以是一段给定时间段进行标示，也可以按其处理数据量的多少进行设定，SA的时效性/生存期的长短与标示形式取决于通信双方的协商。当一个SA的生存期结束时，要么终止该SA的使用，并将它从SAD中删除，要么使用一个新的SA对原来的SA进行替换。安全关联SA——小结SAn……SA3SA2SA1安全参数索引32位整数，唯一标识SA1－255被IANA保留将来使用0被保留用于本地实现安全关联SA——小结SAn……SA3SA2SA1输出处理SA的目的IP地址输入处理SA的源IP地址安全关联SA——小结SAn……SA3SA2SA1AHESP安全关联SA——小结SAn……SA3SA2SA132位整数，刚开始通常为0每次用SA来保护一个包时增1用于生成AH或ESP头中的序列号域在溢出之前，SA会重新进行协商安全关联SA——小结SAn……SA3SA2SA1用于外出包处理标识序列号计数器的溢出时，一个SA是否仍可以用来处理其余的包安全关联SA——小结SAn……SA3SA2SA1使用一个32位计数器和位图确定一个输入的

AH或ESP数据包是否是一个重放包安全关联SA——小结SAn……SA3SA2SA1AH认证密码算法和所需要的密钥安全关联SA——小结SAn……SA3SA2SA1ESP认证密码算法和所需要的密钥安全关联SA——小结SAn……SA3SA2SA1ESP加密算法，密钥，初始化向量(IV)和IV模式IV模式：ECB，CBC，CFB，OFB安全关联SA——小结SAn……SA3SA2SA1传输模式隧道模式通配模式：暗示可用于传输隧道模式安全关联SA——小结SAn……SA3SA2SA1路径最大传输单元是可测量和可变化的它是IP数据报经过一个特定的从源主机到目的主机的网络路由而无需分段的IP数据包的最大长度安全关联SA——小结SAn……SA3SA2SA1包含一个时间间隔外加一个当该SA过期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在

SA会到期之前通知内核，便于在硬存活时间到来之前内核能及时协商新的SA安全策略——概念安全策略SP：指定用于到达或源自特定主机/网络的数据流的策略，即SP指定了对于给定的外出数据流需要使用那些需要使用SA进行保护，那些不需要，那些丢弃；同时指定了对输入流的数据包需要进行怎样的处理。安全策略数据库SPD：包含策略条目的有序列表，用于指定数据流中的某一特定输出数据包使用什么SA，指定输入数据流中的某一特定输入包怎样处理。通过使用一个或多个选择符来确定每个条目安全策略——目的IP地址32位IPv4或128位IPv6地址可以是：主机地址、广播地址、单播地址、任意播地址、多播组地址地址范围，地址加子网掩码通配符号等SRn……SR3SR2SR1安全策略——源IP地址SRn……SR3SR2SR132位IPv4或128位IPv6地址可以是：主机地址、广播地址、单播地址、任意播地址、多播组地址地址范围，地址加子网掩码通配符号等安全策略——传输层协议SRn……SR3SR2SR1指定传输协议（只要传输协议能访问）许多情况下，只要使用了ESP,

传输协议便无法访问，此时需使用通配符安全策略——传输层协议SRn……SR3SR2SR1完整的DNS名或e-mail地址安全策略——传输层协议SRn……SR3SR2SR1完整的DNS用户名如hjbin@或X.500DN安全策略——传输层协议SRn……SR3SR2SR1应用端口如无法访问，则使用通配符安全策略——传输层协议SRn……SR3SR2SR1采取的动作DiscardBypassIPSecApplyIPSec安全策略——传输层协议SRn……SR3SR2SR1包括：指向一个SA或SA集的指针应用的IPSec协议运用的密码算法生成ICV的算法输入数据报处理SPDSAD输出数据报处理SPDSADAH协议AH协议概述AH协议服务AH协议头格式AH操作模式AH处理流程AH协议概述为IP包提供数据完整性和鉴别功能利用MAC码实现鉴别，双方必须共享一个密钥鉴别算法由SA指定－鉴别的范围：整个包两种鉴别模式：－传输模式：不改变IP地址，插入一个AH

－隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中AH协议服务数据源认证无连接的完整性可选的抗重放服务不提供保密性AH协议头格式——结构AH协议头格式——下一个头8比特，指出AH后的下一载荷的类型(RFC1700)AH协议头格式——载荷长度与SPI载荷长度：包含以32比特为单位的AH头的长度减2安全参数索引SPI：32bit，用于和源/目的IP地址、IPSec协议(ESP/AH)共同唯一标识一个SAAH协议头格式——序列号与认证数据序列号：SA建立时，发送方和接收方SN初始化为0，通信双方每使用一个特定的SA发送一个数据报则将它们增1，用于抵抗重放攻击，AH规范强制发送者必须发送SN给接收者，而接收者可以选择不使用抗重放特性，这时它不理会该SN，若接收者启用抗重放特性，则使用滑动接收窗口机制检测重放包。具体的滑动窗口因IPSec的实现而异认证数据：该变长域包含数据报的认证数据，称为完整性校验值(ICV)，生成ICV的算法由SA指定，具体视IPSec的具体实现而定，为保证互操作性，AH强制所有的IPSec必须实现两个MAC(消息认证码):HMAC-MD5,HMAC-SHA-1AH协议——操作模式操作模式：传输模式+隧道模式传输模式：保护的端到端的通信，通信终点必须是IPsec的终点。隧道模式：AH插在原始IP头之前，并重新生成一个新的IP头放在AH前AH协议——传输模式特点传输模式特点：保护端到端+通信终点需是Ipsec终点AH认证AH协议——隧道模式特点保护点到点通信通信的终点必须是IPSec终点克服了传输模式的一些缺点郑州轻工业学院计算机与通信AH认证AH处理过程外出处理：IPsec从IP协议栈中收到外出的数据包时：检索SPD，查找应用于该数据的策略。以IP地址、端口等选择符为索引，确认那些策略适用于该数据包。查找对应的SA，如果需要对数据包进行IPsec处理，并且到目的主机的SA已经建立，通过隐形指针SPI指向相应的SA;如果没有SA，IPsec实现将调用IKE协商一个SA.构造AH载荷，填充AH的各个字段。为AH添加IP头其他处理，重新计算IP头校验和等。郑州轻工业学院计算机与通信AH处理过程进入处理：IPsec对进入的数据包：分段重组，设置了MF位的数据包到达一个IPsec目的节点时，表明还有分段没有到达，等待所有序列号相同的包到达后，重组之。查找SA，使用<SPI,目的IP地址，协议号>作为索引检索SAD，找到处理该分组的SA.如果没有找到，丢包并日志记录。抗重放处理，检查是否重放，如是丢弃并日志。检查完整性，使用SA指定的MAC算法计算数据包的ICV，并与认证数据字段的值比较，如不同，丢包并日志。嵌套处理，如果是嵌套包，返回第二步。检验策略的一致性：使用IP头中的选择符进入SPD中查找一条与选择符匹配的策略，检查是否与步骤2查到的SA是否一致，如不一致，丢包。AH输出输入处理郑州轻工业学院计算机与通信ESP协议ESP协议概述ESP协议服务ESP协议头格式ESP操作模式ESP处理流程ESP概述提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供鉴别服务（可选）将需要保密的用户数据进行加密后再封装到一个新的IP包中，ESP只鉴别ESP头之后的信息ESP≈AH+数据机密性+有限流机密性加密算法和鉴别算法由SA指定两种模式：传输模式和隧道模式郑州轻工业学院计算机与通信ESP服务

提供的服务包括数据保密性有限的数据流保密性数据源认证（认证是可选的）无连接的完整性抗重放服务ESP包格式ESP格式字段SPI：32b，取值256~232-1，<SPI，目的IP地址，ESP>唯一标示对本数据包进行保护的SASN：32b，单调增加的无符号整数，抗重放攻击载荷数据：变长字段填充项：0~255B，引入原因一：与分组加密相关；4字节的整数倍，原因二：隐藏载荷长度。认证数据：变长字段，内容是ICVESP加密与认证算法加密算法

——3DES、RC5、IDEA、3IDEA、CAST、Blowfish鉴别算法

——ICV计算应支持:HMAC-MD5-96、HMAC-SHA-1-96,仅用96位郑州轻工业学院计算机与通信ESP传输模式——工作范围郑州轻工业学院计算机与通信ESP传输模式——数据包封装郑州轻工业学院计算机与通信ESP隧道模式——工作范围郑州轻工业学院计算机与通信ESP隧道模式——数据包封装郑州轻工业学院计算机与通信ESP输出－输入处理流程SA组合某些通信数据需要同时调用AH和ESP服务某些通信数据需要主机之间和防火墙之间的服务传输邻接：同一分组应用多种协议，不形成隧道循环嵌套：通过隧道实现多级安全协议的应用郑州轻工业学院计算机与通信SA组合郑州轻工业学院计算机与通信加密与认证组合使用郑州轻工业学院计算机与通信加密与认证组合使用郑州轻工业学院计算机与通信

传输邻接使用两个捆绑的传输SA

内部是ESPSA（没有鉴别选项），外部是AHSAIKE协议IKE协议概述ISAKMP协议密钥交换阶段密钥交换模式IKE与ISAKMP小结郑州轻工业学院计算机与通信IKE协议概述设计目的：手工方式（SA数量少、密钥更新频率低）、自动方式（用户多、规模大）。用于对SA的动态管理与维护协议构成：ISAKMP+Oakley+SKEME协议特点：两阶段+4模式+4认证+请求-应答与ISAKMP关系：ISAKMP定义了一个Internet上通用的密钥交换框架，IKE在前者的框架基础上实际定义了一个密钥交换协议郑州轻工业学院计算机与通信IKE设计目的IPsec使用SA保护通信数据SA如何建立？SA建立方式：手工创建+动态创建手工创建使用环境：用户少+密钥更新慢动态创建使用环境：用户多+密钥更新快动态创建要求

自动创建与维护

规则

协议动态创建、维护与管理SA的协议就是IKE郑州轻工业学院计算机与通信IKE协议特点两阶段：创建保护者IKESA被保护IPsecSAIKEISA创建：协商保护套件

执行D-H交换

认证D-H交换

认证IKESA（基于ISAKMP）IPsecSA创建：加密交换消息+消息与源认证4模式：主模式+野蛮模式+快速模式+新群模式4认证：数字签名认证+公钥加密认证+修正的公钥加密认证+预共享密钥认证郑州轻工业学院计算机与通信Diffie-HellmanDiffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分Whitefield与MartinHellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-HellmanKeyExchange/AgreementAlgorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥.然后可以用这个密钥进行加密和解密.但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密.双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息.

该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换.这种密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密.Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度.简言之,可以如下定义离散对数:首先定义一个素数p的原根,为其各次幂产生从1到p-1的所有整数根,也就是说,如果a是素数p的一个原根,那么数值amodp,a2modp,...,ap-1modp是各不相同的整数,并且以某种排列方式组成了从1到p-1的所有整数.对于一个整数b和素数p的一个原根a,可以找到惟一的指数i,使得b=aimodp其中0≤i≤(p-1)指数i称为b的以a为基数的模p的离散对数或者指数.该值被记为inda,p(b).基于此背景知识,可以定义Diffie-Hellman密钥交换算法.该算法描述如下:1,有两个全局公开的参数,一个素数q和一个整数a,a是q的一个原根.2,假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA3,用户A产生共享秘密密钥的计算方式是K=(YB)XAmodq.同样,用户B产生共享秘密密钥的计算是K=(YA)XBmodq.这两个计算产生相同的结果:K=(YB)XAmodq=(aXBmodq)XAmodq=(aXB)XAmodq(根据取模运算规则得到)=aXBXAmodq=(aXA)XBmodq=(aXAmodq)XBmodq=(YA)XBmodq因此相当于双方已经交换了一个相同的秘密密钥.4,因为XA和XB是保密的,一个敌对方可以利用的参数只有q,a,YA和YB.因而敌对方被迫取离散对数来确定密钥.例如,要获取用户B的秘密密钥,敌对方必须先计算XB=inda,q(YB)然后再使用用户B采用的同样方法计算其秘密密钥K.Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难.对于大的素数,计算出离散对数几乎是不可能的.下面给出例子.密钥交换基于素数q=97和97的一个原根a=5.A和B分别选择私有密钥XA=36和XB=58.每人计算其公开密钥YA=536=50mod97YB=558=44mod97在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下:K=(YB)XAmod97=4436=75mod97K=(YA)XBmod97=5058=75mod97从|50,44|出发,攻击者要计算出75很不容易.ISAKMP协议ISAKMP概述ISAKMP头格式ISAKMP载荷格式ISAKMP安全协商ISAKMP交换类型郑州轻工业学院计算机与通信ISAKMP概述ISAKMP定义协商、建立、修改和删除SA的过程和包格式(RFC2408)，属于请求-应答协议ISAKMP被设计为与密钥交换协议无关的协议，即不受任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制通信双方通过ISAKMP向对方提供自己支持的功能从而协商共同的安全属性

ISAKMP消息可通过TCP和UDP传输：Port号500郑州轻工业学院计算机与通信ISAKMP协议头郑州轻工业学院计算机与通信发起者与接收者cookie8bit串，由ISAKMP交换的发起者/接收者生成会话过程中保持不变，用于验证生成的方法可不同，建议采用MD5、SHA-1或其它支持的hash函数利用通信方源地址、目的地址、UDP/TCP源端口、目的端口、生成时间等生成必须保证唯一郑州轻工业学院计算机与通信下一载荷郑州轻工业学院计算机与通信交换类型郑州轻工业学院计算机与通信标志郑州轻工业学院计算机与通信

使用8bit中的低3位，用于加密同步

1－加密比特

2－提交比特

3－仅认证比特消息ID与长度郑州轻工业学院计算机与通信消息ID——密钥交换保护协议ID，在IKE中指相同IKE

SA保护下的不同协议SA，IKE协议建立时为0长度——包括ISAKMP头部在内的所有载荷总长度ISAKMP载荷类型郑州轻工业学院计算机与通信通用载荷安全关联载荷建议载荷变换载荷密钥交换载荷标识载荷证书载荷证书请求载荷杂凑载荷签名载荷nonce载荷通知载荷删除载荷厂商ID载荷ISAKMP报文格式郑州轻工业学院计算机与通信ISAKMP载荷格式郑州轻工业学院计算机与通信见文档（RFC2408）《ISAKMP协议标准》SA数据属性郑州轻工业学院计算机与通信ESP加密算法郑州轻工业学院计算机与通信ISAKMP安全协商郑州轻工业学院计算机与通信安全通道协商+安全服务协商安全通道协商——建立一个已通过身份验证和安全保护的通道；安全服务协商——为其它协议提供协商安全服务定于了5种密钥交换：不分阶段+不完整交换（没有具体定义密钥交换协议）+先cookie，后才能与SPI标示SAISAKMP策略协商——概述郑州轻工业学院计算机与通信要建一个SA，首先要协商好采用的安全策略。由于策略可能非常复杂，所以要能灵活地解析SA，提案以及转码载荷，这样才能构建和处理复杂的策略。一个SA内，可能包含一个或多个提案，而每个提案可能包含一种或多种转码方式。ISAKMP策略协商——报文郑州轻工业学院计算机与通信SA载荷的DOI字段定义了一个特殊的解释域。一个DOI定义了如何用ISAKMP为那种特定的服务建立SA。ISAKMP策略协商——解释郑州轻工业学院计算机与通信提案载荷中包含了一个提案编号（可能存在多个提案），还有一个特殊字段，指出后面跟随有多少转码载荷。转码载荷中，包含了一个转码编号，以及一个转码标识符，指出具体的转码类型。紧跟在转码之后，是一些特殊的属性（如有），与那种具体的转码方式有关（用属性载荷进行编码）ISAKMP策略协商——提案示例郑州轻工业学院计算机与通信提案ESP转码1：随HMAC-SHA使用3DES转码2：随HMAC-MD5使用3DES转码3：随HMAC-SHA使用DES转码4：随HMAC-MD5使用DESIKE交换机制——概述郑州轻工业学院计算机与通信ISAKMP本身没有定义具体的密钥交换。IKE用ISAKMP语言来定义密钥交换。IKE并非IPSec专用。其它协议需要，比方说RIPv2或OSPF，便可用它协商具体的安全服务。IKE使用了两个阶段的ISAKMP。IKE

SA阶段+IPSecSA，与ISAKMP不一样，在IKE载荷中，只为自身SA的属性进行了定义。IKE交换机制——概述郑州轻工业学院计算机与通信IKE载荷中没有定义IPsecSA的属性。这种定义留在解释域（DOI）进行。DOI规定了IKE在阶段2交换中需要协商解决的可选及必需属性两种阶段1交换模式+一种阶段2交换模式+两种额外的交换（维护SA）。阶段1交换：主模式+野蛮模式，其中前者是必需的，后者是可选的。阶段2交换：快模式IKE交换机制——参数郑州轻工业学院计算机与通信IKESA提供了各种各样的参数，它们是由通信双方协商制定所有的参数称为一个保护组件（加密算法，散列算法，验证方法以及D-H组）。保护组件中的每一种属性都包含在转码载荷中。IKE定义了5个组（3个属D-H交换，2个属椭圆曲线加密算法）D-H组定义了交换时通信双方要采用的参数。IKE交换机制——D-H交换示例郑州轻工业学院计算机与通信通信双方可以通过不安全的途径协商共享密钥A、B通信双方P是大素数，q是P有限域的乘法群的原根Ar1=random，y1=qr1modPBr2=random，y2=qr2modPr1=0~p-2KAB=y2r1modP=qr1r2modPKAB=y1r2modP=qr1r2modPIKE交换机制——预共享密钥郑州轻工业学院计算机与通信IKESA与IPSecSA的区别在于前者是双向的使用数字签名算法（DSS）得到的数字签名；使用RSA算法得到的数字签名；通过交换加密的nonce，从而实现的两种类似的验证方法。通信双方会生成四种机密：SKEYID，SKEYID-d,SKEYID-a,SKEYID-eIKE交换机制——主模式交换郑州轻工业学院计算机与通信三个步骤:模式协商D-H交换nonce交换第一次交换：协商SA的各项参数：在cookie中第二次交换：D-H交换，并生成SKEYID状态；第三次交换：通信双方标定自己的身份，并相互验证散列摘要，报文是用SKEYID-e加密的nonce交换用于对对方身份验证使用六条报文，建立IKESA。特点：身份保护，ISAKMP协商能力的完全利用IKE交换机制——主模式交换郑州轻工业学院计算机与通信IKE交换机制——数字签名主模式郑州轻工业学院计算机与通信Nx-x的nonce载荷，NonceCert-证书，SIG-签名最后的两条报文也是加密了的。IKE交换机制——公钥加密主模式郑州轻工业学院计算机与通信Nx-加密的nonce载荷，其中，pub-x指用x的公钥进行加密。两次加密是一个不足。不能把两个载荷连起来加密，接收者无法确定两种载荷的真实长度。IKE交换机制——