信息安全技術(shù)基礎(chǔ)第7章

第7章安全協(xié)議學(xué)習(xí)目標(biāo)網(wǎng)絡(luò)體系結(jié)構(gòu)中各層實(shí)現(xiàn)安全保護(hù)的機(jī)制虛擬專用網(wǎng)協(xié)議IPSec安全保護(hù)機(jī)理及工作過程傳輸層安全協(xié)議TLS安全保護(hù)機(jī)理及工作過程本章講解安全協(xié)議的概念，在網(wǎng)絡(luò)分層體系結(jié)構(gòu)中典型安全協(xié)議分類。重點(diǎn)講解的虛擬專用網(wǎng)協(xié)議IPSec、傳輸層安全協(xié)議TLS。2什么是安全協(xié)議？3目錄7.1安全協(xié)議概述7.2虛擬專用網(wǎng)協(xié)議IPSec7.3傳輸層安全（TLS）協(xié)議47.1安全協(xié)議概述協(xié)議是在對(duì)等實(shí)體（兩方或多方）之間為完成某項(xiàng)任務(wù)所執(zhí)行的一系列確定的步驟，是協(xié)議實(shí)體必須共同遵循的一套規(guī)則。協(xié)議步驟（或規(guī)則）是明確定義的。安全協(xié)議是使用密碼術(shù)實(shí)現(xiàn)特定安全目標(biāo)，在網(wǎng)絡(luò)和分布式系統(tǒng)中提供各種安全服務(wù)的協(xié)議，有時(shí)也稱“密碼協(xié)議”。57.1安全協(xié)議概述網(wǎng)絡(luò)協(xié)議棧各層上安全協(xié)議67.1安全協(xié)議概述PPP-PAP：口令認(rèn)證協(xié)議PAP（PasswordAuthenticationProtocol）是PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）的一個(gè)鏈路控制子協(xié)議，對(duì)等實(shí)體建立初始連接之后，使用2次握手實(shí)現(xiàn)實(shí)體認(rèn)證，被認(rèn)證一方向認(rèn)證方持續(xù)重復(fù)發(fā)送“用戶ID/口令”，直至認(rèn)證得到響應(yīng)或連接終止。71.數(shù)據(jù)鏈路層安全7.1安全協(xié)議概述PPP-CHAP：質(zhì)詢握手認(rèn)證協(xié)議（ChallengeHandshakeAuthenticationProtocol）。三次握手驗(yàn)證對(duì)等實(shí)體身份，被認(rèn)證方向認(rèn)證方發(fā)送“標(biāo)識(shí)”；認(rèn)證方向被認(rèn)證方發(fā)送“質(zhì)詢”（Challenge——隨機(jī)數(shù)）消息；被認(rèn)證方使用質(zhì)詢和口令字（雙方事先共享）共同計(jì)算哈希值做應(yīng)答。81.數(shù)據(jù)鏈路層安全7.1安全協(xié)議概述MIME/S-MIME（MultipurposeInternetMailExtensionsandSecureMIME）：多用途網(wǎng)際郵件擴(kuò)充（MIME）協(xié)議定義了郵件消息格式，方便不同郵件系統(tǒng)之間消息交換。MIME允許郵件中包含任意類型的文件，如文本、圖象、聲音、視頻及其它應(yīng)用程序等。MIME的安全版本S/MIME提供了一種安全電子郵件機(jī)制，基于MIME標(biāo)準(zhǔn)，S/MIME為電子消息應(yīng)用程序提供郵件安全服務(wù)，包括認(rèn)證、完整性保護(hù)、數(shù)據(jù)保密等。92．應(yīng)用層安全協(xié)議7.1安全協(xié)議概述PGP（PrettyGoodPrivacy）：設(shè)計(jì)用于電子郵件和存儲(chǔ)數(shù)據(jù)加密和數(shù)字簽名實(shí)用程序，開源且免費(fèi)的，PGP基于RSA公鑰加密體制，實(shí)現(xiàn)了對(duì)郵件的加密保護(hù)，基于數(shù)字簽名的源認(rèn)證和不可否認(rèn)性保護(hù)。。PGP模型允許多重地、獨(dú)立地而非特殊可信個(gè)體簽署“名字/密鑰”關(guān)聯(lián)來證明證書的有效性?！爸灰凶銐虻暮灻?，<名字/密鑰>關(guān)聯(lián)就是可信的，因?yàn)椴粫?huì)所有的簽名者都是‘壞’的”，即所謂“信任網(wǎng)”模型。102．應(yīng)用層安全協(xié)議如何在IP層實(shí)現(xiàn)安全的數(shù)據(jù)通信？11目錄7.1安全協(xié)議概述7.2虛擬專用網(wǎng)協(xié)議IPSec7.3傳輸層安全（TLS）協(xié)議127.2.1虛擬專用網(wǎng)VPN虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）就是利用公共網(wǎng)絡(luò)（如Internet）在兩個(gè)系統(tǒng)之間建立安全的信道（也稱隧道），從而實(shí)現(xiàn)重要數(shù)據(jù)的安全傳輸。137.2.1虛擬專用網(wǎng)VPN點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）。由微軟等廠商提出的一種支持多協(xié)議的虛擬專用網(wǎng)VPN機(jī)制。PPTP是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種增強(qiáng)型安全協(xié)議，它使用一個(gè)TCP上的控制隧道和一個(gè)封裝PPP數(shù)據(jù)包的通用路由封裝GRE（GenericRoutingEncapsulation）隧道。PPTP協(xié)議假定在PPTP客戶機(jī)和PPTP服務(wù)器之間有連通且可用的網(wǎng)絡(luò)連接，如IP網(wǎng)絡(luò)。147.2.1虛擬專用網(wǎng)VPN第2層隧道協(xié)議L2TP（Layer2TunnelingProtocol）。L2TP是一個(gè)由Cisco第2層轉(zhuǎn)發(fā)協(xié)議L2F協(xié)議和PPTP協(xié)議發(fā)展演變的VPN機(jī)制，2005年IETF發(fā)布最新版本L2TPv3（RFC3931）。L2TP工作在包交換網(wǎng)絡(luò)之上，如IP網(wǎng)絡(luò)（使用UDP）、幀中繼永久虛擬電路（PVCs）、X.25虛擬電路（VCs）或ATM網(wǎng)絡(luò)。在L2TP隧道內(nèi)通常傳輸點(diǎn)到點(diǎn)協(xié)議（PPP）會(huì)話。L2TP不直接提供加密，它依賴隧道中所使用端到端加密協(xié)議實(shí)現(xiàn)保密性服務(wù)，L2TP通常與IPSec混合應(yīng)用，提供保密、認(rèn)證和完整性服務(wù)。157.2.1虛擬專用網(wǎng)VPNSSLVPN。使用安全套接層SSL（SecureSocketsLayer）協(xié)議實(shí)現(xiàn)VPN的機(jī)制。通常SSL協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSLVPN就可以免于安裝客戶端。167.2.2IP層VPN協(xié)議——IPSecIPSec（InternetProtocolSecurity）是工作在IP層的安全機(jī)制，用于保護(hù)一對(duì)主機(jī)之間（主機(jī)到主機(jī)）、一對(duì)安全網(wǎng)關(guān)（網(wǎng)絡(luò)到網(wǎng)絡(luò)）或者安全主機(jī)與網(wǎng)關(guān)之間（主機(jī)到網(wǎng)絡(luò)）的數(shù)據(jù)流安全。IPSec為IP報(bào)文段提供保密性、完整性、訪問控制和數(shù)據(jù)源認(rèn)證等安全保護(hù)服務(wù)。IPSec是一個(gè)協(xié)議簇，包括會(huì)話初始化階段通信雙方雙向認(rèn)證協(xié)議、密鑰協(xié)商協(xié)議，以及對(duì)通信會(huì)話中每個(gè)IP報(bào)文保護(hù)（認(rèn)證和/或加密）協(xié)議。177.2.2IP層VPN協(xié)議——IPSec兩類保護(hù)IP報(bào)文的協(xié)議：認(rèn)證頭AH（AuthenticationHeader）：為IP報(bào)文提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放攻擊保護(hù)。有效載荷封裝ESP（EncapsulatingSecurityPayload）：為IP報(bào)文提供保密性、無連接完整性、數(shù)據(jù)源認(rèn)證、抗重放攻擊等保護(hù)服務(wù)。187.2.2IP層VPN協(xié)議——IPSec兩種工作模式：傳輸模式：在原有IP報(bào)文中插入IPSec協(xié)議頭（AH或ESP）及尾（ESP），報(bào)文按原有IP報(bào)文頭包含的信息（如IP地址）進(jìn)行傳輸。隧道模式：將原有IP報(bào)文作為一個(gè)新IP報(bào)文的數(shù)據(jù)域看待，被封裝保護(hù)在一個(gè)新的IP報(bào)文中，再根據(jù)是AH協(xié)議或ESP協(xié)議添加相應(yīng)的頭或尾。197.2.2IP層VPN協(xié)議——IPSec不同應(yīng)用場(chǎng)景下，適合使用不同的IPSec模式：安全網(wǎng)關(guān)—安全網(wǎng)關(guān)：網(wǎng)關(guān)之間應(yīng)用IPSec，兩個(gè)網(wǎng)關(guān)后面的內(nèi)部網(wǎng)絡(luò)中主機(jī)通過安全網(wǎng)關(guān)實(shí)現(xiàn)在Internet上的安全通信。適合使用隧道模式。主機(jī)—主機(jī)：IP連接的兩個(gè)主機(jī)節(jié)點(diǎn)直接應(yīng)用IPSec通信，又分兩種情況：一是互聯(lián)網(wǎng)上兩個(gè)主機(jī)直接通信；二是互聯(lián)網(wǎng)上主機(jī)與某內(nèi)部網(wǎng)絡(luò)主機(jī)通信(使用公有IP)。兩個(gè)節(jié)點(diǎn)必須使用公有IP地址，通常使用傳輸模式，當(dāng)然也可以使用隧道模式。主機(jī)—安全網(wǎng)關(guān)：主機(jī)與網(wǎng)關(guān)之間應(yīng)用IPSec，通常使用隧道模式。207.2.2IP層VPN協(xié)議——IPSec217.2.3認(rèn)證頭AH協(xié)議下一個(gè)頭：標(biāo)識(shí)認(rèn)證頭AH后面跟著的載荷的類型。安全參數(shù)索引SPI：32比特整數(shù)，接收端識(shí)別入站報(bào)文綁定的安全關(guān)聯(lián)SA。序列號(hào)：?jiǎn)握{(diào)遞增計(jì)數(shù)32比特整數(shù)，防止重放攻擊。完整性驗(yàn)證值ICV：對(duì)整個(gè)IP報(bào)文(含AH頭)完整性的認(rèn)證。221.認(rèn)證頭格式7.2.3認(rèn)證頭AH協(xié)議232.AH兩種工作模式7.2.3認(rèn)證頭AH協(xié)議AH傳輸模式：ICV計(jì)算將原IP報(bào)文頭中可變域置為0后，把整個(gè)AH報(bào)文作為HMAC的輸入，摘要值即為ICV值。AH隧道模式：ICV計(jì)算將新IP報(bào)文頭中可變域置為0后，把整個(gè)AH報(bào)文作為HMAC的輸入，摘要值即為ICV值。243.完整性驗(yàn)證值計(jì)算7.2.4封裝安全載荷ESP協(xié)議封裝安全載荷（EncapsulatingSecurityPayload，ESP）提供數(shù)據(jù)保密性、數(shù)據(jù)源認(rèn)證、無連接完整性保護(hù)、抗重放等服務(wù)，以及有限的數(shù)據(jù)流保密服務(wù)。ESP使用對(duì)稱密碼技術(shù)加密IP報(bào)文的數(shù)據(jù)域（傳輸模式）或整個(gè)IP報(bào)文（隧道模式），使用與AH協(xié)議中相同的帶密鑰的消息摘要算法計(jì)算ESP報(bào)文的認(rèn)證數(shù)據(jù)——完整性驗(yàn)證值ICV。257.2.4封裝安全載荷ESP協(xié)議261.ESP報(bào)文格式7.2.4封裝安全載荷ESP協(xié)議27

ESP兩種工作模式7.2.5Internet密鑰交換IETF在1998年發(fā)布了IKE（RFC2409），2010年發(fā)布了最新版本IKEv2。IKE融合使用到了三個(gè)不同協(xié)議：Internet安全連接和密鑰管理協(xié)議ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）、Oakley密鑰確定協(xié)議（OAKLEYKeyDeterminationProtocol）和安全密鑰交換機(jī)制SKEME（SecureKeyExchangeMechanism）。287.2.5Internet密鑰交換291.初始化交換（InitialExchange）7.2.5Internet密鑰交換HDR：消息頭。包含安全參數(shù)索引SPI、版本號(hào)和一些標(biāo)志位，以及消息ID，識(shí)別重傳消息。SA：安全關(guān)聯(lián)載荷，小寫字母i和r分別代表發(fā)起者和響應(yīng)者。SA載荷中包括發(fā)送者支持的密碼算法等。KE：密鑰交換載荷，執(zhí)行DH密鑰交換協(xié)議所交換的發(fā)送者計(jì)算的公鑰值（如gx）。N：Nonce載荷，包含發(fā)送者產(chǎn)生的一次隨機(jī)數(shù)。CERT：證書載荷，包含發(fā)送者的公鑰數(shù)字證書。CERTREQ：證書請(qǐng)求載荷。SK{…}：使用密鑰SK對(duì)稱密加密。TS：負(fù)載選擇符。307.2.5Internet密鑰交換（1）IKESA初始化（記IKE_SA_INIT）交換IKE_SA_INIT交換包括消息1和消息2，用于協(xié)商密碼算法、交換隨機(jī)數(shù)Nonce、執(zhí)行DH公鑰交換。（2）IKE認(rèn)證（記IKE_AUTH）交換IKE_AUTH交換包括消息3和消息4，認(rèn)證前面的消息、交換身份標(biāo)識(shí)ID和證書（可選），并建立第一個(gè)子SA，這一交換中除消息頭之外其他載荷數(shù)據(jù)使用IKE_SA_INIT交換建立的算法和密鑰進(jìn)行加密和完整性保護(hù)。317.2.5Internet密鑰交換2.生成子SA交換（CREATE_CHILD_SAExchange）327.2.5Internet密鑰交換3.信息交換（INFORMATIONExchange）337.2.5Internet密鑰交換IKE消息頭（HDR）格式34安全關(guān)聯(lián)載荷（SecurityAssociationPayload）357.2.5Internet密鑰交換密鑰交換載荷（KeyExchangePayload，記為KE）KE載荷用于交換Diffie-Hellman（以下簡(jiǎn)稱DH）公鑰（指數(shù)計(jì)算結(jié)果），KE載荷同樣包含通用載荷頭，后面跟DH群編號(hào)以及密鑰交換數(shù)據(jù)——DH公鑰。證明載荷（IdentificationPayload，對(duì)發(fā)起者和響應(yīng)者分別記為IDi或IDr）允許對(duì)等實(shí)體向?qū)Ψ阶C明自己的身份，身份可以用于策略查找，但不必與CERT載荷任何域相一致；身份域也可以用于訪問控制決策，但是，若在IDi或IDr載荷中采用IP地址（ID_IPV4_ADDR或ID_IPV6_ADDR）標(biāo)識(shí)類型，IKE也不要求其中地址與封裝IKE消息的IP頭部中地址一致。36如何實(shí)現(xiàn)Internet中通訊的兩個(gè)應(yīng)用程序之間認(rèn)證和數(shù)據(jù)保密傳輸？37目錄7.1安全協(xié)議概述7.2虛擬專用網(wǎng)協(xié)議IPSec7.3傳輸層安全（TLS）協(xié)議387.3.1TLS概述TLS（TransportLayerSecurity）協(xié)議是一個(gè)用于Internet上實(shí)現(xiàn)保密通信的安全協(xié)議。它是IETF在Netscape公司開發(fā)的SSL（SecureSocketLayer）協(xié)議基礎(chǔ)上改進(jìn)發(fā)展而來的。IETF于2006年發(fā)布了TLSv1.1版本（RFC4363）。397.3.1TLS概述TLS設(shè)計(jì)目標(biāo)：密碼安全性：TLS用于在通訊實(shí)體間建立安全連接。互操作性：獨(dú)立開發(fā)者可以使用TLS開發(fā)應(yīng)用程序，而無需交換程序的代碼。擴(kuò)展性：提供一種框架，便于加入新的公鑰、對(duì)稱密碼。相對(duì)效率性：密碼操作是高CPU敏感的，尤其是公鑰密碼操作，TLS提供了會(huì)話緩存機(jī)制以減少建立的連接數(shù)，此外盡量減少網(wǎng)絡(luò)活動(dòng)。407.3.1TLS概述TLS記錄協(xié)議，為高層協(xié)議提供數(shù)據(jù)封裝，實(shí)現(xiàn)壓縮/解壓縮、加/解密、計(jì)算與驗(yàn)證MAC等與操作。41TLS握手協(xié)議層：TLS握手協(xié)議、TLS改變密碼規(guī)格協(xié)議和TLS報(bào)警協(xié)議。7.3.1TLS概述42TLS協(xié)議棧7.3.1TLS概述TLS從兩個(gè)角度定義連接狀態(tài)，即預(yù)備和當(dāng)前狀態(tài)，以及讀/寫狀態(tài)：預(yù)備狀態(tài)：包含本次握手過程中協(xié)商成功的壓縮算法、加密算法、MAC計(jì)算算法和密鑰等。當(dāng)前狀態(tài)：包含記錄層正在使用的壓縮算法、加密算法、MAC計(jì)算算法和密鑰等。讀狀態(tài)：包含解壓縮算法、解密算法、MAC驗(yàn)證算法和對(duì)應(yīng)的密鑰等。寫狀態(tài)：包含壓縮算法、加密算法、MAC計(jì)算算法和對(duì)應(yīng)的密鑰等。43

邏輯上可以組合為四個(gè)連接狀態(tài)：當(dāng)前讀狀態(tài)、當(dāng)前寫狀態(tài)、預(yù)備讀狀態(tài)、預(yù)備寫狀態(tài)。7.3.2TLS記錄協(xié)議層TLS記錄協(xié)議層根據(jù)當(dāng)前會(huì)話狀態(tài)指定的壓縮算法、密碼規(guī)格（CipherSpec）指定的對(duì)稱加密算法、MAC算法、密鑰長(zhǎng)度、散列長(zhǎng)度、IV長(zhǎng)度等參數(shù)，以及連接狀態(tài)中指定客戶和服務(wù)器的隨機(jī)數(shù)、加密密鑰、MAC秘密、IV、消息序列號(hào)等，對(duì)當(dāng)前連接中傳輸?shù)母邔訑?shù)據(jù)進(jìn)行分片、壓縮/解壓縮（可選）、MAC保護(hù)/驗(yàn)證、加/解密等操作。記錄協(xié)議層需要封裝的高層4類協(xié)議：改變密碼規(guī)格協(xié)議、報(bào)警協(xié)議、握手協(xié)議和應(yīng)用層協(xié)議（如HTTP、FTP、Telnet等）。447.3.2TLS記錄協(xié)議層457.3.2TLS記錄協(xié)議層記錄協(xié)議使用握手協(xié)議提供的安全參數(shù)生成加密密鑰和MAC密鑰。使用偽隨機(jī)函數(shù)，輸入握手協(xié)議產(chǎn)生的主秘密、密鑰擴(kuò)展字符串、服務(wù)器產(chǎn)生的隨機(jī)數(shù)和客戶產(chǎn)生的隨機(jī)數(shù)，輸出足夠長(zhǎng)度密鑰塊。密鑰塊按密碼規(guī)格需要順序分解成特定長(zhǎng)度的四個(gè)密鑰：客戶寫MAC密鑰、服務(wù)器寫MAC密鑰、客戶寫加密密鑰、服務(wù)器寫加密密鑰。467.3.3TLS握手協(xié)議層負(fù)責(zé)協(xié)商一個(gè)會(huì)話，該會(huì)話包括以下內(nèi)容：會(huì)話標(biāo)識(shí)符：服務(wù)器選擇的任意字節(jié)序列標(biāo)識(shí)一個(gè)活動(dòng)的或可恢復(fù)的會(huì)話狀態(tài)。實(shí)體證書：對(duì)等實(shí)體的X.509v3證書，可以為空。壓縮方法：用于加密前壓縮數(shù)據(jù)的算法。密碼規(guī)格：指明數(shù)據(jù)加密算法（如空、DES等）和MAC算法（如MD5或SHA），以及密碼屬性如摘要長(zhǎng)度。主秘密（Mastersecret）：服務(wù)器與客戶端共享的48字節(jié)秘密值?？苫謴?fù)標(biāo)志：指明該會(huì)話是否可以用于初始化新的連接。471.TLS握手協(xié)議7.3.3TLS握手協(xié)議層487.3.2TLS記錄協(xié)議層（1）交換hello消息協(xié)商確認(rèn)算法、交換隨機(jī)數(shù)并檢查會(huì)話恢復(fù)。（2）交換證書。（3）密鑰交換與認(rèn)證。（4）產(chǎn)生共享秘密。（5）完成握手。49master_secret=PRF(pre_master_secret,"mastersecret",

ClientHello.random+ServerHello.random)PRF(master_secret,finished_label,MD5(handshake_messages)+SHA-1(handshake_messages))7.3.3TLS握手