網(wǎng)絡(luò)安全協(xié)議IPSec分析

摘要:該文闡述了IPSec體系結(jié)構(gòu)，分析了IPSec協(xié)議的安全性，指出了IKE常遇到的攻擊方式，總結(jié)了幾個(gè)改進(jìn)的方法。

關(guān)鍵詞:IPSec;密鑰交換協(xié)議;安全性

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)11-2601-02

Analysis of the Network Layer Safety Protocol-IPSec

YU Qi-hong

(Computer Department of SuQian College，Suqian 223800， China)

Abstract: This paper discusses the architecture of IPSec， analyzes the security of IPSec， points out some attacks that the IKE frequently encounters and sums up a number of improved methods.

Key words: IPSec; Internet key exchange; security

Internet已成為我們工作和生活的一個(gè)必不可少的部分。Intenet以缺乏有效的安全機(jī)制的TcP/IP協(xié)議為通信基

礎(chǔ)。網(wǎng)絡(luò)的安全問題越來越突出。為了保護(hù)信息和數(shù)據(jù)的安全，必須大力發(fā)展網(wǎng)絡(luò)安全技術(shù)，IETF在1993年3月成立IPSec[1] (Internet Protocol Security)工作組，該工作組提供在Internet上進(jìn)行安全通信的一系列規(guī)范——IPSec協(xié)議，為私有信息通過公用網(wǎng)提供了安全保障。1998年11月公布了Internet安全協(xié)議標(biāo)準(zhǔn):IPSec。為IP數(shù)據(jù)報(bào)提供數(shù)據(jù)完整性、機(jī)密性、數(shù)據(jù)源認(rèn)證等安全服務(wù)。但就像任何一樣事物一樣，不可能十全十美，IPSec協(xié)議也是如此。

1 IPSec協(xié)議體系結(jié)構(gòu)

IPsec被設(shè)計(jì)成為能夠?yàn)镮Pv4和IPv6提供可交互操作的高質(zhì)量的基于IP層的加密的安全。IPSec包括認(rèn)證頭協(xié)議(AH)、封裝安全載荷協(xié)議(ESP)、密鑰管理協(xié)議(IKE)[2]和一些認(rèn)證及加密算法等，主要用了8個(gè)RFC文檔來定義[3]。其體系結(jié)構(gòu)圖如圖1。

AH協(xié)議用來增加IP數(shù)據(jù)報(bào)的安全性。AH協(xié)議提供無連接的完整性、抗重放保護(hù)服務(wù)和數(shù)據(jù)源認(rèn)證，不提供任何保密性服務(wù)。

ESP協(xié)議用于提高IP協(xié)議的安全性。ESP協(xié)議可為IP提供數(shù)據(jù)源驗(yàn)證、抗重放、數(shù)據(jù)完整性以及機(jī)密性等安全服務(wù)。

AH和ESP協(xié)議都支持兩種使用模式:傳輸模式，隧道模式。傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信，協(xié)議為高層提供基本的保護(hù);只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式，協(xié)議使IP包通過隧道傳輸，隧道模式的特點(diǎn)是數(shù)據(jù)包最終目的地不是安全終點(diǎn)。

SA(Security Association，安全關(guān)聯(lián))是兩個(gè)通信實(shí)體之間經(jīng)協(xié)商建立起來的一種約定，包括保護(hù)數(shù)據(jù)包安全的安全協(xié)議(AH協(xié)議或者ESP協(xié)議)、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等。SA是構(gòu)成IPSec的基礎(chǔ)。

IKE是一種混合型協(xié)議，負(fù)責(zé)密鑰的產(chǎn)生、分發(fā)與交換，它由SA和密鑰管理協(xié)議(Internet Security Association Key Management Protocol，簡稱ISAKMP)以及兩種密鑰交換協(xié)議OAKLEY與SKEME組成。IKE創(chuàng)建在由ISAKMP定義的框架上，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換方式:主要模式和積極模式。

2 AH 安全性分析

AH由RFC2402定義，對(duì)IP層的數(shù)據(jù)使用密碼學(xué)中的驗(yàn)證算法，AH所提供的安全保障完全依賴于它采用的認(rèn)證算法，因此認(rèn)證算法是實(shí)現(xiàn)IP安全的重要因素。這個(gè)驗(yàn)證算法是密碼學(xué)中MAC(MessageAuthentication Codes)報(bào)文驗(yàn)證碼算法，它將一段任意長度的報(bào)文和一個(gè)密鑰作為輸入，產(chǎn)生一個(gè)固定長度的稱之為報(bào)文摘要的輸出報(bào)文。常見的有MD5和DES。

AH在使用默認(rèn)的算法(如MD5和DES)時(shí)不提供不可否認(rèn)業(yè)務(wù)[4]。AH協(xié)議本身不提供業(yè)務(wù)流分析的安全保護(hù)，可能造成信息的泄露。IPSec機(jī)制抵抗拒絕服務(wù)攻擊的機(jī)制不完善。

3 IKE協(xié)議分析及改進(jìn)

3.1 IKE工作原理

IKE協(xié)議定義了密鑰交換的兩個(gè)階段和Diffie-Hellman密鑰交換密碼組。第一階段指兩個(gè)ISAKMP實(shí)體建立一個(gè)安全、驗(yàn)證過的信道來進(jìn)行通信。這被稱為ISAKMP安全聯(lián)盟(SA)。第一階段通過“主模式”和“積極模式”(或“野蠻模式”)完成。“主模式”和“積極模式”只能在第一階段中使用。主模式或積極模式中都允許四種不同的驗(yàn)證方法——數(shù)字簽名，公共密鑰加密的兩種驗(yàn)證形式，或者共享密鑰。

第二階段指協(xié)商代表服務(wù)的安全聯(lián)盟，這些服務(wù)可以是IPsec或任何其它需要密鑰材料或者協(xié)商參數(shù)的服務(wù)。第二階段通過一個(gè)“快速模式”來完成。

單個(gè)第一階段協(xié)商可以用于多個(gè)第二階段的協(xié)商。而單個(gè)第二階段協(xié)商可以請(qǐng)求多個(gè)安全聯(lián)盟。IKE第二階段的安全性在很大程度上依賴于第一階段密鑰材料的安全性，因此文中僅就IKE第一階段進(jìn)行重點(diǎn)探討。

3.2 IKE的消息交換

有兩中基本方法可以用來建立經(jīng)過驗(yàn)證密鑰交換:主模式和積極模式。它們都通過短暫的Diffie-Hellman交換來產(chǎn)生經(jīng)過驗(yàn)證的密鑰材料。主模式必須要實(shí)現(xiàn);積極模式最好也實(shí)現(xiàn)。

在主模式交換方式下，在發(fā)起者和響應(yīng)者之間交換6 條消息才可以建立IKE SA。前兩個(gè)消息進(jìn)行Cookie交換和協(xié)商策略，包括加密算法、散列算法及認(rèn)證方法等;接著兩個(gè)消息用于交換必要的輔助數(shù)據(jù)(如偽隨機(jī)數(shù)Nonce)和Diffie_Hellman共享密鑰;最后的兩個(gè)消息認(rèn)證身份信息和Diffie_Hellman交換。其內(nèi)容由前4條消息建立的密碼算法和密鑰來保護(hù)。

積極模式是ISAKMP積極交換的實(shí)現(xiàn)，只用到主模式一半的消息。頭兩個(gè)消息協(xié)商策略，交換Diffie-Hellman公共值以及必要的輔助數(shù)據(jù)，還有身份。另外，第二個(gè)消息還要對(duì)響應(yīng)者進(jìn)行驗(yàn)證。第三個(gè)消息對(duì)發(fā)起者進(jìn)行驗(yàn)證，并提供參與交換的證據(jù)。積極模式在安全聯(lián)盟協(xié)商中有一定的局限性。當(dāng)要利用IKE能協(xié)商大量屬性的能力時(shí)，就需要使用主模式了。

以主模式共享密鑰驗(yàn)證為例，探討IKE的消息交換過程，如下:

發(fā)起者 響應(yīng)者

消息1: HDR， SA →

消息2: ← HDR， SA

消息3: HDR， KE， Ni→

消息4: ← HDR， KE， Nr

消息5: HDR*， IDii， HASH_I→

消息6: ← HDR*， IDir， HASH_R

其中HDR是每個(gè)IKE 消息的ISAKMP 通用頭部。HDRj*表示對(duì)載荷加密。SAi和SAr分別表示協(xié)商的安全關(guān)聯(lián)載荷。KE表示Diffie-Hellman的交換載荷。Ni 和Nr是兩者的隨機(jī)數(shù)負(fù)載。IDii 和IDir分別表示第一階段發(fā)起者和響應(yīng)者的身份負(fù)載。HASH_I 和HASH_R分別表示發(fā)起者和響應(yīng)者的認(rèn)證散列。當(dāng)?shù)?步交換完成后，將產(chǎn)生最新的共享密陰SKEYID，它是后續(xù)所有密鑰的建立基礎(chǔ)。SKEYID=prf(預(yù)共享密鑰，Ni|Nr)式中的prf為隨機(jī)函數(shù)，通常是協(xié)商好的散列函數(shù)的一個(gè)HMAC版本。生成了SKEYID之后，可依次生成其余的密鑰原料。

SKEYID_d = prf(SKEYID， g^xy | CKY-I | CKY-R | 0)

SKEYID_a = prf(SKEYID， SKEYID_d | g^xy | CKY-I | CKY-R | 1)

SKEYID_e = prf(SKEYID， SKEYID_a | g^xy | CKY-I | CKY-R | 2)

以及達(dá)成了用于保護(hù)通信的一致的策略。上面的值0，1，2由單個(gè)字節(jié)的值來代表。用于加密的密鑰值根據(jù)具體的算法從SKEYID_e中衍生出來。式中g(shù)^xy是Diffie-Hellman的 共享秘密;CKY_I ，CKY_R分別是通信發(fā)起方和響應(yīng)方的小甜餅。

前4條交換的消息都沒有被認(rèn)證，為了驗(yàn)證交換中的雙方，最后兩條消息通過發(fā)送HASH_I和 HASH_R實(shí)現(xiàn)的。協(xié)議的發(fā)起者產(chǎn)生HASH_I，響應(yīng)者產(chǎn)生HASH_R，其中:

HASH_I = prf(SKEYID， g^xi | g^xr | CKY-I | CKY-R | SAi_b | IDii_b )

HASH_R = prf(SKEYID， g^xr | g^xi | CKY-R | CKY-I | SAi_b | IDir_b )

經(jīng)過6條消息的交換后發(fā)起者和響應(yīng)者就分別建立了各自IKE SA ，并在各自的IKE 關(guān)聯(lián)數(shù)據(jù)庫IKE SADB中增加一項(xiàng)，它由〈CKY_I，CKY_R〉來標(biāo)識(shí)。

3.3IKE可能會(huì)遇到的攻擊方式與改進(jìn)方法

3.3.1中間人攻擊

中間人攻擊是指通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”。然后入侵者把這臺(tái)計(jì)算機(jī)模擬一臺(tái)或兩臺(tái)原始計(jì)算機(jī)，使“中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或篡改傳遞的信息，然而兩個(gè)原始計(jì)算機(jī)用戶卻認(rèn)為他們是在互相通信，因而這種攻擊方式并不很容易被發(fā)現(xiàn)。中間人攻擊是一種很強(qiáng)的攻擊方式，又稱為主動(dòng)攻擊。

一種改進(jìn)方法是適當(dāng)修改HASH_I和HASH_R能夠提前查出攻擊者存在，節(jié)省交換的步數(shù)。

3.3.2DoS攻擊

DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，致使服務(wù)超載，使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。DOS攻擊可分為兩類:第一類攻擊者發(fā)送偽造的請(qǐng)求包，Cookie主要用來防止這種攻擊者。第二類攻擊者在把沉重的計(jì)算代價(jià)強(qiáng)加給接收者。

對(duì)于第二類攻擊的一個(gè)防止方法是增加發(fā)起者的計(jì)算量，減少響應(yīng)者的計(jì)算量。這樣當(dāng)發(fā)起者發(fā)起拒絕服務(wù)攻擊的話，耗費(fèi)目標(biāo)主機(jī)CPU資源的同時(shí)，攻擊者自己的CPU資源也會(huì)被耗盡。因此，起到主動(dòng)防御的目的。

3.3.3 重放攻擊

所謂重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程。重放攻擊會(huì)迫使系統(tǒng)被迫處理大量不必要的操作。

一種抗重放攻擊攻擊方法，通過對(duì)IKE消息包頭的分析發(fā)現(xiàn)消息ID字段未使用，將IKE消息包頭中的消息ID字段用作計(jì)數(shù)器來防止重放，與此同時(shí)用滑動(dòng)窗口機(jī)制來配合，使IKE交換能夠有效地抵御重放攻擊的威脅。

4 結(jié)束語

IPsec是個(gè)極其復(fù)雜的混合協(xié)議，為網(wǎng)絡(luò)帶來安全性的同時(shí)，給理解和實(shí)踐也帶來很大困難。本文描述了Ipsec的體系結(jié)構(gòu)，對(duì)IPsec的重要組成部分IKE進(jìn)行了詳細(xì)的探討，包括IKE的工作原理、消息交換過程，對(duì)IKE可能受到的攻擊進(jìn)行了分析，并給出了相應(yīng)的改進(jìn)方式。Ipsec本身也在不斷的完善和發(fā)展。Ipsec還有很多值得深入研究的地方。

參考文獻(xiàn):

[1] Kent S，Atkinson R.RFC 2401:Security Architecture for the Internet Protocol，1998-11.

[2] Harkins D，Carrel D.RFC 2409:The Internet Key Exchange(IKE)[Z].1998-11.

[3] 范明鈺，王光衛(wèi).網(wǎng)絡(luò)安全協(xié)議理論與技術(shù)[M].北京:清華大學(xué)出版社，2009.

[4] 王惠斌.Ipsec中AH認(rèn)證報(bào)頭安全協(xié)議分析[J].通信技術(shù)，2008，41(10).