安全群组sa ipsec的金钥交换与管理.ppt

《安全群组sa ipsec的金钥交换与管理.ppt》由会员分享，可在线阅读，更多相关《安全群组sa ipsec的金钥交换与管理.ppt（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IP Security大綱n前言nIP AHnIP ESPn安全群組SAnIPSec的金鑰交換與管理n結論2參考文獻n楊慶隆,“寬頻網際網路網路安全IPSec機制探討”n陳契憲,“IPSec的明日之星”,0&1 BYTE,Jan.2000,pp9499.n李逸元、洪李吉、蔡銘聰、李昆育,“IPSec系統應用於嵌入式系統之設計和實作”,資訊安全通訊,第五卷第三期,June 1999,pp6885.nDave Kosiur,“Building and Managing Virtual Private Networks”,wiley computer publishing,1998.n李國熙、陳永旺

2、,“電子商務與網路安全”,OREILLY,1999。3nGeneral IPSec RFCs:1825,2401,2411,2521,2709,2764nESP,AH RFCs:1826-187,2402,2406nKey Exchange RFCs:2407-2409,2412,2367,2522-2523nCryptography RFCs:1828-1829,2085,2104,2202,2403-2405,2410,2451,2393-2395nInternet Rosurces:nhttp:/www.ietf.org/thml.charters/ipsec-charter.htmln

3、http:/.tw/faq/vpn/ipsec.htmlnhttp:/.tw/faq/vpn/SKIP.htmlnhttp:/conway.cba.ufl.edu/ism6222/Ipsec.htmlnhttp:/www.hsc.fr/veille/papier/papier.html.ennhttp:/www.ip-nhttp:/ Layer 與 TCP/IP LayerApplicationPresentationSessionTransportNetworkData LinkPhysicalApplicationTCPIPData LinkPhysicalOSI 7 LayerTCP/I

4、P 5 Layer6攻擊方式n大部分的攻擊方式包括n假冒IP(IP Spoofing)n各種形態的竊聽(eavesdropping)n封包察看(Packet sniffing)7IPSec ArchitectureNetwork Layer/IPNetwork Layer/IPIPSec/Secure Transmission ProtocolIPSec/Secure Transmission ProtocolTransport Layer/Protocol(TCP,UDP,ICMP Transport Layer/Protocol(TCP,UDP,ICMP etcetc.).)ISAKMP/

5、IKEISAKMP/IKEApplication Layer/Protocol(HTTP,FTP,SMTP)Application Layer/Protocol(HTTP,FTP,SMTP)I IP PS Se ec c F Fr ra amme ew wo or rk k8nIETF(Internet Engineering Task Force)著手訂定了一套開放標準網路安全協定IPSec(IP Security)，將密碼技術應用在網路層，以提供傳送、接收端做資料的認證(Authentication)、完整性(Integrity)、存取控制(Access Control)以及機密性(Con

6、fidentiality)等安全服務。nIPv4與IPv6:nIPv4:隨意的(Optional)nIPv6:強制的(Mandatory)IPSec之功能9nIPSec並不是針對特定加解密演算法而設計，而是提出一個共同的基礎架構。因此如果有新的演算法可以很容易套用到IPSec上，非常具有彈性。nIPSec同時設計來必須保持透通性，即尚未升級為IPSec的IP通信系統也可以和IPSec系統共存而互通。IPSec之特色10n利用IPSec有三種主要應用方式：(1)在校園網路(campus network)上用來加密保全網路連線(2)透過Internet連結企業網路與分公司(3)個人經由Intern

7、et對公司區域做遠端存取。（即所謂的“端對端”IPSec形態，安裝有IPSec 軟體的用戶端機器，透過IP網路對伺服器建立起安全的通道。）nIPSec主要是設計來達到網路層中端對端安全通訊的第三層協定。11其他協定1.SSL(Secure Socket Layer)n專用於保全瀏覽器和網頁伺服器的網頁會談，而不是下層的IP連線本身。n可以在IPSec連線存在的環境下，同時在網頁程式上使用SSL。2.PPTP(Point-to-Point Tunneling Protocol)n透過“苗條”密碼的安全性，來做到資料的通道傳輸。n它用了比IPSec更短的金鑰長度，破解起來也容易得多。123.L2T

8、P(Layer 2 Tunneling Protocol):n不限於服務IP通道n不但可傳達IPX，語音和視訊等多點傳播應用程式的資料也沒有問題。n提供使用者層次的認證nMicrosoft現在結合L2TP和IPSec，因L2TP在VPN上包封資料交通必須仰賴強大的安全性。13IPSec vs SSLIPSecIPSecnNetwork layer/IPnSecure Host/Subnet-Host/SubnetnNo surgery on current applicationsnPerformance degraded for all applicationnSender authenti

9、cationSSLSSLnTransport layer/SocketnSecure Application-ApplicationnApplications have to be modifiednApplications do not use SSL do not suffer performance lossnNo sender authentication14Encrypted IP packetsInternet layer 瀏覽器/SSLApplicationIPSec driver TCP/UDPtransport layerApplicationIPSec driver TCP

10、/UDPtransport layerIPSec15IPSec,SA金鑰管理SKIPISAKMP/Oakley(IKE)資料封包轉換ESPESPDES-CBCESPTriple-DESAHMD5SHA-1IPSec之結構n整個IPSec大致上可以分成資料封包轉換、與自動金鑰加密與管理兩個部份。16nIPSec定義兩種資料封包轉換：AH(Authentication Header)和ESP(Encapsulation Security Payload)。受保護的一般資料封包透過這兩種轉換以達到安全保密的目的。n這兩種轉換的編碼方式並不是只適用少數特定的加密或身分驗證之演算法，而是由SPI(Sec

11、urity Parameter Index)來指明通訊的兩端事先約定所採用的加密或身分驗證之演算法或其他參數。n這兩種封包轉換是可以彼此組合使用的，其方式又分成隧道模式(Tunnel Mode)和傳送模式(Transport Mode)兩種。17nIP AH提供資料的完整性和認證，但不包括機密性。而IP ESP原則上只提供機密性，但也可在ESP Header中訂定適當的演算法及模式來確保資料的完整性並認證。nIP AH和IP ESP可以分開使用或一起使用。nIPSec包括IP AH和IP ESP中所使用的金鑰交換和管理，也就是安全群組SA(Security Association)和金鑰管理I

12、KE(Internet Key Exchange)。nDOI(Domain of interpretation)是為了讓其他協定可以使用ISAKMP而定的Framework。18AuthenticationalgorithmEncryptionalgorithmESP protocolAH protocolDOIKey managementIPSec architecture19nSKIP與ISAKMP/Oakley都是金鑰管理協定。ISAKMP/Oakley較SKIP有彈性，且能支援較多的協定，已被選為IPv6的金鑰管理協定。20IPSec 架構SAD:Security Associatio

13、n DatabaseSPD:Security Policy Database21IP AHnIP AH提供認證及裝載資料的完整性，供通訊的兩端驗證該資料封包的確為對方所傳出，但不含機密性。n由於它不提供機密性，所以不受密碼元件有對外輸出的官方限制，故能橫跨不同的國家的網際網路使用。22nAH使用需要128位元金鑰的MD5(Message Digest 5)計算出整個資料的雜湊函數值（也可使用SHA-1(Secure Hash Algorithm 1)），使得接收端（知道金鑰的人）也可以驗證，計算是否使用相同的密鑰以檢查資料是否正確完整。n若檢查不符，則將此封包丟棄。n依據IPSec規定，IPv

14、6每部主機應能提供密鑰長度128位元的MD5，而所以IPv4也應宣告能支援此項AH功能。23nAH格式24n格式說明n下一標頭(8 bits)：定義AH後面資料的類型n長度(8 bits)認證資料欄位的長度n保留(16 bits)：保留位元做未來之用nSPI(Security Parameter Index,32 bits)：n指明通訊的兩端事先約定所採用的加密或身分驗證之演算法與其他參數。n識別碼、目的位址和轉換格式（此為AH 轉換）唯一決定一個安全參數組合SA(Security Association)25n序號(32 bits)：n為嚴格遞增函數n用來去除資料封包在傳遞時產生的錯誤，以及

15、防止重送攻擊n認證資料(Authentication Data)：n為任意長度（IPv4為32位元的整數倍，IPv6為64位元的整數倍）之資料n其內容為完全檢查值ICV(Integrity Check Value)加上末端補齊(Padding)n完整檢查值之長度視所採用之身分認證演算法(SPI決定)而定(MD5或SHA-1)26HMAC-MD5與HMAC-SHA-1n一般來說，SHA-1是被認為比MD5還強的hash functionnHMAC(Hashed Message Authentication Code)是用一個secret key和一個hash function產生一個MAC(me

16、ssage authentication code)。HMAC可以讓其他hash function更不易受到攻擊，就算配合它使用的hash function有問題，還是可以提高安全性。27HMAC-MD5與HMAC-SHA-1(contd)nHMAC-MD5的輸出是128 bits，而HMAC-SHA-1是160 bitsn因authenticator length的內定值是96 bit，所以在一般情況下，兩種Hash function的Hash值都必須在填入前削短(truncated)281.IPv4IPv4IPv4IPv4Original IP header(any options)Ori

17、ginal IP header(any options)Original IP header(any options)TCPDataAHTCPDataBefore applying AHAfter applying AHAuthenticated except for mutable fieldsNew IP header(any options)AHTCP DataAuthenticated except for mutable fields in the new IP headerAH操作模式29隧道模式的觀念已加密的安全隧道Internet主機ASecurityGatewayGW1主機B

18、SecurityGatewayGW2302.IPv6IPv6Original IP headerTCPDataBefore applying AHIPv6AHTCP DataExtra headers if presentOriginal IP headerHop-by-hop,destination,routing,fragmentDestinationoptionsAuthenticated except for mutable fieldsIPv6AHTCP DataNew IPheaderAfter applying AHExt headersif presentOriginal IP

19、 headerExt headersIf presentAuthenticated except for mutable fields in the new IP header31IP ESPnIP ESP標準描述如何加密IP的裝載資料(Payload)，加密的範圍可以是整個IP Datagram或者只是上層TCP,UDP或ICMP資料（完全決定在使用隧道模式或傳送模式）。(Note:ICMP(Internet Control Protocol)攜帶了網路的錯誤訊息及其他須知會網路軟體的狀況)nIP ESP所使用的保密技術是DES或是Triple-DES，模式則是CBC(Cipher Bloc

20、k Chain)nIP ESP也能應用在認證、完整性，以及防止重送攻擊。32nESP的傳送模式：InternetSecurityGatewayGW1SecurityGatewayGW2主機A主機B主機C主機D(隧道模式)(傳送模式)AB：傳送模式BA：隧道模式33nIP ESP的隧道模式及傳送模式各有其優點。n隧道模式可以在兩個Security Gateway間建立一個安全“隧道”。n傳送模式加密的部份較少，沒有額外的IP標頭，故工作效率較佳。34nESP格式：nESP格式包含了ESP Header及ESP Trailer兩部份。安全參數索引SPI順序號碼(Sequence Number)Pa

21、yload DataPadding填充長度下一標頭認證資料07152331 ESP Trailer ESP Header35n格式說明nSPI、Sequence Number:和AH的相同nPayload Data:ESP中定義所承載的密文，有兩種可能(1)完整的IP資料封包之密文(2)IP資料封包的資料部份之密文n前者稱為隧道模式(Tunnel Mode)，後者稱為傳送模式(Transport Mode)n加密演算法由SPI指明通訊的兩端事先約定所採用的演算法36n身分認證資料:n此部份僅為承載之密文部份之完整檢查值，與AH不同（AH為整個IP資料封包之完整檢查值）n此欄位亦為選項，由SPI

22、指明371.ESP傳送模式：IPv4Original IP header(any options)TCPDataBefore applying ESPIpv4After applying ESPOriginal IP header(any options)ESPheaderTCPDataESPtrailerESPauthorizationEncryptedAuthenticated38IPv6Original IP headerTCPDataBefore applying ESPExtra headers if presentIPv6ESPTCP DataOriginal IP headerH

23、op-by-hop,destination,routing,fragmentDestinationoptionsAfter applying ESPESPtrailerESPauthorizationEncryptedAuthenticated39nESP標頭直接加在欲傳送的資料前n這種模式可節省頻寬，因為IP標頭不須加密，不像隧道模式，一個封包有兩個IP標頭40n步驟：(1)使用ESP將IP Payload封裝起來(2)傳送端：(i)利用使用者 ID 和目的端位址以得到SA 環境(ii)用加密演算法(DES或Triple-DES)加密 傳送的資料(3)接收端：(i)收到ESP封裝的封包時直接

24、處理IP標題(ii)從ESP Header拿取SPI值以得到相對的 SA(iii)利用SA的安全環境所定的解密函數解 出所加密的資料41n對傳送模式而言，解密的人就是目的位址端的使用者n針對Firewall,Gateway Proxy而言，使用隧道模式較為適合，因為他們不是原始的送、收端422.ESP隧道模式IPv4Original IP header(any options)ESPTCPDataESPtrailerESPauthorizationEncryptedAuthenticatedNew IP header(any options)ESPTCPDataNew IPheaderNew

25、extheadersOriginal IP headerOriginal ext headerESPauthorizationESPtrailerIPv6EncryptedAuthenticated43n步驟：(1)傳送端：(i)先使用SA的相關訊息將IP的封包加密(ii)在前面加上ESP Header(iii)Prepend新的IP標頭(2)接收端：(i)使用ESP Herder內容中的SPI值決定SA(ii)解出ESP Herder後的裝載資料，就可以 取回原始的IP標頭與封包44AH與ESP混合使用nIP AH與IP ESP可以獨立或混合使用1.先加密再認證傳送模式隧道模式加密加密認證認

26、證452.先認證再加密認證加密46安全群組SAn不同的安全參數組合由SPI、目的位址，與轉換格式(AH或ESP)唯一決定。nSA(Security Association)定義了一個安全的“環境”，這個環境的內容包含了IP封包加密、解密，和認證的相關訊息，敘述如下：n密碼功能：提供加密、解密或兩者同時n密碼演算法：例如加解密使用DES或Triple-DES，認證使用MD5或SHA-1n是否有啟始化向量nSA的生命週期47nSA可以用SPI(32 bits)來描述，也就是一個SPI值決定一個特定的SA例如：n主機A可以通知主機B SPI值為1000，它所相對的SA環境，密碼功能為只有加密，用DE

27、S，金鑰為0 x1234567890abcdef(長度為64位元)。n所以主機A就可以藉由SPI 1000的值來加密它的資料然後傳送到主機B。n當B收到封包後利用主機A和SPI的值就可以決定出SA而解密出原始資料。48nSA是單向的(如AB)，對主機A和主機B這兩個要建立安全通訊的主機而言，則需要兩個SA。（(AB)和(BA)）nSA有兩種鍵入方式：(1)主機導向鍵入方式(Host-Oriented Keying):不考慮使用者，從同一個系統所發出的封包，均 使用相同的金鑰(2)使用者導向鍵入方式(User-Oriented Keying):以使用者為考量，允許使用者有不同的金鑰49n一個IP

28、Sec的實際例子：主機PrivateNetworkInternetPrivateNetwork主機SecurityG.twSecurityG.tw50n下圖為CHECK POINT Firewall-1的例子Scheme:MANUAL IPSECSP1:0 x1234New SPI.DeleteEncryption algorithm:DESAuthentication algorithm:SHA1IPSec options:ESP AH Enable seedSeedEncryption key:e172b6153cfc066aAuthentication key:37768980b3471

29、745oo16Peer Gateway:Any Diagnostics Track:CryptLog ApplyReset加密演算法ESP AH同時使用加密金鑰認證演算法認證金鑰51IPSec的金鑰交換與管理n運用IPSec的實體兩端必須知道一組相對的加密與解密金鑰才能正常運作n相對的金鑰可以用人工手動或系統自動的方式交換n目前系統自動交換的金鑰管理協定有SKIP(Simple Key-management for IP)與ISAKMP/Oakley(Internet Security Association Key Management Protocol/Oakley)兩種，都可應用在不同的

30、金鑰交換演算法中。SKIP較為簡單，而ISAKMP/Oakley則可應用於較多的協定。521.SKIP:nSKIP是由Sun Microsystem所發展n金鑰管理是階層式的金鑰管理n通訊雙方真正共享的密鑰是Kij(這是利用Diffie Hellman的公開金鑰對而達到共享的)53Diffie Hellman PKDSAB54KijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)KijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)Kp用Kijn將Kp加密後插入SKIP Header送到對方用Kijn解回Kp共

31、享密鑰Kij送端收端加密金鑰認證金鑰加密金鑰認證金鑰55n符號說明：nKij:通訊雙方真正共享的密鑰nn:離1995年1月1日零時的時數nKijn:長期金鑰,每隔1小時更換一次nKp:短期金鑰,每隔2分鐘更換一次nE_Kp:加密金鑰nA_Kp:認證金鑰56新的標頭 rcs:.tw dst:.tw protocol:SKIP SKIP 標頭 金鑰 加密演算法：Triple-DES 資料 加密演算法：DES 認証演算法：MD5 加密後的 Kp 認証標頭 AH SPI:0 x1234 Message Digest 原始的 IP 標頭 src:.tw dst:hostb.bbb.edu.tw prot

32、ocol:TCP IP 裝載資料(IP Payload)加密 認証 SKIP封包內容572.ISAKMP/Oakley(IKE):針對系統自動交換方式，IETF定義了一組金鑰交換的通訊協定Internet Key Exchange(IKE)，下列為相關事項：nISAKMP:n定義一組金鑰交換時所用的IP資料封包格式與封包處理程序及原則n此定義可以適用在不同的金鑰交換演算法中n須配合一套安全保密定義系統DOI(Domain of Interpretation)來實作58nOAKLEY:n為一組擷取Deffie-Hellman演算法精神的金鑰交換演算法n可適用在IPSec與其他安全保密通訊系統n本

33、演算法沒有定義金鑰或金鑰交換訊息本身的格式，只定義必需的基本資料、交換模式與其交換步驟nIKE:nIKE為IETF定義的金鑰交換通訊協定n此種通訊協定實作OAKLEY演算法的三種模式，並採用ISAKMP所定義的資料封包交換格式與封包處理程序及原則59nDOI和IPSec DOI:nDOI意指安全保密定義系統nIPSec DOI為IETF定義的一套安全保密定義系統DOI RequirementIPSEC DOINaming Scheme for DOI-specific protocol identifiersIPSEC Naming SchemeInterpretation for the S

34、ituation fieldIPSEC Situation DefinitionSet of applicable security policiesIPSEC Security Policy RequirementSyntax for DOI-specific SA attributesIPSEC Security Association AttributesSyntax for DOI-specific payload contentsIPSEC Payload ContentAdditional Key Exchange types(Optional)(empty)Additional

35、Notification Message types(Optional)(empty)60ISAKMP的2個PhasenIKE操作在2個phase，是用ISAKMP原來的定義nPhase 1:通訊雙方建立起一個安全通道來得到ISAKMP SAnPhase 2:通訊雙方在談判(negotiate)後建立一個有一般目的(general-purpose)的(或新的)SA (假設目前已存在一個SA)61Oakley的三個ModenOakley提供3個Mode來建立ISAKMP SAnMain mode:n可完成ISAKMP phase 1的模式nAggressive mode:n另一種完成ISAKMP

36、 phase 1的模式n較簡單、快速n無身分(identity)的保密nQuick mode:n完成ISAKMP phase 2的模式62ISAKMP Main moden假設通訊雙方未建立過ISAKMP SAn目的產生新的Key及建立ISAKMP SAn共有3個two-way exchange63Main mode步驟SA Header1Noncei Key Header3Header SA2Header Key Noncer 4Sigi Cert IDii Header5EncryptedHeader IDrr Cert Sigr6EncryptedInitiatorResponder64

37、Main mode的3個exchangen在Main mode步驟中，共有3個exchange(1)基本的 SA 建立:n同意基本的演算法和hash function(2)金鑰產生n利用Diffee-Hellman的方法產生金鑰n傳遞彼此的Nonce(為一個亂數，給對方簽章後來驗證對方的身分)(3)SA的建立n在驗證無誤後，完成動作65ISAKMP Aggressive moden假設與Main mode同n目的與Main mode同n較快、簡單，但無雙方身分的保密66Aggressive mode步驟3Sigi Cert HeaderIDii Noncei Key SA Header12He

38、ader SA Key Nonceir IDir Cert SigrInitiatorResponder67ISAKMP Quick moden假設通訊雙方已建立起ISAKMP SAn目的產生新的Keying materialn在Quick mode下的封包都是在加密的情況下傳送的68Quick mode 步驟IDui/IDur Key Noncei SA Hash1 Header1Hash3 Header3Header Hash2 SA Noncer Key IDui/IDur2InitiatorResponderHash1=H(Noncei|SA|Key|IDui/IDur)Hash2=H

39、(Noncei|Noncer|SA|Key|IDui/IDur)Hash3=H(Noncei|Noncer)69Quick mode的Key GenerationnKey的產生有兩種方法(1)Non-perfect forward secrecy:(2)Perfect forward secrecy:利用存在的SA再用一次Diffie-Hellman金鑰交換法Hash舊Key新KeyNoncei,Noncer70IPSec在VPN上面的應用nIPSec可以裝設在gateway或主機上，或者是同時n若IPSec裝在gateway上，則可在不安全的Internet上提供一個安全的通道n若裝在主機，

40、則能提供主機端對端的安全性71經過加密經過加密經過加密IPSecIPSecIPSecIPSecIPSecIPSec(a)Gateway對Gateway(b)主機對Gateway(c)主機對主機72Leading Figuresn硬體及基礎建設(Infrastructure)nCISCOn routern軟體部份nMicrosoftnVPN in Windows operating system nLinuxn IPv6/IPSecn服務供應商(Service provider)nMCI:VPN service providern標準制定單位(Standard organization)nIET

41、F IPSec workgroupnSteering the development of IPSec73The Comparison of computational cost2040608010010305070900IProutingPacketfilteringProxymgmntPacketauthenticationDESencryptionTriple-DESencryption74結論nIKE是一個能夠運用簽證的應用程式-必須和PKI互動才能發揮功能。但如何管理數位簽章？例如要怎樣將簽證核發給為數數千人以上的遠端使用者？n一種名為X.509公開金鑰基礎環境(Public Key

42、 Infrastructure X.509,PKIX)的標準，將X.509上數位簽證的完整生命週期，從建立的撤消全部清楚定義了。n對於今日IPSec數位簽證的最大缺點：不同廠商的X.509實作方法彼此間不相容。Lotus、Cisco、Entrust和其他的廠商各有各的PKI。75n管理政策是另一個問題。多數IPSec廠商自行設計一套政策機制，允許網管人員賦予其他人特定節點的存取權，這方面目前並沒有標準方法可循。n“要怎麼要不同廠商的產品之間定義、解決，還有交換政策資訊？”在IETF中目前有一個稱為政策交換解譯協定(Policy Exchange Resolution Protocol)的標準正在討論中。n網管人員依然沒有辦法讓現存的IPSec產品和其他的共同運作。76n只有等到IPSec成為IP網路本身的功能之一：使用者架設時，全然不會注意到它的存在，它才會成為真正的主流n即使有了IPSec，IP的安全性仍然無法達到即插即用的境界。不過這一切都在改變中，因為IPSec將成為明日之星。77