类似于百度快照的网站,书画工作室网站模板网站建设,易企秀h5制作官网登录,杭州服装网站建设在前面的课程中#xff0c;你已经掌握了#xff1a;IPSec的目标#xff1a;提供机密性、完整性、身份认证、防重放。IPSec的执行者#xff1a;AH和ESP协议。IPSec的规则手册#xff1a;SA#xff08;安全关联#xff09;#xff0c;包含了所有保护参数#xff08;算法…
在前面的课程中你已经掌握了IPSec的目标提供机密性、完整性、身份认证、防重放。IPSec的执行者AH和ESP协议。IPSec的规则手册SA安全关联包含了所有保护参数算法、密钥、模式等。SA的创建方式手工配置麻烦、不安全或自动协商IKE。本课程就是深入讲解“自动协商”这个环节即 IKE协议是如何工作的。它解决了最根本的问题如何在不安全的网络上安全地协商出那些需要用来保护网络安全的秘密参数尤其是密钥
一、IKE的工作过程1.IKE协议概述与基础1.1 IKE定义IKE是一种混合型协议用于在IPSec通信双方之间动态地、自动地建立、协商、管理和删除安全关联SA。1.2 IKE的组成 IKE的组成一个混合协议IKE不是一个从零设计的协议而是一个“集大成者”它建立在由ISAKMP定义的框架上并实现了Oakley和SKEME两种协议的一部分功能。协议组件角色与贡献简单理解ISAKMP(Internet Security Association and Key Management Protocol)定义了协商、建立、修改和删除SA的过程和报文格式即“怎么谈”。注意ISAKMP只提供了一个通用框架它本身不定义具体的密钥交换方式或认证方式。定义了语言的语法和结构。比如问句怎么开头答句怎么结尾。但它不管具体问什么内容。Oakley描述了一系列被称为“模式”的密钥交换方法即“用什么方法谈”其核心是Diffie-Hellman密钥交换的多种变体。提供了多种具体的对话技巧。比如如何通过三步对话达成一个共识或者如何通过五步对话来达成。SKEME提供了一种快速的密钥交换机制并支持公钥加密认证等概念。提供了快速达成共识和验证对方身份的方法。结论IKE ISAKMP的框架 Oakley的交换模式 SKEME的共享和密钥更新技术。3.IKE的版本IKE主要有两个版本IKEv1 特点功能强大且成熟但协议较复杂报文交换数量多有多个模式主模式、野蛮模式、快速模式。IKEv1协议直接使用ISAKMP定义的报文结构和交换模式。IKEv2 (RFC 7296)是IKEv1的演进版本目前已成为新部署项目的首选。特点更简洁交换次数更少通常4次报文交换即可完成双向认证和IPSec SA建立。更安全修复了IKEv1的一些已知漏洞。更可靠内置了 NAT-TNAT穿越支持和更强大的存活检测机制。效率更高报文结构更优化。2. IKE的报文结构
IKE报文是通过UDP协议传输的其整体结构可以分解为以下三层| IP头部 | UDP头部 (源端口500, 目的端口500) | ISAKMP报文 |其中最核心、最复杂的就是 ISAKMP报文。一个ISAKMP报文由 一个通用头部 和 一串链接起来的载荷 组成。ISAKMP报文是IKEv1协议的载体所有IKEv1的协商主模式、野蛮模式、快速模式都通过交换ISAKMP报文完成。其结构分为两大块固定长度的通用头部 和 可变长度的载荷链。
2.1通用头部发起方应答方下一个载荷版本号交换类型标志报文ID报文长度2.2 载荷
载荷是挂在ISAKMP头部后面、真正携带协商信息的数据块。多种不同类型的载荷通过“下一个载荷”字段像链条一样连接起来。
载荷通用头部每个载荷都以一个简单的头部开始下一个载荷 (1字节)指向链中下一个载荷的类型。如果这是最后一个载荷则该字段为0。保留 (1字节) |载荷长度 (2字节)当前载荷的总长度包括本头部。3.IKE协商的两个阶段阶段一建立IKE SA2.1 目的验证对端身份真实性。协商出一个双向的IKE SA管理SA用于保护第二阶段的通信。2.2 两种模式主模式 - 6个报文特点身份保护Identity Protection第5/6报文才交换身份信息且已加密。过程三组报文交换策略协商、DH交换、身份认证。野蛮模式- 3个报文特点速度快但身份信息在明文阶段交换。适用场景适合对端IP地址不固定如动态IP、且对身份暴露不敏感的情况。2.3 IKE协商第一阶段过程分析第1、2个报文协商安全策略明文交换过程报文1 发起方(RA)将自己支持的所有IKE策略一个或多个策略套件放在SA载荷中发送给响应方(RB)。每个策略套件包含加密算法如AES、散列算法如SHA、认证方法如pre-share、DH组如group 14、生存时间。报文2 响应方(RB)收到后在自己的策略库中寻找优先级最高且完全匹配的策略并将该策略通过SA载荷发回给发起方。状态明文传输。此时尚未建立安全通道。结果双方就保护IKE SA的安全参数达成一致。如果找不到匹配项协商就此失败。第3、4个报文交换DH公共值和随机数明文交换目的生成共享密钥的“种子”为后续所有加密和认证提供基础。过程报文3 发起方(RA)生成一个DH私钥计算出对应的DH公钥放入KE载荷Key Exchange。同时生成一个随机数Ni放入Nonce载荷。一并发送给对方。报文4 响应方(RB)执行相同的操作生成自己的DH私钥计算DH公钥放入KE载荷生成随机数Nr放入Nonce载荷发回给发起方。状态明文传输。KE和Nonce载荷本身不需要加密因为DH算法的安全性基于数学难题离散对数。结果双方各自使用对方的DH公钥和自己的DH私钥通过DH算法独立计算出相同的共享秘密 g^ab。这个值从未在网络上传输过。双方都拥有了两个随机数 Ni 和 Nr。DH算法
DH的安全性基于一个数学难题计算离散对数在有限域中是非常困难的。我们用一个经典的“颜色混合”比喻来理解它公开约定公共参数通信双方Alice和Bob公开约定一种公共颜色黄色。这对应DH算法中的公共参数一个大质数 p 和一个底数 g。在IKE中这由选择的 DH组Group 决定。各自选择私有数字Alice秘密地选择一个私密数字Private Key a。Bob也秘密地选择自己的私密数字Private Key b。a 和 b 是核心秘密永远不告诉任何人也不在网络上传送。计算并交换公共值Alice用自己的私密数字 a 和公共颜色黄色进行混合得到一种新的混合色橘色。她将橘色发送给Bob。Bob用自己的私密数字 b 和公共颜色黄色进行混合得到一种新的混合色绿色。他将绿色发送给Alice。这个过程对应数学运算A g^a mod p (Alice计算) 和 B g^b mod p (Bob计算)。这里的 A 和 B 就是各自的 DH公钥对应IKE报文中的 KE载荷是在网络上明文传输的。双方计算最终共享秘密Alice收到Bob的绿色后再加入自己的私密数字 a 进行混合得到最终的颜色棕色。Bob收到Alice的橘色后再加入自己的私密数字 b 进行混合得到最终的颜色同样是棕色。这个过程对应数学运算Alice计算B^a mod p (g^b)^a mod p g^{ba} mod pBob计算A^b mod p (g^a)^b mod p g^{ab} mod p由于 g^{ab} g^{ba}双方独立计算出了完全相同的数字这个数字就是 DH共享秘密 g^{ab}。关键点窃听者Eve可以看到公共颜色黄色、Alice的混合色橘色和Bob的混合色绿色。但从这些颜色中她几乎无法分离出最终的棕色。数学上从公钥 A 或 B 反推私钥 a 或 b离散对数问题在计算上是不可行的。DH组定义了密钥交换的强度。组号越大使用的质数 p 越大计算出的共享秘密 g^{ab} 就越长安全性越高但计算开销也越大。回顾
第5、6个报文身份认证加密交换目的验证对端身份的真实性。确认你正在和“正确的人”通信而不是中间人。过程密钥衍生 在交换3、4报文后双方已经可以计算出共享秘密 g^ab 并拥有随机数 Ni, Nr 和Cookie CKYi, CKYr。它们会使用一个伪随机函数(PRF)结合预共享密钥衍生出三把关键的密钥SKEYID_e用于加密后续IKE报文的密钥。SKEYID_a用于认证完整性验证后续IKE报文的密钥。SKEYID_d作为种子用于衍生IPSec SA的密钥。例如SKEYID prf(pre-shared-key, Ni | Nr)报文5 - 已加密 发起方(RA)使用刚生成的 SKEYID_e 和 SKEYID_a 对ID载荷身份信息如IP地址和Hash载荷进行计算和加密然后发送给响应方。Hash_I prf(SKEYID, RAs_IP | RBs_IP | CKYi | CKYr | SA_offer | IDi)报文6 - 已加密 响应方(RB)收到后先用 SKEYID_e 解密再用相同的算法和本地信息计算一个Hash值。如果与自己收到的 Hash_I 完全一致则证明消息未被篡改完整性。发起方拥有正确的预共享密钥身份认证。验证通过后响应方以同样方式发送自己的ID和Hash载荷给发起方进行验证。状态加密传输。从第5个报文开始所有载荷均被 SKEYID_e 加密并用 SKEYID_a 进行认证。结果完成双向身份认证。至此一个安全的、经过认证的IKE SA正式建立。总结
❓“DH交换是在哪个阶段完成的为什么它不怕被窃听”DH交换是在IKE阶段一的第3和第4个报文中完成的。它不怕被窃听是因为其安全性基于计算离散对数的数学难题。虽然双方在网络上明文传输了各自的DH公钥g^a mod p 和 g^b mod p但窃听者无法从这些公钥中反算出双方的私钥 a 和 b因此也就无法计算出双方最终协商出的共享秘密 g^{ab} mod p。这个共享秘密本身从未在链路上出现過。❓“IKE阶段一是如何实现身份认证的”IKE阶段一主要通过验证对方是否拥有相同的预共享密钥或数字证书来实现身份认证。以预共享密钥为例双方在完成DH交换后会使用预共享密钥、交换的随机数Nonce等参数衍生出一个认证密钥SKEYID_a。随后双方会计算一个哈希值例如 Hash_I这个哈希值的内容包含了身份信息和之前的协商参数并用 SKEYID_a 作为密钥。这个哈希值在加密通道中交换。接收方用相同的本地参数和预共享密钥重新计算一遍。如果计算出的哈希值与对方发来的完全一致就证明对方拥有正确的预共享密钥身份认证通过。如果不一致协商立即终止。❓“主模式和野蛮模式的主要区别是什么”野蛮模式更快但身份明文传输且只有3个报文主模式和野蛮模式的主要区别有三点报文数量与速度主模式是6次报文交换速度较慢野蛮模式只有3次交换速度更快。身份保护这是最核心的区别。主模式的身份交换ID载荷在加密后的第5、6报文中进行隐藏了身份信息。而野蛮模式的身份信息在明文的第1、2报文中就交换了无法提供身份保护。适用场景主模式更安全通用。野蛮模式通常用于对端IP地址不固定如动态IP且对身份信息暴露不敏感的特殊场景。
阶段二建立IPSec SA2.3 目标在IKE SA的保护下协商用于保护用户数据的IPSec SA。2.4 快速模式 - 3个报文所有报文均被IKE SA的加密和认证功能所保护。协商IPSec SA的具体参数协议AH/ESP、模式传输/隧道、算法、生存期、受保护的数据流等。2.5 IKE阶段二快速模式过程第1个报文发起提议目的发起方(RA)提出保护用户数据的IPSec SA策略。载荷内容SA载荷包含一个或多个提议载荷和变换载荷详细定义了IPSec SA的参数安全协议是使用 ESP 还是 AH封装模式是传输模式还是隧道模式加密算法用于数据的算法如AES-256和密钥长度。认证算法用于数据完整性的算法如SHA256。生存时间IPSec SA的有效期时间或流量。Nonce载荷发送一个新的随机数 Ni2用于保证交换的新鲜性防止重放攻击并参与新密钥的生成。(可选) KE载荷如果启用了完美前向保密PFS则会包含一个新的DH公钥用于一次全新的DH交换。ID载荷标识要保护的数据流通常由ACL定义例如 源IP192.168.1.0/24 - 目标IP: 192.168.2.0/24。Hash载荷用于对消息进行认证。第2个报文响应应答目的响应方(RB)接受发起方的提案并参与生成新密钥。过程RB 收到报文后用IKE SA的密钥SKEYID_e和SKEYID_a进行解密和验证。在自己的配置中查找与收到的提案匹配的IPSec策略。如果找到RB 会生成自己的随机数 Nr2。RB 构建一个回应报文其载荷结构与报文1类似SA载荷指明所接受的提议。Nonce载荷携带 Nr2。(可选) KE载荷如果对方请求了PFS则也返回自己的新DH公钥。ID载荷标识数据流。Hash载荷计算一个新的Hash值进行回应和认证。第3个报文确认目的发起方(RA)对响应方的应答进行最终确认完成协商。过程RA 收到报文后同样进行解密和验证。验证通过后RA 发送第三个也是最后一个报文。这个报文通常只包含一个Hash载荷作为对整个快速模式交换的确认。结果收到此报文后双方都认为IPSec SA已成功建立可以开始用来保护用户数据了。总结
