IPSec基础

keaide

七、密钥管理

　　·动态密钥更新

　　IPSec策略使用"动态密钥更新"法来决定在一次通信中，新密钥产生的频率。动态密钥指在通信过程中，数据流被划分成一个个"数据块"，每一个"数据块"都使用不同的密钥加密，这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后，也不会危及到所有其余的通信信息的安全。动态密钥更新服务由Internet密钥交换IKE（Internet Key Exchange）提供，详见IKE介绍部分。

　　IPSec策略允许专家级用户自定义密钥生命周期。如果该值没有设置，则按缺省时间间隔自动生成新密钥。

　　·密钥长度

　　密钥长度每增加一位，可能的密钥数就会增加一倍，相应地，破解密钥的难度也会随之成指数级加大。IPSec策略提供多种加密算法，可生成多种长度不等的密钥，用户可根据不同的安全需求加以选择。

　　·Diffie-Hellman算法

　　要启动安全通讯，通信两端必须首先得到相同的共享密钥（主密钥），但共享密钥不能通过网络相互发送，因为这种做法极易泄密。

　　Diffie-Hellman算法是用于密钥交换的最早最安全的算法之一。DH算法的基本工作原理是：通信双方公开或半公开交换一些准备用来生成密钥的"材料数据"，在彼此交换过密钥生成"材料"后，两端可以各自生成出完全一样的共享密钥。在任何时候，双方都绝不交换真正的密钥。

　　通信双方交换的密钥生成"材料"，长度不等，"材料"长度越长，所生成的密钥强度也就越高，密钥破译就越困难。 除进行密钥交换外，IPSec还使用DH算法生成所有其他加密密钥。

keaide

IPSec协议类型

IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含Authentication Header（AH）协议、Encapsulating Security Payload（ESP）协议和Internet Key Exchange（IKE）协议。其中AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IKE用于密钥交换（将在以后部分讨论）。
　　一、Authentication Header（AH）协议结构

　　AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名，只是它不使用证书），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效--这样就提供了完整性保护。

　　AH报头位置在IP报头和传输层协议报头之间，见图一。 AH由IP协议号" 51"标识，该值包含在AH报头之前的协议报头中，如IP报头。AH可以单独使用，也可以与ESP协议结合使用。

keaide

图1 AH报头

keaide

AH报头字段包括：

　　·Next Header（下一个报头）： 识别下一个使用IP协议号的报头，例如，Next Header值等于"6"，表示紧接其后的是TCP报头。
　　·Length（长度）： AH报头长度。
　　·Security Parameters Index (SPI，安全参数索引)： 这是一个为数据报识别安全关联的 32 位伪随机值。SPI 值 0 被保留来表明"没有安全关联存在"。
　　·Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。
　　·Authentication Data（AD，认证数据）： 包含完整性检查和。接收端接收数据包后，首先执行hash计算，再与发送端所计算的该字段值比较，若两者相等，表示数据完整，若在传输过程中数据遭修改，两个计算结果不一致，则丢弃该数据包。

　　数据包完整性检查：

　　如图二所示，AH报头插在IP报头之后，TCP，UDP，或者ICMP等上层协议报头之前。一般AH为整个数据包提供完整性检查，但如果IP报头中包含"生存期（Time To Live）"或"服务类型（Type of Service）"等值可变字段，则在进行完整性检查时应将这些值可变字段去除。

图2 AH为整个数据包提供完整性检查

keaide

二、Encapsulating Security Payload（ESP）协议结构

　　ESP为IP数据包提供完整性检查、认证和加密，可以看作是"超级 AH"， 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。然而，也有一些限制：

　　·完整性检查和认证一起进行。
　　·仅当与完整性检查和认证一起时，"重播（Replay）"保护才是可选的。
　　·"重播"保护只能由接收方选择。

　　ESP的加密服务是可选的，但如果启用加密，则也就同时选择了完整性检查和认证。因为如果仅使用加密，入侵者就可能伪造包以发动密码分析攻击。

　　ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP头。但在端对端的隧道通信中，ESP需要对整个数据包加密。

　　如图三所示，ESP报头插在IP报头之后，TCP或UDP等传输层协议报头之前。ESP由IP协议号"50"标识。

图3 ESP报头、报尾和认证报尾

keaide

ESP报头字段包括：

　　·Security Parameters Index (SPI，安全参数索引)：为数据包识别安全关联。
　　·Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。 ESP报尾字段包括：
　　·Padding（扩展位）：0-255个字节。DH算法要求数据长度（以位为单位）模512为448，若应用数据长度不足，则用扩展位填充。
　　·Padding Length（扩展位长度）：接收端根据该字段长度去除数据中扩展位。
　　·Next Header（下一个报头）：识别下一个使用IP协议号的报头，如TCP或UDP。

　　ESP认证报尾字段：

　　·Authentication Data（AD，认证数据）： 包含完整性检查和。完整性检查部分包括ESP报头、有效载荷（应用程序数据）和ESP报尾。见图四。

keaide

如上图所示，ESP报头的位置在IP报头之后，TCP，UDP，或者ICMP等传输层协议报头之前。如果已经有其他IPSec协议使用，则ESP报头应插在其他任何IPSec协议报头之前。ESP认证报尾的完整性检查部分包括ESP报头、传输层协议报头，应用数据和ESP报尾，但不包括IP报头，因此ESP不能保证IP报头不被篡改。ESP加密部分包括上层传输协议信息、数据和ESP报尾。

　　三、ESP隧道模式和AH隧道模式

　　以上介绍的是传输模式下的AH协议和ESP协议，ESP隧道模式和AH隧道模式与传输模式略有不同。

　　在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中"内部"IP报头（原IP报头）指定最终的信源和信宿地址，而"外部"IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。

　　与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。

　　ESP隧道模式中签名部分（完整性检查和认证部分）和加密部分分别如图所示。ESP的签名不包括新IP头。

keaide

下图标示出了AH隧道模式中的签名部分。AH隧道模式为整个数据包提供完整性检查和认证，认证功能优于ESP。但在隧道技术中，AH协议很少单独实现，通常与ESP协议组合使用。

keaide

密钥交换和密钥保护

Internet密钥交换（IKE）
　　两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为"安全关联"，指双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。见图七。

keaide

Internet 工程任务组IETF制定的安全关联标准法和密钥交换解决方案--IKE（Internet密钥交换）负责这些任务，它提供一种方法供两台计算机建立安全关联 (SA)。SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。IKE主要完成两个作用：

　　·安全关联的集中化管理，减少连接时间
　　·密钥的生成和管理

　　一、什么是SA？

　　安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：1）安全参数索引SPI；2）IP目的地址；3）安全协议。

　　SA是一个单向的逻辑连接，也就是说，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的SA。每个SA用唯一的SPI索引标识，当处理接收数据包时，服务器根据SPI值来决定该使用哪种SA。

　　二、第一阶段SA（主模式SA，为建立信道而进行的安全关联）

　　IKE建立SA分两个阶段。第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的IKE SA建立IPsec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。 第一阶段协商（主模式协商）步骤：

　　1．策略协商，在这一步中，就四个强制性参数值进行协商：

　　1）加密算法：选择DES或3DES
　　2）hash算法：选择MD5或SHA
　　3）认证方法：选择证书认证、预置共享密钥认证或Kerberos v5认证
　　4）Diffie-Hellman组的选择

　　2．DH交换

　　虽然名为"密钥交换"，但事实上在任何时候，两台通信主机之间都不会交换真正的密钥，它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换，可以是公开的，也可以受保护。在彼此交换过密钥生成"材料"后，两端主机可以各自生成出完全一样的共享"主密钥"，保护紧接其后的认证过程。

　　3．认证 DH交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。"主密钥"结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。在这一步中，整个待认证的实体载荷，包括实体类型、端口号和协议，均由前一步生成的"主密钥"提供机密性和完整性保证。