【网络通信安全管理员认证－中级】IPSEC.ppt

虚拟专用网2VPN核心技术一、VPN中的关键技术v隧道v访问控制v密码算法v密钥管理v用户鉴别v网络管理隧道技术 VPN系统被设计成通过Internet提供安全的点到点(或端到端)的“隧道”。隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。VPN隧道对要传输的数据用隧道协议进行封装，这样可以使数据穿越公共网络(通常是指Internet)。整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。在VPN中,数据包流由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再达到另一个LAN上的路由器。隧道协议-数据封装隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中，可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议，协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)。隧道协议v第二层（链路层）：PPTP、L2F、L2TPv第三层（网络层）：IPSec访问控制一般而言，对资源的访问应在访问策略的控制下进行。访问控制决定了主体是否被授权对客体执行某种操作。它依赖鉴别对主体的身份认证，将特权与主体对应起来。只有经鉴别的主体，才允许访问特定的网络资源。密码算法VPN中的安全机制本质上依托于密码系统，如各种加密算法、鉴别算法。密码系统中各种算法的特性、密钥长度、应用模式不同，直接影响在VPN提供的安全服务的强度。安全强度更高的新算法、各种算法的硬件实现自然代表VPN技术发展的趋势。密钥管理VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议用户鉴别一种典型的VPN应用是远程用户拨号接入（VDPN），与普通的拨号接入不同，VDPN通常需要“二次拨号”：一次接入到当地ISP的普通拨号，一次完成接入到内部网络的VPN“拨号”。第二次拨号因为涉及对敏感的内部资源的访问，因此必须采用AAA机制对用户进行严格控制，控制的核心是对用户的身份鉴别。网络管理作为网络技术一个分支，VPN系统无论采用哪种实现形式（软件/硬件/软硬结合），均涉及网络化管理问题。而且VPN对网管安全提出了更高要求，目前经常采用标准的网管协议SNMP V2一方面安全机制不健全，另一方面缺乏对VPN系统的内在支持。从某种意义上讲，网管技术的发展直接制约着VPN技术的大规模应用。二、VPN的隧道技术1、隧道的相关知识2、隧道协议类型3、第二层隧道：PPTP4、第二层隧道：L2TP5、第三层隧道技术：IPSec6、几种隧道技术的比较1、隧道的相关知识隧道的定义：实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议n乘客协议（Passenger Protocol）n封装协议（Encapsulating Protocol）n运载协议（Carrier Protocol）隧道协议例子2、隧道协议类型分类依据：被封装的数据在OSI/RM的层次第二层隧道：以PPTP，L2TP为代表第三层隧道：IPSec3、第二层隧道：PPTP（1）PPTP由微软公司设计，用于将PPP分组通过IP网络封装传输（PPTP:Point to Point Tunneling Protocol点对点隧道协议）3、第二层隧道：PPTP（2）PPTP的数据封装：数据链路层报头IP报头GRE报头PPP报头数据链路层报尾加 密 PPP有效载荷PPTP客户机或PPTP服务器在接收到PPTP数据包后，将做如下处理：处理并去除数据链路层报头和报尾；处理并去除IP报头；处理并去除GRE和PPP报头；如果需要的话，对PPP有效载荷即传输数据进行解密或解压缩；对传输数据进行接收或转发处理。（GRE:Generic Routing Encapsulation）通用路由封装（GRE）定义了在任意一种网络层协议上封装另一个协议的规范。4、第二层隧道：L2TP数据封装格式：特点：n它综合了第二层转发协议（L2F）和PPTP两种协议各自的优点n协议的额外开销较少 5、第三层隧道技术：IPSecIPSec：即IP层安全协议，是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。数据封装格式：6、几种隧道技术的比较应用范围：nPPTP、L2TP：主要用在远程客户机访问局域网方案中；nIPSec主要用在网关到网关或主机方案中，不支持远程拨号访问。安全性：nPPTP提供认证和加密功能，但安全强度低nL2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。nIPSec提供了完整的安全解决方案。QoS（quality of service）保证：都未提供对多协议的支持：IPSec不支持三、基于IPSec的VPN的体系结构1、IPSec体系结构2、IPSec协议框架3、AH协议4、ESP协议5、IPSec传输模式6、IPSec隧道模式7、安全策略数据库(SPD)8、安全联盟数据库(SADB)9、数据包输出处理10、数据包输入处理11、包处理组件实现模型1、IPSec体系结构2、IPSec协议框架（1）综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、攻击保护、机密性、有限的流量保密等。IPSec协议主要内容包括：协议框架RFC2401；安全协议：AH协议RFC2402、ESP协议RFC2406；密钥管理协议：IKE RFC2409、ISAKMPRFC2408、OAKLEY协议RFC2412。密码算法：HMACRFC2104/2404、CASTRFC2144、ESP加密算法RFC2405/2451等。其他：解释域DOIRFC2407、IPCompRFC2393、RoadmapRFC2411。2、IPSec协议框架（2）IPSec架构密钥管理ESP协议AH协议解释域（DOI）加密算法鉴别算法IPSec协议文件框架图2、IPSec协议框架（3）ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由解释域(doi)文档来进行的3、AH协议4、ESP协议5、IPSec传输模式6、IPSec隧道模式7、安全策略数据库(SPD)（1）SP是一个描述规则，定义了对什么样的数据流实施什么样的安全处理，至于安全处理需要的参数在SP指向的一个结构SA中存储。SP描述：对本地子网和远程网关后的子网间的通信流，实施ESP通道保护，采用3DES加密算法和HMAC-SHA1验证算法。7、安全策略数据库(SPD)（2）系统中的安全策略组成了SPD,每个记录就是一条SP,一般分为应用IPSec处理、绕过、丢弃。从通信数据包中，可以提取关键信息填充到一个称为“选择符”的结构中去，包括目标IP、源IP、传输层协议、源和目标端口等等。然后利用选择符去搜索SPD，找到描述了该通信流的SP。8、安全联盟数据库(SADB)（1）SA(Security Association)是两个IPSec通信实体之间经协商建立起来的一种共同协定，它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。8、安全联盟数据库(SADB)（2）安全联盟常用参数加密及验证密钥。密码算法在系统中的标识。序列号，32位的字段，在处理外出的数据包时，一个SA被应用一次，它的序列号号字段就递增一，并被填充到数据包的IPSec头中，接收方可以利用此字段进行抗重播攻击。抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机重复发出的数据包进行检测。生存周期。规定了该SA的有效使用周期，可以按照建立至今的时间或者处理的流量来计算。实施模式。即通道模式还是传输模式。IPSec隧道目的地址。安全参数索引(SPI)。参与唯一标识某SA。9、数据包输出处理 数据包被从网络设备发送出去之前，截取到IP包，然后从中提取选择符信息，依据之搜索SPD，产生如下可能结果：SP决定丢弃此包，于是直接丢弃，或者还可 以向源主机发送ICMP信息；SP决定通过此包，直接将数据包投放到网络设备的发送队列；SP决定应用IPSec，此时SP指向一个SA,可以根据它进行安全处理（需要的SA不存在，则触发IKE模块协商建立SA，协商周期内数据包进入等待队列等待协商完成，若协商超时，也会丢弃该包。）10、数据包输入处理 系统收到IP包后，判断如果是IPSec包，则从头部取到，搜索SADB。若找不到SA，触发IKE或丢弃包；若找到，根据其进行解封装，得到去通道化后的原始IP包，再从原始IP包中提取选择符，搜索到SPD中某一条目，检查收到包的安全处理是否符合描述规则，不符合则丢弃包，符合则转入系统IP协议栈进行后继处理。11、包处理组件实现模型四、互联网密钥交换(Internet Key Exchange)1、IKE功能2、密钥交换包格式(ISAKMP)-3、安全联盟的协商4、密钥交换的两个阶段5、Diffie-Hellman密钥交换6、交换流程1、IKE功能用IPSec保护数据包，必须首先建立一个IPSec的安全联盟，这个安全联盟可以手工建立，也可以动态由特定进程来创建。这个特定的进程就是InternetKeyExchange,即IKE。IKE的用途就是在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥，也就是建立安全联盟。IKE协议是Oakley和SKEME协议的混合，在由ISAKMP规定的一个框架内运作，可以为多种需要安全服务的协议进行策略磋商和密钥建立，比如SNMPv3,OSPFv2,IPSec等。2、密钥交换包格式(ISAKMP)1因特网安全关联和密钥管理协议（ISAKMP,Internet Security Association and Key Management Protocol)2、密钥交换包格式(ISAKMP)-2安全联盟载荷，转码载荷表示协商时供对方选择的一组安全属性字段的取值，比如算法，安全联盟的存活期，密钥长度等等。密钥交换载荷，表示了实施密钥交换必需的信息。散列载荷，是一个散列函数的运算结果值。nonce载荷，是一串伪随机值，用以衍生加密材料。证书载荷，在身份验证时向对方提供证书。证书请求载荷。3、安全联盟的协商通信双方要建立共享的安全联盟，必须进行协商。双方根据本方的实际安全需求，制定采用的算法，密钥刷新频率，密钥的长度等等策略。发起方在发送的安全联盟载荷中，根据策略的优先级顺序，将计划采用的安全参数的组合以提案载荷和转码载荷的形式级联表示出来，响应方收到后，依据策略选择最合适的一种，再构建应答的安全联盟，此时应答方只包含了选中的一种安全参数组合。这样，一个共享的安全联盟就可以获得了。在协商的进程中，双方也通过计算得到共享的密钥。4、密钥交换的两个阶段1.阶段一交换(phase1exchange):在“阶段一”周期里，两个IKE实体建立一个安全的，经验证的信道进行后续通信，要建立这样的安全信道，双方会建立一对ISAKMP安全联盟。阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来实现，而这两种模式也仅用于阶段一中。2.阶段二交换(phase2exchange):“阶段二”周期里，IKE实体会在阶段一建立起来的安全信道中，为某种进程协商和产生需要的密钥材料和安全参数，在VPN实现中，就是建立IPSec安全联盟。快速模式交换可用来实现阶段二交换并且仅用于此阶段中。5、Diffie-Hellman密钥交换D-H交换的安全性源于在有限域上计算离散对数比计算指数更为困难。6、交换流程（1）（阶段一身份保护模式）6、交换流程（2）阶段一说明在消息(1)中，发起者生成他认为适当的安全提案列表，提交给响应方。消息(2)中，响应者与本地策略进行匹配和选择之后，将最终决定的安全联盟内容同样用相应载荷回送发起者。在消息(3)、(4)中，发起者和响应者交换DH公开值，和随机信息串nonce，在第四步完成时，双方已经可以经计算得出共享的DH公共值，以及各自计算出SKEYID和相关衍生密钥。消息(5)和消息(6)中，双方使用前两步得出的加密、验证算法和密钥保护传输的数据。当采用数字签名的身份验证方法时，消息(5)和(6)可以包含证书载荷，将自己的公钥证书发给对方，验证数据AUTHDATA就是数字签名的运算结果，在这里数字证书也可以是从有效的远程有效的认证中心通过LDAP、DNSSEC等协议获得。6、交换流程（3）（阶段二快速模式）6、交换流程（4）阶段二说明所有消息从ISAKMP头之后都是加密传输的，并且在消息头之后紧跟了散列值进行验证。如果使用了完美向前加密(PFS)，则消息交换中还包含一次DH交换的公开值载荷KE,身份载荷表示的是要保护的通信流的源和目的，通常是子网内的主机或主机的集合。在前两个消息交换完成后，双方可以计算出共享的密钥材料，这将是最终提供给IPSec模块的密钥信息。五、IPSec的安全性评价及其改进1、IPSec VPN的优势2、IPSec过于复杂3、IPSec 协议存在的问题4、对IKE协议的改进5、IPSec与NAT的共处6、远程拨号接入7、支持组播8、对先加密后认证顺序的评价9、对IPSec的总体评价1、IPSec VPN的优势（1）VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准，以IPSec协议构建虚拟专用网已成为主流。基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关（Security Gateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。1、IPSec VPN的优势（2）为数据的安全传输提供了身份鉴别、数据完整性、机密性保证等措施，并且其提供的安全功能与密钥管理系统松散耦合。端到端的IPSec VPN专线租费比PVC等物理专线的租用费低很多。远程接入IPSec VPN接入成本比长途电话费用低（只考虑本地拨号和VPN隧道占用费）。2、IPSec过于复杂（1）举例说明。比如在IPSec中，存在两种模式，两种协议AH和ESP。若要对两台主机之间的数据包进行认证，存在以下六种方案：传送模式AH；隧道模式AH；传送模式ESP（无加密）；隧道模式ESP（无加密）；传送模式ESP（加密）；隧道模式ESP（加密）；2、IPSec过于复杂（2）建议去掉传送模式去掉传送模式；去掉AH协议；在ESP中，数据源认证是必须的，而加密功能是可选的；先加密后认证的顺序存在问题2、IPSec过于复杂（3）建议去掉AH协议AH和ESP在功能上重叠AH的认证存在的问题隧道模式ESPn提供和AH几乎同样强度的认证n通过压缩机制来节省带宽网络新技术不断涌现，对IPSec协议提出了新的挑战；针对IPSec协议的各种不足，IETF下的IPSec工作组正在酝酿IPSec协议的改进，包括IKEV2。国内外研究发现，IPSec协议大致存在下列问题：1.IKE协议的安全性；2.与现有网络机制的兼容性；3.缺乏对远程拨号接入的支持；4.不支持组播、多协议；3、IPSec 协议存在的问题1.网络新技术不断涌现，对IPSec协议提出了新的挑战；针对IPSec协议的各种不足，IETF下的IPSec工作组正在酝酿对IPSec协议的改进，即IKEV2。2.J.Zhou在分析IKE协议基础上，提出HASH_I和HASH_R的计算公式存在安全隐患。3.BruceSchneier等人认为IKE协议过于复杂，某些细节描述不够清楚，与ISAKMP协议有冲突。4、对IKE协议的改进（1）4.J.M.Sierra等人提出利用新的协商模式-发生器模式（GeneratorMode）实现IKESA的快速更新。5.RadiaPerlman等研究发现，IKE协议提供的用户身份保密功能与采用的身份认证方法直接相关，对激进模式进行适当的修改也能提供身份保护。J.Zhou提出采用数字签名认证方式的主模式可能导致发起方的身份信息泄漏。4、对IKE协议的改进（2）网络地址转换NAT技术通过修改IP包内容实现包的正常传输；而IPSec协议通过采用验证技术保护IP包中数据完整性，因此NAT与IPSec是一对矛盾。IETF下的网络工作组提出了在隧道模式下使用IPC-NAT(IPSecControlNAT)的解决方案。对于端到端的IPSec与NAT的共处，网络工作组建议使用RSIP(RealmSpecificIP)协议。5、IPSec与NAT的共处（1）vBalajiSivasubramanian等提出适用于协作IP网络的一种的端到端安全解决方案。该方案的巧妙之处在于IPSec处理预先使用NAT变换之后的数据（公共IP地址或端口），数据包经过NAT设备时，NAT设备对它的修改正好与IPSec提供的数据完整性保护相吻合。vIPSec工作组提出利用UDP协议封装IPSec处理后的数据包，则NAT设备最多需要涉及对UDP头的数据修改。5、IPSec与NAT的共处（2）IPSec协议本身只提供IP层的安全服务，无法在更高层实施更小颗粒的访问控制，这样就有必要借鉴高层机制，帮助IPSec协议改进对远程接入的支持。安全远程接入解决方案大致有：v联合L2TP协议v利用MobileIP协议；v修改IKE协议Xauth协议、Crack协议、Hybrid鉴别协议；vPIC协议；6、远程拨号接入IPSec协议文件虽然指出协议支持使用组播（Multicast）地址，但实质上协议缺乏对组播的完整支持。将IPSec协议应用到组播环境中，迫切需要解决的问题包括：vSA的唯一性问题；v组机密性问题；v单个源鉴别问题；v防重传攻击服务失效；7、支持组播（1）组播源鉴别：G_R方案基于数字签名技术和摘要技术，将对多个消息单个源鉴别分解为对第一个消息的签名和其他消息摘要的链式组合。C.K.Wong等人提出多个包的一次签名可等价转化为对每个包的摘要的集中签名；为减少每个包的尺寸，可采用树形链或星形链技术，安排每个包中携带的摘要。C.Canetti等提出利用MAC技术实现组播源鉴别：发送方拥有K个密钥，每个接收方只与其共享L个密钥（LK），发送方发送每个包时同时附带K个MAC值。7、支持组播（2）组播密钥管理方案C.K.Wong等提出分级树组密钥方案，利用密钥服务器（KS）负责产生所有密钥，并按照虚拟的分级树组织每个成员存储的密钥。A.Ballardie、H.Harney等人分别提出可扩展的组播密钥分发协议（SMKD）和组密钥管理协议（GKMP），这两种协议的共同缺点是缺乏针对组成员关系变化的密钥更新机制，SMKD依赖特殊的组播体系（CBT）。在Iolus方案中，S.Mitra采用分级架构将组播组细分为若干个独立的子组；组安全接口（GSI）负责跨组通信的转换。7、支持组播（3）8、对先加密后认证顺序的评价IPSec中的加密和认证顺序；Horton定理：认证协议应当基于消息本身的含义进行认证；如果出于效率考虑，应当认证解密密钥9、对IPSec的总体评价优点n安全性明显优于其它隧道协议缺点n过于复杂n存在安全漏洞n安全性分析困难根本的解决方案：对IPSec进行修补不能解决根本问题，必须彻底改变制定IPSec的委员会模式(committee process)六、移动VPN1、无线局域网2、移动IP3、SKIP协议1、无线局域网无线局域网（Wireless LANWLAN）、无线固定宽带接入（Fixed Wireless Broad Band Access System）、蓝牙（Bluetooth）等新的无线接入技术不断涌现，对网络安全提出了更高的挑战。典型的无线网络标准IEEE 802.11b、IEEE 802.16、Bluetooth都采用了基于链路加密的安全技术。与网络层安全技术相比，链路级安全机制作用范围受限，严重依赖于链路接入机制。2、移动IP（1）根据OSI 参考模型，IEEE 802.11b、蓝牙等无线接入技术工作在网络层之下的数据链路层和物理层，虽然使用户获得近距离内的移动性（Mobility），但不适用于广域网接入环境中的移动性问题。目前IP协议中IP地址与物理位置捆绑在一起，IP地址既用来标识网络中特定的主机，也用于报文选路，如果移动用户接入位置改变，IP地址也随之变化，原有的上层连接因此中断，可以说移动性是牺牲通信为代价的。2、移动IP（2）针对主机移动性问题，IETF于1996年推出了移动IP(Mobile IP)技术规范。Mobile IP基本思路很简单：一台具备移动性的主机同时具有使用两个截然不同的IP地址家乡地址（Home Address）和转交地址（Care of Address）；固定的家乡地址唯一标识移动主机，而临时的转交地址只用来选路（routing）。对与移动主机通信的对端节点（Corresponding Node）而言，移动节点的移动性是完全透明的，只需建立、保持与移动节点的家乡地址间的连接。2、移动IP（3）移动IP中的基本实体：移动节点(Mobile Node)：具备移动性的主机。家乡代理（Home Agent）：一个与移动节点家乡链路直接相连的路由器，移动节点改变接入位置后，HA负责维护该节点的位置信息。外地代理（Foreign Agent）：移动节点所处的外地链路上的一个路由器，一般是移动节点的缺省路由器。3、SKIP协议（1）移动VPN中移动主机经常采用无线接入，这就意味着移动主机资源、带宽有限，对密钥管理技术提出更高的要求。IPSec 协议推荐采用IKE协议进行密钥管理，但IKE协商涉及大量的公钥运算，耗费大量的计算资源，并且建立隧道之前必须首先协商，无法实现“在线密钥（Inline-Keying）”。在线密钥是指应用数据与加密数据使用的密钥一起传输，这样两个网络实体在发送、接收数据报的同时建立会话密钥。SKIP协议就是一种支持在线密钥的基于公钥密码技术的密钥管理协议，也是IETF制定的一种适用于IPSec的密钥管理协议。虽然SKIP避免了与密钥协商/更新这样的与伪会话有关的计算负担和复杂性。这种灵活性的代价是每个数据报必须增加一个附加的SKIP头。3、SKIP协议（2）037152331图25、SKIP头格式计数器n源NSID保留版本目的NSID下一个头Kij算法加密算法MAC算法压缩算法使用Kijn加密的KP源主密钥标识符（如果源NSID不等于0）目的主密钥标识符（如果目的NSID不等于0）3、SKIP协议（3）V.Gupta和G.Montenegro利用SKIP协议和反向隧道（ReverseTunneling）技术，将基于移动IP协议和IPSec协议有机结合在一起，成功实现了移动VPN（MobileVPN），使外地链路的移动节点成为内部专用网的一部分。3、SKIP协议（4）