6IP安全

IP安全胡建斌北京大学信息科学技术学院E-mail:hujianbin@pku.edu.cn~hjbin139100327102013-2014年度北京大学本科生课程目录1.IP协议2.IPSec的结构3.认证头AH4.封装安全载荷ESP5.安全关联(SA)和安全策略(SP)6.ISAKMP和Internet密钥交换模式IPv4的缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制由于IP地址可软件配置以及基于源IP地址的鉴别机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击问题的引入IP内容的安全性－加密IP源和目的地址的身份认证－鉴别不同网络内部IP地址之间的通信－隧道IP隧道技术(1)如何在TCP/IP网络中传输其他协议的数据包(IP-in-IP)例如，为了使IPX协议或X.25封装的数据包得以通过Internet进行传输，可通过在原协议数据包上再套上一个IP协议头来实现，形成的IP数据包在通过Internet后卸去IP头，还原成原协议数据包，传送给目的站点对原协议数据来说，就如同被IP带着过了一条隧道IP隧道技术(2)在网络中建立一条固定的路径，以绕过一些可能失效的网关。此时，“隧道”就是一条特定的路径这样的隧道是通过IP报头中的源路由选项来实现的缺陷-要设置源路由选项就必须知道数据包要经过的确切路径-有些路由器不再支持源路由选项IP隧道技术(3)-挑战如何开发一种新的IP封装协议套用当前的IP头格式可以把未直接连接的机器绑在一起，从而创建虚拟网络易行、可靠、可扩展性强最好还要是安全的目录1.IP协议2.IPSec的结构3.认证头AH4.封装安全载荷ESP5.安全关联(SA)和安全策略(SP)6.ISAKMP和Internet密钥交换模式IPSec的历史1994年IETF（InternetEngineeringTaskForce）专门成立IP安全协议工作组，研究如何确保IP层通信安全的机制1995年8月公布了一系列关于IPSec（IPSecurity）的建议标准1996年，IETF公布下一代IP的标准IPv6，把鉴别和加密作为必要的特性，IPSec成为其必要的组成部分1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP（因特网安全关联和密钥管理协议），IKE（密钥交换协议），Oakley（密钥确定协议）IPSec协议族RFC内容2401IPSec体系结构2402AH（AuthenticationHeader）协议2403HMAC-MD5-96在AH和ESP中的应用2404HMAC-SHA-1-96在AH和ESP中的应用2405DES-CBC在ESP中的应用2406ESP（EncapsulatingSecurityPayload）协议2407IPSecDOI2408ISAKMP协议2409IKE（InternetKeyExchange）协议2410NULL加密算法及在IPSec中的应用2411IPSec文档路线图2412OAKLEY协议WhatIsIPSec?IPSec工作于网络层，实现对IP包的保护和认证–基于标准的开放框架，采用的算法独立–提供数据保密性、完整性及认证–实现安全通信的规则–依托现有算法实现加密、认证和密钥交换PerimeterRouterMainSitePIXSecurityApplianceConcentratorSOHOwithISDN/DSLRouterPOPMobileWorkerwithaVPNClientonaLaptopBusinessPartnerRegionalOfficewithaPIXSecurityApplianceIPSecCorporateIPSec实现框架IPSecProtocolEncryptionDiffie-HellmanAuthenticationIPSecFrameworkChoicesMD5DESDH1ESPSHA3DESDH2ESP+AHAESAHDH5IPSec体系结构图IKE协议AH协议ESP协议加密算法验证算法IPSec安全体系DOIDOI（DomainofInterpretation）解释域DOI定义IKE所没有定义的协商的内容；DOI为使用IKE进行协商SA的协议统一分配标识符IPSec的实现目录1.IP协议2.IPSec的结构3.认证头AH4.封装安全载荷ESP5.安全关联(SA)和安全策略(SP)6.ISAKMP和Internet密钥交换模式HMAC（Hash-basedMessageAuthenticationCode）HMAC（K，M）=H（K⊕opad∣H（K⊕ipad∣M））B代表H中所处理的块大小opad用0x5a重复B次ipad用0x36重复B次使用的密钥K是双方事先约定的，第三方不可能知道，可作源鉴别通过MAC可以检测出对IP包的头部和载荷的修改IPSec规定HMAC-MD5和HMAC-SHA1是必须实现的AH（AuthenticationHeader）数据完整性验证-通过哈希函数（如MD5/SHA1）产生的MAC来保证数据源身份认证-通过在计算验证码时加入一个共享密钥来实现防重放攻击-AH报头中的序列号可以防止重放攻击AH头部格式AH协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，AH的协议号是51IPV4中协议字段的取值数值值描述0保留字段，用于IPv6(跳跃点到跳跃点选项)1Internet控制消息(ICMP)2Internet组管理(IGMP)3网关到网关(GGP)4IP中的IP(封装)（隧道）5流6传输控制(TCP)7CBT8外部网关协议(EGP)50IP封装安全有效负载(ESP)51IP验证报头(AH)131IP中的私有IP封装133～254未分配255保留（1）下一个头（NextHeader）：8位表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议（2）载荷长度（PayloadLength）：8位其值是以32位（4字节）为单位的整个AH数据（包括头部和变长的认证数据）的长度再减2AH实际上是一个IPv6RFC2460它的长度是从64位字表示的头长度中减去一个64AH采用3232位字（3）保留（reserved）：16位作为保留用，实现中应全部设置为0（4）SPI（SecurityParameterIndex，安全参数索引）：32位与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包唯一确定一个SA[1，255]保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为[256，232-1]（5）序列号（SequenceNumber）：32位作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1不可以循环，满之前双方需重新协商可用于抗重放攻击（6）验证数据（AuthenticationData）可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（IntegrityCheckValue，完整性校验值）该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充，用于生成ICV的算法由SA指定，也确定了该字段的长度AH运行模式(1)－传输模式AH插入到IP头部（包括IP选项字段）之后，传输层协议（如TCP、UDP）或者其他IPSec协议之前IP头部(含选项字段)数据应用AH之前AH头部应用AH之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)验证区域（可变字段除外）AH认证数据完整性检查发送方：整个IP包(含AH头部)和验证密钥被作为输入，经过HMAC算法计算后得到的结果被填充到AH头部的“验证数据”字段中接收方：整个IP包和验证算法所用的密钥也被作为输入，经过HMAC算法计算的结果和AH头部的“验证数据”字段进行比较，如果一致，说明该IP包数据没有被篡改，内容是真实可信的对不定字段的处理不定字段：在通信过程中可能被合法修改在计算HMAC时先临时用0填充另外，AH头部的验证数据字段在计算之前也要用0填充，计算之后再填充验证结果AH与NAT冲突被AH验证的区域是整个IP包（可变字段除外），包括IP包头部，因此源IP地址、目的IP地址是不能修改的，否则会被检测出来如果该包在传送的过程中经过NAT网关，其源/目的IP地址将被改变，将造成到达目的地址后的完整性验证失败。因此，AH在传输模式下和NAT是冲突的NATNATAH运行模式(2)－隧道模式在隧道模式中，AH插入到原始IP头部之前，然后在AH之前再增加一个新的IP头部IP头部(含选项字段)数据应用AH之前新IP头部(含选项字段)应用AH之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)AH头部验证区域（可变字段除外）隧道模式下，AH验证的范围是整个IP包一般用在网关，可以使用私有地址（原IP包中的源和目的地址）在隧道模式中，AH可以单独使用，也可以和ESP一起嵌套使用AH认证AH输出－输入处理流程传输模式Vs隧道模式传输模式IPSec模块运行于通信的两个端主机，保护端到端通信将IPSec处理负荷分摊到每个终端端用户为了获得AH提供的安全服务，必须付出内存、处理时间等代价不能使用私有IP地址隧道模式IPSec模块运行于通信的两个子网网关，保护子网到子网通信保护子网中的所有用户都可以透明的享受由安全网关提供的安全保护子网内部可以使用私有IP地址增大了安全网关的处理负荷，容易形成通信瓶颈。目录1.IP协议2.IPSec的结构3.认证头AH4.封装安全载荷ESP5.安全关联(SA)和安全策略(SP)6.ISAKMP和Internet密钥交换模式ESP（EncapsulatingSecurityPayload）ESP协议除了可以提供无连接的完整性、数据来源验证和抗重放攻击服务之外，还提供数据包加密和数据流加密服务与AH相比，ESP验证的数据范围要小一些。ESP协议规定了所有IPSec系统必须实现的验证算法：HMAC-MD5、HMAC-SHA1、NULLESP的加密采用的是对称密钥加密算法。不同的IPSec实现，其加密算法也有所不同。为了保证互操作性，ESP协议规定了所有IPSec系统都必须实现的加密算法：DES-CBC、NULLESP协议规定加密和认证不能同时为NULL,即加密和认证必须至少选其一ESP格式ESP协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，ESP的协议号是50SPI序列号载荷数据（变长）填充（0～255字节）填充长度下一个头验证数据（变长）071531ESP头部ESP尾部IPV4中协议字段的取值数值值描述0保留字段，用于IPv6(跳跃点到跳跃点选项)1Internet控制消息(ICMP)2Internet组管理(IGMP)3网关到网关(GGP)4IP中的IP(封装)（隧道）5流6传输控制(TCP)7CBT8外部网关协议(EGP)50IP封装安全有效负载(ESP)51IP验证报头(AH)131IP中的私有IP封装133～254未分配255保留（1）SPI：32位与源/目的IP地址、IPSec协议一起组成的三元组，可以为该IP包唯一地确定一个SA（2）序列号（SequenceNumber）：32位单调递增的计数器，为每个ESP包赋予一个序号通信