第4章安全协议.ppt

《第4章安全协议.ppt》由会员分享，可在线阅读，更多相关《第4章安全协议.ppt（82页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第第4章章 网络安全协议网络安全协议主要内容主要内容4.1 安全协议概述安全协议概述4.2 身份认证协议身份认证协议4.3 协议设计的一般原则协议设计的一般原则4.4 SSL4.5 IPSEC4.6 协议的安全性分析协议的安全性分析4.1 安全协议概述安全协议概述 所所谓谓协协议议，就就是是指指两两个个或或两两个个以以上上的的参参与与者者为为完完成成某某项项特特定定的的任任务务而而采采取的一系列步骤。取的一系列步骤。安安全全协协议议就就是是建建立立在在密密码码体体制制基基础上的一种交互通信的协议。础上的一种交互通信的协议。安全协议中可能的参与者及其作用安全协议中可能的参与者及其作用协议参与者

2、协议参与者简写符号简写符号在协议中发挥的作用在协议中发挥的作用AliceAliceA A第一参与者第一参与者BobBobB B第二参与者第二参与者CarolCarolC C第三参与者第三参与者,如果有的话如果有的话DaveDaveD D第四参与者第四参与者,如果有的话如果有的话EveEveE E窃听者窃听者MalloryMalloryM M恶意的主动攻击者恶意的主动攻击者TrentTrentT T可信赖的仲裁者可信赖的仲裁者WalterWalterW W看守人，在某些协议中保护看守人，在某些协议中保护A A和和B BPeggyPeggyP P证明者证明者VictorVictorV V验证者验证

3、者 网网络络通通信信中中的的安安全全协协议议按按照照其其完完成成的功能可以分成以下的功能可以分成以下4类：类：密密钥钥交交换换协协议议：又又称称为为密密钥钥创创建建协协议议，一一般般情情况况下下是是在在参参与与协协议议的的两两个个或或者者多多个个实实体体之之间间建建立立共共享享的的秘秘密密，通通常常用用于于建建立立在在一一次次通通信信中中所所使使用用的的会会话话密钥。密钥。认认证证协协议议：认证协议中包括实体身份认证协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。认认证证和和密密钥钥交交换换协协议议：这类协议将认证和密钥交换协议结合在一起，是网络通信中最普遍

4、应用的安全协议。电电子子商商务务协协议议：电电子子商商务务协协议议中中主主体体往往往往代代表表交交易易的的双双方方，交交易易双双方方的的利利益益目目标标是是不不一一致致的的，或或者者根根本本就就是是矛矛盾盾的的（买买卖卖双双方方利利益益当当然然是是矛矛盾盾的的）。电电子子商商务务协协议议为为下下一一步步的的安安全全通通信信分分配配所所需需的的会会话话密密钥钥，是是网网络络通通信信中中应应用最普通的安全协议。用最普通的安全协议。4.2 身份认证协议身份认证协议假设假设KDC与与A和和B分别共享保密的秘密钥分别共享保密的秘密钥 KA KB，A与与B的标识分别为的标识分别为 IDA和和IDB，A、B

5、间建立共间建立共享密钥享密钥KS的过程如下：的过程如下：Wide-Mouth Frog 协协议议 （大嘴青蛙协议）（大嘴青蛙协议）A首先用首先用 对时间戳对时间戳 、B的标识的标识 和密钥和密钥 加密，并连同加密，并连同A的标识一起发的标识一起发送给送给KDC。然后然后KDC用用 对时间戳对时间戳 ，A的标的标识识 和会话密钥和会话密钥 加密后发送给加密后发送给B。在该协议中，认证的可靠在该协议中，认证的可靠性建立在性建立在KDC的可信性上。的可信性上。A相相信信KDC会按其要求将报文发送会按其要求将报文发送给给B，所以，所以A认证其接收方为认证其接收方为B；B相信相信KDC只会将与之有关的只

6、会将与之有关的报文发送给报文发送给A，所以，所以B认证其发认证其发送方为送方为A。（1）（2）（3）（4）一次性随机数据和在消息流（1）、（2）中起到连接认证A、B的作用，而在消息流（3）、（4）中是用来保证新鲜性。Ottway-Rees协议协议Kerberos认证协议认证协议 Kerberos是美国麻省理工学院（MIT）研制的认证协议，是一种实用的网络认证系统。Kerberos协议的设计目标是，通过网络通信的实体可以相互证明彼此的身份，可以抵抗旁听和重放等方式的攻击，并且还可以保证通信数据的完整性和保密性。1 术语术语范范围围(realm)：Kerberos的认证数据所负责的一个网络范围称为

7、一个realm。该数据库中存放该网络范围内的所有主体(principal)及其密钥，数据库的内容被Kerberos的ticket分发服务器as和TGs访问。realm通常用大写的字符串表示，并且在大多数Kerberos系统的配置中，realm和该网络环境到的DNS域是一致的。主主体体(Principal)：在Kerberos协议中，主体是参加认证的基本实体，通常主体有两种类型，一种表示网络服务者的身份，另一种表示某一特定主机提供的某种网络服务。即主体是表示客户端和服务端身份的实体。用户所见到的主体用一个字符串表示，其结构如下。primary：第1部分。当表示用户的时候，它是一个用户名；当表示服

8、务方的时候，它是一种服务的名称。instance：第2部分。对primary的进一步描述，例如，primary所在的主机名或primary的类型等，可省略。它与第1部分通过“/”分隔。realm：第3部分。principal所在的realm，与第2部分通过“”分隔，默认值为本地realm。2 符号符号c 客户端的principals 服务器的principaladdr 客户端的IP地址life 该ticket的生存期n 临时值，一个随机数串 x的密钥 x和y的会话密钥 x向v申请服务所用的Ticket 用x的密钥加密abc后的结果 x发出的authenticator3 Kerberos V5协

9、议的描述协议的描述 Kerberos V5认证协议主要由以下5个步骤组成，如下图 所示：1 2 3 4 5 4 Kerberos协议的安全缺陷协议的安全缺陷 Kerberos协议存在以下几条安全缺陷：不能很好地防止口令猜测式攻击。用时间戳防止重放攻击代价偏高。时间同步问题是一个薄弱环节。尽管Kerberos V5存在以上安全缺陷，它仍然不失为一个在安全与代价方面处理得比较好的协议，即它的“安全/代价比”较为理想，这也是它获得广泛应用的原因之一。4.3 协议设计的一般原则协议设计的一般原则 如果在协议的设计阶段就能充分考虑一些不当的协议结构可能使协议的安全性遭受破坏从而避免不必要的协议错误，将是

10、 事 半 功 倍 的。Martin Abadi和 Roger Needham在安全协议谨慎的工程实现一文中很好地总结了安全协议设计应该遵循的一般原则和方法，归纳如下。准则准则1 每个消息应清楚地说明它的意思，对消息的解释应完全依靠其内容，而不必借助于上下文来推断。即使存在合适的形式化表达方法，每个消息的内容也应该可以用一个完整的、有意义的语句来描述。例如例如：A发送的消息的意义可解释为:A在时刻向B发送了一个共享的（来保证）会话密钥 。B接收到上述消息但不能确信这个消息是不是A发送的，因此B把接收到的消息解释为：B在 时刻收到了自称是主体A发送来的会话密钥 。准则准则2 一个消息起作用的条件应

11、该清楚地说明，以便协议的使用者能够根据条件来判断是否采用该协议。例如例如:如果某人认为会话密钥应该由合适的可信第三方而不是参与会话的某一方选定，那么他将不会希望使用大嘴青蛙这样的协议。准则准则3（主体命名准则）如果主体的身份对于某个消息的意义来说是必要的，那么应该谨慎处理主体的身份信息，如在消息中明确地提到主体的名字。例如，对于如下协议例如，对于如下协议：（1）（2）（3）在第（3）步中的加密消息中，由于没有主体的身份信息，因此主体B得到消息（3）后，可以进行以下操作：这样，就可以对C进行欺骗，使得C相信消息来自于A。尤其是，C可能会用 加密敏感信息并发送给A，这时B就可以看到这些信息。改进的

12、方法很简单，即把通信双方的身份信息加入消息（3）中：（3）准则准则4（加密准则）应该清楚地知道协议中使用加密的目的，因为加密不是一种简单的运算，它需要的计算量较大，不清楚加密的目的可能会导致冗余。而且加密并不等同于安全，不正确的使用加密将导致协议的错误。例如：例如：在原Kerberos协议的消息（2）中采用了双重加密，而从安全和认证的角度来看，这并不能加强安全性，却增加了计算量。准则准则5（加密消息的签名准则）如果主体对已加过密的消息进行了签名操作，那么不能由此推断出主体知道该消息的内容。反之，如果主体对消息先签名然后再加密，那么可以推断出主体知道该消息的内容。例例如如：在规则1的例子中，为了

13、进一步确定发送者的身份，可将消息流改为：又如，对于ITU-T X.509协议中的消息：（1）在该消息流中，虽然是包含在签过名的消息中发送的，但却没有证据表明发送者确实知道经过私钥加密的数据。另外，可以用Hash函数来代替非对称密码体制中的加密，达到秘密通信和签名认证的效果，消息形式如下：准则准则6 要清楚地知道协议中所使用的临时值的特性。临时值可以用于确保时间上的连续性，也可以用于确保关联性，还可以通过其它方式建立关联性。例如例如，对于Ottway-Rees协议：（1）（2）（3）（4）一次性随机数据和在消息流（1）、（2）中起到连接认证A、B的作用，而在消息流（3）、（4）中是用来保证新鲜性

14、。准则准则7 在激励响应交换中可以使用可预测的值（如计数器的值）来保证新鲜性，但是如果这一可预测的值对协议的影响很大，那么就应该对该值进行保护，这样入侵者就不能模拟激励、以后再重放响应。例如例如，对于协议：（1）（2）其中,是现在的时刻,是用做激励的随机数。准则准则8（新鲜性准则）如果时间戳是根据绝对时间来保证其新鲜性的，那么不同机器本地时钟的差别必须小于消息允许的有效范围。而且，所有地方的时间维护机制必须成为可信计算基的一部分。例如例如：在原Kerberos协议中是用时间戳来保证新鲜性的，因此主体时钟的快与慢都会使协议容易受到攻击。准则准则9（密钥新鲜性准则）一个密钥可能在最近使用过，如用来

15、加密一个一次性随机数，但却很可能是相当旧的，甚至已经被泄露。因此，“最近用过”对密钥而言不能说明任何问题。例例如如，对对于于Needham-Schroeder协协议议（协议）：（协议）：（1）（2）（3）（4）（5）消消息息（4）、（5）只只能能使使B相相信信A在在场场，而而不不能能使使B相相信信 是是新新鲜鲜的的，随随机机数数 并未起到保证新鲜性的作用。并未起到保证新鲜性的作用。准则准则10（消息识别和编码准则）如果用一种编码来表达消息的意义，那么应能区分使用的是哪一种编码。通常情况下，编码是与协议相关的。经过某种编码以后，应能推出消息是属于某个协议，进一步说是属于协议的某一次特定运行，并且

16、知道该消息是协议中的第几条消息。例如例如：在N-S协议的消息（4）中的与消息（5）中的 是为了区别激励与响应。如果不采用这种编码方式，攻击者就可以把B发出的消息返回给B，使B错误地认为它是A的响应。准则准则11（信任准则）协议设计者应该知道他所设计的协议依赖于哪种信任关系，以及为何这种依赖是必不可少的。应该明确特定的信任关系被接受的原因，即使这些原因将建立在判决和策略之上而不是逻辑之上。例如例如，在原Kerberos协议中，服务器是可信的第三方，如果服务器发出错误的时间戳，那么协议的安全性将完全丧失。因此对服务器的信任关系应该明确。4.4 SSL协议SSL(Secure Socket Laye

17、r)为Netscape所研发，SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持。目前，利用公开密钥技术的SSL协议，并已成为因特网上保密通信的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，仅需安装数字证书，或服务器证书就可以激活服务器功能，从而实现安全通信。最有代表性的SSL版本为3.0。SSL协议提供的服务主要有：1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。SSL协议的分层结构SSL握手协议SSL记录协议层的工作流程4.5 IPS

18、ec协议IPSec（IP Security）是一种由IETF设计的端到端的确保IP层通信安全的机制。IPSec不是一个单独的协议，而是一组协议，这一点对于我们认识IPSec是很重要的。IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。IPSec在IPv6中是必须支持的，而在IPv4中是可选的。IPSec具有以下功能（1）作为一个隧道协议实现了VPN通信IPSec作为第三层的隧道协议，可以在IP层上创建一个安全的隧道。（2）保证数据来源可靠在IPSec通信之前双方要先用IKE认证对方身份并协商密钥。（3）保证数据完整性（4）保证数据机密性

19、4.5.2 IPSec体系结构和协议4.5.3 Internet密钥交换密钥交换IKE IKE(The Internet Key Exchange)是是IETF制制定的定的Internet环境下的密钥交换协议环境下的密钥交换协议(主要用于主要用于IPSEC)。IKE是由是由RFC2409文件描述的一种混合密钥文件描述的一种混合密钥交换协议，交换协议，IKE协商分两个阶段协商分两个阶段,第一阶段，协商第一阶段，协商创建一个通信信道（创建一个通信信道（IKE SA），并对该信道进行），并对该信道进行验证，为双方进一步的验证，为双方进一步的IKE通信提供机密性、消通信提供机密性、消息完整性以及消息源

20、验证服务；第二阶段，使用息完整性以及消息源验证服务；第二阶段，使用已建立的已建立的IKE SA建立建立IPsec SA。60 IKE协议针对可能的攻击设计了相应的协议针对可能的攻击设计了相应的安全机制，并制定了五种交换模式安全机制，并制定了五种交换模式。阶段。阶段1 1有有两种模式的交换：对身份进行保护的两种模式的交换：对身份进行保护的“主模主模式式”交换以及根据基本交换以及根据基本ISAKMP ISAKMP 文档制订的文档制订的“野蛮模式野蛮模式”交换。阶段交换。阶段2 2 交换使用交换使用“快速模快速模式式”交换。交换。IKEIKE自己定义了两种交换：自己定义了两种交换：1为通为通信各方间

21、协商一个新的信各方间协商一个新的Diffie-Hellman 组类组类型的型的“新组模式新组模式”交换；交换；2在在IKE 通信双方通信双方间传送错误及状态消息的间传送错误及状态消息的ISAKMP信息交换。信息交换。下面针对下面针对IKE协议的安全机制和交换模式，协议的安全机制和交换模式，进行分析。进行分析。61IKEIKE的交换过程（主模式）的交换过程（主模式）SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身

22、份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer262IKEIKE的交

23、换过程（野蛮模式）的交换过程（野蛮模式）SA交换，交换，密钥生成密钥生成ID交换及验证交换及验证发送本地发送本地IKE策略，策略，密钥生成信息密钥生成信息身份验证和身份验证和交换过程验证交换过程验证接受对端接受对端确认的策略，确认的策略，密钥生成密钥生成查找匹配查找匹配的策略，的策略，密钥生成密钥生成确认对方使确认对方使用的算法，用的算法，产生密钥产生密钥验证对方验证对方身份身份发起方策略，发起方策略，发起方策略，发起方策略，密钥生成信息密钥生成信息密钥生成信息密钥生成信息接收方的密钥生成信息，接收方的密钥生成信息，接收方的密钥生成信息，接收方的密钥生成信息，身份和验证数据身份和验证数据身份和

24、验证数据身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据Peer1Peer1Peer2Peer263DHDH交换及密钥产生交换及密钥产生ac=gamodpdamodppeer2peer2peer1peer1bd=gbmodpcbmodpd da amodp=cmodp=cb bmodp=gmodp=gababmodpmodp(g,p)(g,p)641.IKE的安全隐患的安全隐患 IKE在阶段一协商采用在阶段一协商采用Diffie-Hellman密钥交换协议，密钥交换协议，Diffie-Hellman交换技术可以在一个不安全的通信信道交换技术可以在一

25、个不安全的通信信道上，在交换的双方之间，建立起一个安上，在交换的双方之间，建立起一个安全的共享秘密全的共享秘密K，并且可以用共享的秘，并且可以用共享的秘密来保护通信。密来保护通信。Diffie-Hellman交换不交换不能抵抗中间人攻击，当它面临洪泛攻击能抵抗中间人攻击，当它面临洪泛攻击时表现比较脆弱。时表现比较脆弱。65(1)洪泛攻击洪泛攻击(Flooding Attack)Flooding Attack也叫也叫DoS(Denial of Service)攻击，在攻击，在Diffie-Hellman交换中，交换中，攻击者可以制造大量的伪造攻击者可以制造大量的伪造IP的请求包，的请求包，发给被

26、攻击者。每一个请求包让被攻击者发给被攻击者。每一个请求包让被攻击者响应，考虑到这些包来自响应，考虑到这些包来自“不同的不同的IP”，响应者对每一个包进行计算开销很大的幂响应者对每一个包进行计算开销很大的幂运算处理，一旦伪造包到达率达到一定程运算处理，一旦伪造包到达率达到一定程度，响应者将无法响应真正的合法用户。度，响应者将无法响应真正的合法用户。66 针对针对“Flooding Attack”IKE设计设计了了“cookie”交换，交换，cookie生成方式生成方式为：联系双方的为：联系双方的IP地址地址/端口端口/协议散列协议散列运算的结果，或者是时间戳。这样每运算的结果，或者是时间戳。这样

27、每个个cookie可以和一个远程通信方对应可以和一个远程通信方对应起来。一旦发起者和响应者起来。一旦发起者和响应者cookie交交换完以后，余下的密钥交换消息都必换完以后，余下的密钥交换消息都必须包含须包含cookie对，相应的对，相应的cookie与发与发起者和响应者的起者和响应者的IP地址联系起来。地址联系起来。67 如果攻击者与被攻击者交换如果攻击者与被攻击者交换cookie后，后，攻击者想发送多个不同的伪造攻击者想发送多个不同的伪造IP地址和同一对地址和同一对cookie进行进行Diffie-Hellman交换消息，被攻击交换消息，被攻击者会将这类信息轻易丢弃，因为者会将这类信息轻易丢

28、弃，因为cookie不与这不与这些伪些伪IP地址对应。攻击者必须为每一个伪地址对应。攻击者必须为每一个伪IP进进行一次行一次cookie交换，而且必须接收被攻击者发交换，而且必须接收被攻击者发出的响应者出的响应者cookie消息，由于消息，由于IP地址是伪造的，地址是伪造的，这将是开销很大的被动窃听。这将是开销很大的被动窃听。Cookie消息机制不能从根本上保证防御消息机制不能从根本上保证防御DoS攻击，但它能让攻击者增大发起攻击，但它能让攻击者增大发起DoS的代的代价，是一种被动防御方式。价，是一种被动防御方式。68(2)中中间间人人攻攻击击(Man In The Middle Attack

29、)Diffie-Hellman交换最大的不足是它交换最大的不足是它易遭受中间人攻击。在这种攻击中，攻击易遭受中间人攻击。在这种攻击中，攻击者在发起者面前模仿响应者，而在响应者者在发起者面前模仿响应者，而在响应者面前模仿发起者。则攻击者共享发起者和面前模仿发起者。则攻击者共享发起者和响应者的秘密。响应者的秘密。69 但在但在IKE提供对共享秘密的认证提供对共享秘密的认证后，便能有效的防范此类攻击，攻后，便能有效的防范此类攻击，攻击者无法提供让通信双方认可的认击者无法提供让通信双方认可的认证消息。证消息。IKE提供了三种认证方式：提供了三种认证方式：预共享密钥、数字签名、公钥加密预共享密钥、数字签

30、名、公钥加密 70 在预共享密钥认证中，通常通过发起在预共享密钥认证中，通常通过发起者身份者身份Idi和响应者身份和响应者身份Idr来对应共享密来对应共享密钥表，但在钥表，但在IKE的主模式的主模式PSKEY只能通过只能通过发起者和响应者的发起者和响应者的IP地址确定，所以主模地址确定，所以主模式下的预共享密钥认证必须在发起者和响式下的预共享密钥认证必须在发起者和响应者的应者的IP地址固定才能实施。但是在野蛮地址固定才能实施。但是在野蛮模式下，可以通过模式下，可以通过Idi和和Idr来确定来确定PSKEY。野蛮模式没有提供身份保密。野蛮模式没有提供身份保密。71 签名认证签名认证是最具推广性的

31、认证方式，是最具推广性的认证方式，但是如何获得对方的公钥一直是个难题。但是如何获得对方的公钥一直是个难题。基于证书的数字签名认证，可以与基于证书的数字签名认证，可以与PKI对对应起来，组建应起来，组建PKI的的VPN，通过可信的第，通过可信的第三方签发的证书来获取对方的公钥。三方签发的证书来获取对方的公钥。IKE将基于证书的数字签名认证作为可选项。将基于证书的数字签名认证作为可选项。数字签名认证提供了不可抵赖性，因为数数字签名认证提供了不可抵赖性，因为数字签名可以作为证实特定实体的证据，这字签名可以作为证实特定实体的证据，这也是其它两种认证方式不能提供的能力。也是其它两种认证方式不能提供的能力

32、。72 公钥加密认证采用对方的公钥对身份公钥加密认证采用对方的公钥对身份信息信息Idi/r和随机数和随机数Ni/r进行加密，因为进行加密，因为Ni/r也为种子密钥贡献过力量，所以公钥加密也为种子密钥贡献过力量，所以公钥加密认证比前两种方式认证比前两种方式Ni/r均采用明文传递要安均采用明文传递要安全。全。不足的是它需要代价高昂的两次公共不足的是它需要代价高昂的两次公共密钥加密运算。同时它有一部分容易抵赖密钥加密运算。同时它有一部分容易抵赖的特性，也就是说每一方都可以否认它曾的特性，也就是说每一方都可以否认它曾是一次交换的参与者，因为双方完全可以是一次交换的参与者，因为双方完全可以重建双方交换的

33、信息。重建双方交换的信息。732.IKE协商模式的安全协商模式的安全 IKE的主模式的安全主要基于的主模式的安全主要基于Diffie-Hellman交换的安全，增加了部分抗交换的安全，增加了部分抗DoS攻击能力和身份认证能力。此外它还额外攻击能力和身份认证能力。此外它还额外提供了身份保护提供了身份保护IDi/r都是加密后传输，都是加密后传输，和和ISAKMP协商能力协商能力保护套件经过双保护套件经过双方协商。方协商。74 IKE的野蛮模式以降低安全强度的代的野蛮模式以降低安全强度的代价来提高价来提高IKE的协商速度。野蛮模式不提供的协商速度。野蛮模式不提供身份保护，也没有利用身份保护，也没有利

34、用ISAKMP协商能力协商能力保护套件由发起者直接确定。第二阶保护套件由发起者直接确定。第二阶段的快速模式，用第一阶段生成的加密密段的快速模式，用第一阶段生成的加密密钥钥SKEYIDd衍生出用于衍生出用于IPSec SA的加密密的加密密钥：钥：NEWKEY=hashfunc(SKEYIDd，protocol|SPI|Ni|Nr)75 每个每个IPSec SA通过安全参数索引通过安全参数索引SPI和随和随机数机数Ni、Nr使自己的密钥独一无二。但是所有使自己的密钥独一无二。但是所有的密钥都与的密钥都与SKEYIDd有关联，如果攻击者能有关联，如果攻击者能够在第一阶段判断出够在第一阶段判断出SKE

35、YIDd，那么由，那么由SKEYIDd衍生的密钥将变的不再安全。衍生的密钥将变的不再安全。IKE因因此提供了此提供了PFS(Perfect Forward Secrecy)，完美向前保护的选项。就是再一次进行完美向前保护的选项。就是再一次进行Diffie-Hellman交换，生成新的共享秘密交换，生成新的共享秘密K。而新的。而新的IPSec SA加密密钥将与新的共享秘密加密密钥将与新的共享秘密K有关：有关：NEWKEY=hashfunc(SKEYIDd，K|protocol|SPI|Ni|Nr)76 IKE密钥交换协议被认为较难理解，它是密钥交换协议被认为较难理解，它是IETF推崇的标准的密钥

36、交换协议。新的协议有推崇的标准的密钥交换协议。新的协议有IKE2、JFK等。等。IKE的安全机制，主要依赖第的安全机制，主要依赖第一阶段的认证方式，而认证方式中目前有两个一阶段的认证方式，而认证方式中目前有两个方向：安全方向：安全DNS、IKE与与PKI结合。安全结合。安全DNS将加密系统运用到将加密系统运用到DNS中，当两个通信系统在中，当两个通信系统在DNS中寻找域名时，就提供认证信息，以便实中寻找域名时，就提供认证信息，以便实现机会加密现机会加密(Opportunitistic Encryption)。而而IKE与与PKI的结合是最具有伸缩性的安全系的结合是最具有伸缩性的安全系统，而且统

37、，而且PKI的建设，已日益受到重视。的建设，已日益受到重视。774.6 安全协议的安全性分析安全协议的安全性分析 目前设计出的安全协议已有很多，但许多协议常常刚一发表，便被发现有漏洞。最主要是因为协议设计者对安全需求定义研究得不够透彻，并且对设计出来的协议缺乏足够的安全性分析。密码攻击的目标目标通常有以下三种：协议中采用的密码算法 算法中采用的密码技术 协议本身 协议分析是发现安全协议中存在漏洞的重要途径。分析的方法方法有：攻击检验方法 形式分析方法 安安全全协协议议是是建建立立在在密密码码体体制制基基础础上上的的一一种种交交互互通通信的协议。协议设计的一般原则有信的协议。协议设计的一般原则有11条。条。对对经经典典的的协协议议Kerberos、SSL、IPSEC进进行行了了分分析和介绍。析和介绍。小结小结