IPSEC很好的解析課件

1第四章：IPSec-IKE4.1

什么是IKE?4.2

ISAKMP協(xié)議4.3

IKE第一階段4.4

IKE第二階段：建立IPSec

SAs24.1

什么是IKE?IKE（

Internet

Key

Exchange

，RFC2409）：因特網(wǎng)密鑰交換協(xié)議是一個以受保護的方式動態(tài)協(xié)商SA的協(xié)議。IKE的功能：協(xié)商：通信參數(shù)，安全特性認證通信對端保護實體用安全的方法產(chǎn)生，交換，建立密鑰管理，刪除安全關聯(lián)（SA）3IKE的組成和實現(xiàn)IKE是一個混合的協(xié)議，它的組成：Internet密鑰交換協(xié)議（IKE，RFC2409）Internet安全關聯(lián)密鑰管理協(xié)議（ISAKMP，RFC2408）Oakley密鑰確定協(xié)議（RFC2412）IPSec

Domain

of

Interpretation

，（IPSec

DOI，RFC2407）IKE分兩個階段實現(xiàn)：第一階段為建立IKE本身使用的安全信道而相互交換SA（采用ISAKMP）——ISAKMP

SA（雙向）第二階段利用第一階段建立的安全信道交換IPSec通信中使用的SA——IPSecSA（單向）4IKE

Network

PlacementDOIDefinitionSecurityProtocol(IPsec)ApplicationProtocolApplicationProcessIKESocket

Layer

ProtocolTransport

Protocols

(TCP/UDP)Internet

Protocol

(IP)Link

Layer

Protocol54.2

ISAKMP協(xié)議6Internet

Security

Association

and

KeyManagement

Protocol

(RFC

2407)提供密鑰管理架構定義SA的建立、協(xié)商、修改、刪除規(guī)程和分組格式獨立于密鑰交換協(xié)議、加密算法和認證方法下層由UDP協(xié)議承載，端口號為500。ISAKMP

payload

format7ISAKMP

headGeneric

Payload

HeaderData

AttributesTransform

PayloadProposal

PayloadSecurity

Association

PayloadKey

Exchange

PayloadIdentification

PayloadCertificate

PayloadCertificate

Request

PayloadHash

PayloadSignature

PayloadNonce

PayloadISAKMP頭（HDR）通用載荷頭數(shù)據(jù)屬性

變換載荷

建議載荷安全關聯(lián)載荷（SA）密鑰交換載荷識別載荷證書載荷（CERT）證書請求載荷雜湊載荷

簽名載荷

Nonce載荷ISAKMP

head2310

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1Initiate

cookieResponder

cookieNextPayloadMjVer

MnverExchange

typeFlagMessage

IDLength抗阻塞，通常采用HASH算法對地址、端口號及本地秘密信息計算得到。主版本、次版本以字節(jié)為單位，表示整個報文的長度（頭＋載荷）由發(fā)起者生成的一個隨機值，用于階段2協(xié)商中標識協(xié)議狀態(tài)指示后續(xù)的載荷是否是加密或認證？8ISAKMP Generic

Payload

Header每一個ISAKMP載荷由通用頭開始，它定義了載荷的邊界，所以可以連接不同的載荷。NextPayloadRESERVED1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1PayloadLength以字節(jié)為單位的載荷長度（包括通用載荷頭）910Security

Association

Payload1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthDomain

of

Interpretation

(DOI)Situation32bits，用于指定協(xié)商DOI0——ISAKMP

DOI1——IPSECDOI用于協(xié)商SA所基于的解釋域，DOI定義載荷格式、交換類型和用于命名的相關信息（密碼算法，模式等）的約定。表明協(xié)商發(fā)生時的情形，即決定需要的安全服務的信息

SIT_IDENTITY_ONLY——0x01SIT_SECRECY

——0x02SIT_INTEGRITY

——0x0411Proposal

Payload1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthProposal

#Protocol

-

IDSPI

size#ofTransformSPI

(variable)包括SA協(xié)商中需要的信息1－ISAKMP協(xié)議2－AH協(xié)議3－ESP協(xié)議建議號，若有相同的建議號，則表示這兩個建議是and關系，如果不同，則表示or關系12Transform

PayloadNextPayloadRESERVEDPayloadLengthTransform

#Transform

-

IDReservedSA

attribute1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1AH變換標識符:2－AH_MD53－AH_SHAESP變換標識符：1－帶64比特IV的CBC-DES2－CBC-DES3－三重DES定義安全服務中的算法Key Exchange

Payload密鑰交換載荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthKey

ExchangeDate以字節(jié)為單位，長度包括凈荷頭部變長域，用來生成密鑰的數(shù)據(jù)，各密鑰交換的DOI給出了這個域的格式和解釋13Identification

Payload標識載荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthID

TypeProtocol

IDPORTIdentification

Date用于通信雙方交換身份信息描述標識數(shù)據(jù)域中發(fā)現(xiàn)的身份信息1——表示數(shù)據(jù)域中是4字節(jié)的IPv4地址6——TCP17——UDP14Certificate

Payload證書載荷1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1NextPayloadRESERVEDPayloadLengthCert

EncodingCertificate指示證書的種類和相關信息：類型PGP證書

X.509證書簽名X.509密鑰交換證書值245變長域，包含證書編碼域中指定類型的真正的證書數(shù)據(jù)。15IKE的結構16安全關聯(lián)（SA）安全關聯(lián)數(shù)據(jù)庫（SAD）安全參數(shù)索引（SPI）174.3

IKE第一階段目的：建立ISAKMP

SA（安全通道）步驟（交換4-6個報文）協(xié)商安全參數(shù)Diffie-Hellman

交換認證實體交換模式：主模式（Main

Mode）：在IKE中必須配置主模式野蠻模式（

Aggressive

Mode）：用來簡化規(guī)程和提高處理效率18Diffie

Hellman

AlgorithmAxBySetupp

:

prime.g

:

generator

of

Z*pprotocolshare

a

secret

value

Kgx

modpgy

modpK

=

(gy)x

modp=

(gx)y

modp19第一階段屬性認證方法預先共享密鑰數(shù)字簽名（DSS或RSA）公鑰加密（RSA或EI-Gamal）群（group）描述（預先定義）群類型（協(xié)商）模指數(shù)群MODP（modular

exponentiationgroup）在有限域GF[2^N]上定義的橢圓曲線群EC2N

（elliptic

curve

group

over

GF[2^N]）IKE預定義群20MODP素數(shù)Prime:768-bit,1024-bit,1536-bit生成元Generator:2EC2NGF[2^155],GF[2^185]GF[2^163](2groups),GF[2^283](2groups)第一階段屬性（續(xù)）21加密算法密鑰長度分組大小哈希算法生存時間（秒和/或千字節(jié)）主模式AliceBob參數(shù)協(xié)商22交換密鑰發(fā)送ID認證

加密Message

1Message

2Message

3Message

4Message

5Message

6Crypto

suites

I

supportCrypto

suite

I

choosega

mod

pgb

mod

pgab

mod

p{“Alice”,Proof

I’m

Alice}gab

mod

p{“Bob”,Proof

I’m

Bob}野蠻模式AliceBobMessage

1Message

2Message

323ga

mod

p,

“Alice”,

crypto

proposalgb

mod

p,

crypto

choice,

proof

I’m

BobProof

I’mAlice2符號說明HDR：一個ISAKMP頭，HDR*表明ISAKMP后面的載荷是加密的SA：帶有一個或多個建議的安全關聯(lián)載荷KE：密鑰交換載荷IDX：標識載荷，X=i表示發(fā)起者，

X=r表示響應者HASH：雜湊載荷SIG：簽名載荷CERT：證書載荷NX：X的nonce載荷，X為i（發(fā)起者）或r（響應者）〈P〉_b：載荷P的主體，就是沒有通用頭的載荷CKY-I（CKY-R）：ISAKMP頭中的發(fā)起者（響應者）cookiei

rgX

或gX

：發(fā)起者或響應者的D-H公開值Prf（key，msg）：使用密鑰key和輸入信息msg的偽隨機數(shù)函數(shù)，如HMAC。SKEYID：一個衍生自僅有通信雙方知道的秘密密鑰信息的密鑰串。SKEYIDe:ISAKMP用來保護它的消息保密性的密鑰信息SKEYIDa:ISAKMP用來認證它的消息的密鑰信息SKEYIDd:用來在第二階段協(xié)商中為非ISAKMP

SA生成密鑰的密鑰信息〈X〉y：表示用密鑰y加密x。x|y：代表x與y相連接。[x]：表示X是可選的4251

20

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3435

6

7

8

9

0

1Initiate

cookieResponder

cookieNextPayloadMjVerMnverExchangetypeFlagMessage

IDLengthNext

PayloadRESERVEDPayloadLengthKey

Exchange

Date1

2

30

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1KE載荷ISAKMP頭格式（HDR)26主模式：用預共享密鑰認證HDR

contains

CKY-I

|

CKY-R，是ISAKMP頭標SA帶有一個或多個建議的安全關聯(lián)載荷。Ni/Nr是nonce值KE=g^i(Initiator)org^r(Responder)，是密鑰交換載荷IDii/IDir是發(fā)起者/響應者的標識載荷HASH是雜湊載荷HDRSAKE27主模式：用預共享密鑰認證

IDii/IDir是發(fā)起者R/|響2應)者的標識載荷HASH是雜湊載荷HDRSA發(fā)起者KE協(xié)商了CKY-I,CKY-R；SA帶有一個響或應多者個建議載荷、變換載荷，確定了加密、認證算法等交換了g^i，g^r和Ni,Nr,生成密鑰：

SKEYID=PRF(preshared

key,Ni|Nr)SKEYID_d

=PRF(SKEYID,gir|CKY-i|CKY-r|0)HDR

contains

CKSYK-EIY|IDCK_aY-=R，pr是f(ISSKAEKYMIDP,頭S標KEYID_d|g^ir|CKY-I|CKY-SA帶有一個或多個R建|議1)的安全關聯(lián)載荷。Ni/Nr是nonce值KE=g^i(InitiatSoKr)EYoIrDg_^er

=(Rpersfp(SoKnEdYerI)D，,S是K密EY鑰I交D_換a載|g荷^ir|CKY-I|CKY-28哈希值計算HASH_I:HMAC_H(SKEYID,

g^i

|

g^r

|

CKY-I|

CKY-R|

SA|IDii)HASH_R:HMAC_H(SKEYID,

g^r

|

g^i

|

CKY-R|

CKY-I|

SA|IDir)29主模式：用數(shù)字簽名認證HDR

contains

CKY-I

|

CKY-RKE

=

g^i

(Initiator)

or

g^r

(Responder)SIG_I/SIG_R

=

digital

sig

of

HASH_I/HASH_RCERT是證書載荷30主模式：用公鑰加密認證HDR

contains

CKY-I

|

CKY-R，HASH（l）是響應方證書的HASH值KE

=

g^i

(Initiator)

or

g^r

(Responder)這里nonce是通過加密傳輸?shù)模虼丝勺鳛楣蚕砻荑€，HASH值就可以直接用來認證對方的身份。用公鑰加密認證中存在的問題31問題采用了四次公鑰加/解密操作，耗費計算資源，與簽名認證算法相比，多了兩次加/解密修改方法采用修正的公鑰加密認證Main

Mode:Authentication

with

Revised

Public

Key

EncryptionHDR

containsCKY-I|CKY-RKE

=

g^I(Initiator)

or

g^r

(Responder)

Ki

=

prf(Ni,CKY-I),

Kr

=

prf(Nr,CKY-R)3233密鑰推導SKEYIDPre-shared

keysSKEYID=PRF(preshared

key,

Ni|Nr)SKEYID是從預共享密鑰推導得到，并且總是與Ni/Nr有關，這樣即使采用相同的預共享密鑰，不同的Ni/Nr產(chǎn)生的SKEYID是不同的。Digital

signatures:SKEYID=PRF(Ni|Nr,

gir)Public

key

encryptionSKEYID=PRF(hash(Ni|Nr),

CKY-i|CKY-r)密鑰推導（續(xù)）34SKEYID_d

(used

to

derive

keying

materialforIPsec

SA):SKEYID_d

=PRF(SKEYID,

gir|CKY-i|CKY-r|0)SKEYID_a

(auth

key

for

ISAKMP

SA):SKEYID_a

=PRF(SKEYID,

SKEYID_d|gir|CKY-i|CKY-r|1)SKEYID_e

(enc

key

for

ISAKMPSA):SKEYID_e

=PRF(SKEYID,

SKEYID_a|gir|CKY-i|CKY-r|2)IKE第一階段小節(jié)認證根據(jù)預共享密鑰和公鑰密碼機制抗中間人、偽裝攻擊DH密鑰協(xié)商提供密鑰的生成源gir，Ni/r，生成SKEYID，SKEYID_d，SKEYID_a，SKEYID_e35Why

all

these

secrets?36SKEYID_d

is

used

for

deriving

keying

datafor

IPSecSKEYID_a

is

used

for

integrity

anddatasource

authenticationSKEYID_e

is

used

to

encrypt

IKE

messages.Different

keys

must

be

used

for

securitypurposes.

Because

of

thehash

function

PRF,the

original

secret

SKEYID

cannotbecalculated

from

the

derived

secrets.4.4

IKE第二階段37目的：建立IPsec

SA，一個第1階段的SA可以用于建立多個第2階段的SA。步驟（3-4報文交換）協(xié)商安全參數(shù)可選的Diffie-Hellman交換可選的一致性（Identity）交換快速模式（Quick

Mode）新群模式（New

Group

Mode）階段2屬性38群描述（for

PFS，perfect

forwardsecrecy）加密算法密鑰長度Key

rounds認證算法生存時間（秒和/或千字節(jié)）加密模式（傳輸或隧道）快速模式INITIATORHDR*

|

HASH(1)

|

SA

|

Ni [

|

KE] [

|

IDi2

|

IDr2]1HDR*

|

HASH(3)3HDR*

|

HASH(2)|

SA

|

Nr

[

|

KE] [

|

IDi2

|

IDr2]239RESPONDERHDR

contains

CKY-I

|

CKY-RKE

(for

PFS)

=

g^I

(Initiator)

or

g^r

(Responder)HASH(1)

＝PRF

(SKEYID_a

| Message_ID

|

SA|Ni[|KE][|

IDi2

|IDr2])HASH(2)=PRF

(SKEYID_a| Message_ID

|

Ni

|

SA|Nr[|KE][|

IDi2|

IDr2])HASH(3)

=PRF

(SKEYID_a

| 0

|

Message_ID

|

Ni

|

Nr)密鑰推導40KEYMAT

(no

PFS)=PRF(SKEYID_d,protocol

|

SPI

|

Ni

|

Nr)KEYMAT

(with