IPSecurityIP安全講解課件2大綱前言IPAHIPESP安全群組SAIPSec的金鑰交換與管理結論3前言IPSec是由IETF所提出的IP層通訊安全保密架構第一版于1995年提出，包含AH與ESP封包轉換，但金鑰的交換與管理并未定義。第二版于1998年11月提出，除了更新AH與ESP轉換的格式，還加上了自動金鑰轉換機制、金鑰管理架構，與身分認證及加密算法。是目前最新的版本。4OSILayer與TCP/IPLayerApplicationPresentationSessionTransportNetworkDataLinkPhysicalApplicationTCPIPDataLinkPhysicalOSI7LayerTCP/IP5Layer5攻擊方式大部分的攻擊方式包括︰假冒IP(IPSpoofing)各種形態的竊聽

(eavesdropping)封包察看

(Packetsniffing)6IPSecArchitectureNetworkLayer/IPIPSec/SecureTransmissionProtocolTransportLayer/Protocol(TCP,UDP,ICMPetc.)ISAKMP/IKEApplicationLayer/Protocol(HTTP,FTP,SMTP)IPSecFramework7IETF(InternetEngineeringTaskForce)著手訂定了一套開放標準網絡安全協定IPSec(IPSecurity)，將密碼技術應用在網絡層，以提供傳送、接收端做資料的認證(Authentication)、完整性(Integrity)、存取控制(AccessControl)以及機密性(Confidentiality)等安全服務。IPv4與IPv6:IPv4:隨意的(Optional)IPv6:強制的(Mandatory)IPSec之功能8IPSec并不是針對特定加解密算法而設計，而是提出一個共同的基礎架構。因此如果有新的算法可以很容易套用到IPSec上，非常具有彈性。IPSec同時設計來必須保持透通性，即尚未升級為IPSec的IP通信系統也可以和IPSec系統共存而互通。IPSec之特色利用IPSec有三種主要應用方式：在校園網路(campusnetwork)上用來加密保全網絡連線透過Internet連結企業網絡與分公司個人經由Internet對公司區域做遠端存取。

（即所謂的“端對端”IPSec形態，安裝有IPSec軟件的用戶端機器，透過IP網絡對服務器建立起安全的通道。）IPSec主要是設計來達到網絡層中端對端安全通訊的第三層協定。10其他協定1.SSL(SecureSocketLayer)專用于保全瀏覽器和網頁服務器的網頁會談，而不是下層的IP連線本身。可以在IPSec連線存在的環境下，同時在網頁程序上使用SSL。2.PPTP(Point-to-PointTunnelingProtocol)透過“苗條”密碼的安全性，來做到資料的通道傳輸。它用了比IPSec更短的金鑰長度，破解起來也容易得多。113.L2TP(Layer2TunnelingProtocol):不限于服務IP通道不但可傳達IPX，語音和視訊等多點傳播應用程序的資料也沒有問題。提供使用者層次的認證Microsoft現在結合L2TP和IPSec，因L2TP在VPN上包封資料交通必須仰賴強大的安全性。12IPSecvsSSLIPSecNetworklayer/IPSecureHost/Subnet-Host/SubnetNosurgeryoncurrentapplicationsPerformancedegradedforallapplicationSenderauthentication

SSLTransportlayer/SocketSecureApplication-ApplicationApplicationshavetobemodifiedApplicationsdonotuseSSLdonotsufferperformancelossNosenderauthenticationEncryptedIPpacketsInternetlayer

瀏覽器/

SSLApplicationIPSecdriverTCP/UDPtransportlayerApplicationIPSecdriverTCP/UDPtransportlayerIPSecIPSec,SA金鑰管理SKIPISAKMP/Oakley(IKE)資料封包轉換ESPESPDES-CBCESPTriple-DESAHMD5SHA-1IPSec之結構整個IPSec大致上可以分成資料封包轉換、與自動金鑰加密與管理兩個部份。15IPSec定義兩種資料封包轉換：

AH(AuthenticationHeader)和ESP(EncapsulationSecurityPayload)。受保護的一般資料封包透過這兩種轉換以達到安全保密的目的。這兩種轉換的編碼方式并不是只適用少數特定的加密或身分驗證之算法，而是由SPI(SecurityParameterIndex)來指明通訊的兩端事先約定所采用的加密或身分驗證之算法或其他參數。這兩種封包轉換是可以彼此組合使用的，其方式又分成隧道模式(TunnelMode)和傳送模式(TransportMode)兩種。IPAH提供資料的完整性和認證，但不包括機密性。而IPESP原則上只提供機密性，但也可在ESPHeader中訂定適當的算法及模式來確保資料的完整性并認證。IPAH和IPESP可以分開使用或一起使用。IPSec包括IPAH和IPESP中所使用的金鑰交換和管理，也就是安全群組SA(SecurityAssociation)和金鑰管理IKE(InternetKeyExchange)。DOI(Domainofinterpretation)是為了讓其他協定可以使用ISAKMP而定的Framework。AuthenticationalgorithmEncryptionalgorithmESPprotocolAHprotocolDOIKeymanagementIPSecarchitecture18SKIP與ISAKMP/Oakley都是金鑰管理協定。ISAKMP/Oakley較SKIP有彈性，且能支援較多的協定，已被選為IPv6的金鑰管理協定。19IPSec架構SAD:SecurityAssociationDatabaseSPD:SecurityPolicyDatabase20IPAHIPAH提供認證及裝載資料的完整性，供通訊的兩端驗證該資料封包的確為對方所傳出，但不含機密性。由于它不提供機密性，所以不受密碼元件有對外輸出的官方限制，故能橫跨不同的國家的網際網絡使用。21AH使用需要128位元金鑰的MD5(MessageDigest5)計算出整個資料的雜湊函數值（也可使用SHA-1(SecureHashAlgorithm1)），使得接收端（知道金鑰的人）也可以驗證，計算是否使用相同的密鑰以檢查資料是否正確完整。若檢查不符，則將此封包丟棄。依據IPSec規定，IPv6每部主機應能提供密鑰長度128位元的MD5，而所以IPv4也應宣告能支援此項AH功能。22AH格式23格式說明下一標頭(8bits)：定義AH后面資料的類型長度(8bits)︰認證資料欄位的長度保留(16bits)：保留位元做未來之用SPI(SecurityParameterIndex,32bits)：指明通訊的兩端事先約定所采用的加密或身分驗證之算法與其他參數。識別碼、目的位址和轉換格式（此為AH轉換）唯一決定一個安全參數組合SA(SecurityAssociation)24序號(32bits)：為嚴格遞增函數用來去除資料封包在傳遞時產生的錯誤，以及防止重送攻擊認證資料(AuthenticationData)：為任意長度（IPv4為32位元的整數倍，IPv6為64位元的整數倍）之資料其內容為完全檢查值ICV(IntegrityCheckValue)加上末端補齊(Padding)完整檢查值之長度視所采用之身分認證算法(SPI決定)而定(MD5或SHA-1)25HMAC-MD5與HMAC-SHA-1一般來說，SHA-1是被認為比MD5還強的hashfunctionHMAC(HashedMessageAuthenticationCode)是用一個secretkey和一個hashfunction產生一個MAC(messageauthenticationcode)。HMAC可以讓其他hashfunction更不易受到攻擊，就算配合它使用的hashfunction有問題，還是可以提高安全性。26HMAC-MD5與HMAC-SHA-1(contd)HMAC-MD5的輸出是128bits，而HMAC-SHA-1是160bits因authenticatorlength的內定值是96bit，所以在一般情況下，兩種Hashfunction的Hash值都必須在填入前削短(truncated)1.IPv4IPv4IPv4IPv4OriginalIPheader(anyoptions)OriginalIPheader(anyoptions)OriginalIPheader(anyoptions)TCPDataAHTCPDataBeforeapplyingAHAfterapplyingAHAuthenticatedexceptformutablefieldsNewIPheader(anyoptions)AHTCPDataAuthenticatedexceptformutablefieldsinthenewIPheaderAH操作模式28隧道模式的觀念已加密的安全隧道Internet主機ASecurityGatewayGW1主機BSecurityGatewayGW22.IPv6IPv6OriginalIPheaderTCPDataBeforeapplyingAHIPv6AHTCPDataExtraheadersifpresentOriginalIPheaderHop-by-hop,destination,routing,fragmentDestinationoptionsAuthenticatedexceptformutablefieldsIPv6AHTCPDataNewIPheaderAfterapplyingAHExtheadersifpresentOriginalIPheaderExtheadersIfpresentAuthenticatedexceptformutablefieldsinthenewIPheader30IPESPIPESP標準描述如何加密IP的裝載資料(Payload)，加密的范圍可以是整個IPDatagram或者只是上層TCP,UDP或ICMP資料（完全決定在使用隧道模式或傳送模式）。

(Note:ICMP(InternetControlProtocol)攜帶了網絡的錯誤訊息及其他須知會網絡軟件的狀況)IPESP所使用的保密技術是DES或是Triple-DES，模式則是CBC(CipherBlockChain)IPESP也能應用在認證、完整性，以及防止重送攻擊。31ESP的傳送模式：InternetSecurityGatewayGW1SecurityGatewayGW2主機A主機B主機C主機D(隧道模式)(傳送模式)AB：傳送模式BA：隧道模式32IPESP的隧道模式及傳送模式各有其優點。隧道模式可以在兩個SecurityGateway間建立一個安全“隧道”。傳送模式加密的部份較少，沒有額外的IP標頭，故工作效率較佳。33ESP格式：ESP格式包含了ESPHeader及ESPTrailer兩部份。安全參數索引SPI順序號碼(SequenceNumber)PayloadDataPadding填充長度下一標頭認證資料07152331ESPTrailerESPHeader34格式說明SPI、SequenceNumber:和AH的相同PayloadData:ESP中定義所承載的密文，有兩種可能(1)完整的IP資料封包之密文(2)IP資料封包的資料部份之密文前者稱為隧道模式(TunnelMode)，后者稱為傳送模式(TransportMode)加密算法由SPI指明通訊的兩端事先約定所采用的算法35身分認證資料:此部份僅為承載之密文部份之完整檢查值，與AH不同（AH為整個IP資料封包之完整檢查值）此欄位亦為選項，由SPI指明1.ESP傳送模式：IPv4OriginalIPheader(anyoptions)TCPDataBeforeapplyingESPIpv4AfterapplyingESPOriginalIPheader(anyoptions)ESPheaderTCPDataESPtrailerESPauthorizationEncryptedAuthenticatedIPv6OriginalIPheaderTCPDataBeforeapplyingESPExtraheadersifpresentIPv6ESPTCPDataOriginalIPheaderHop-by-hop,destination,routing,fragmentDestinationoptionsAfterapplyingESPESPtrailerESPauthorizationEncryptedAuthenticated38ESP標頭直接加在欲傳送的資料前這種模式可節省頻寬，因為IP標頭不須加密，不像隧道模式，一個封包有兩個

IP標頭步驟：

(1)使用ESP將IPPayload封裝起來

(2)傳送端：

(i)利用使用者ID和目的端位址以得到SA

環境

(ii)用加密算法(DES或Triple-DES)加密

傳送的資料

(3)接收端：

(i)收到ESP封裝的封包時直接處理IP標題

(ii)從ESPHeader拿取SPI值以得到相對的

SA (iii)利用SA的安全環境所定的解密函數解

出所加密的資料40對傳送模式而言，解密的人就是目的位址端的使用者針對Firewall,GatewayProxy而言，使用隧道模式較為適合，因為他們不是原始的送、收端2.ESP隧道模式IPv4OriginalIPheader(anyoptions)ESPTCPDataESPtrailerESPauthorizationEncryptedAuthenticatedNewIPheader(anyoptions)ESPTCPDataNewIPheaderNewextheadersOriginalIPheaderOriginalextheaderESPauthorizationESPtrailerIPv6EncryptedAuthenticated步驟：

(1)傳送端：

(i)先使用SA的相關訊息將IP的封包加密

(ii)在前面加上ESPHeader (iii)Prepend新的IP標頭

(2)接收端：

(i)使用ESPHerder內容中的SPI值決定SA (ii)解出ESPHerder后的裝載資料，就可以

取回原始的IP標頭與封包43AH與ESP混合使用IPAH與IPESP可以獨立或混合使用1.先加密再認證傳送模式隧道模式加密加密認證認證442.先認證再加密認證加密45安全群組SA不同的安全參數組合由SPI、目的位址，與轉換格式(AH或ESP)唯一決定。SA(SecurityAssociation)定義了一個安全的“環境”，這個環境的內容包含了IP封包加密、解密，和認證的相關訊息，敘述如下：密碼功能：提供加密、解密或兩者同時密碼算法：例如加解密使用DES或Triple-DES，認證使用MD5或SHA-1是否有啟始化矢量SA的生命周期46SA可以用SPI(32bits)來描述，也就是一個SPI值決定一個特定的SA

例如：主機A可以通知主機BSPI值為1000，它所相對的SA環境，密碼功能為只有加密，用DES，金鑰為0x1234567890abcdef(長度為64位元)。所以主機A就可以藉由SPI1000的值來加密它的資料然后傳送到主機B。當B收到封包后利用主機A和SPI的值就可以決定出SA而解密出原始資料。47SA是單向的(如AB)，對主機A和主機B這兩個要建立安全通訊的主機而言，則需要兩個SA。（(AB)和(BA)）SA有兩種鍵入方式：

(1)主機導向鍵入方式(Host-OrientedKeying):

不考慮使用者，從同一個系統所發出的封包，均使用相同的金鑰

(2)使用者導向鍵入方式(User-OrientedKeying):

以使用者為考量，允許使用者有不同的金鑰一個IPSec的實際例子：主機PrivateNetworkInternetPrivateNetwork主機SecurityGateway.twSecurityGateway.tw.tw.tw下圖為CHECKPOINTFirewall-1的例子

Scheme:MANUALIPSECSP1:0x1234NewSPI...DeleteEncryptionalgorithm:DESAuthenticationalgorithm:SHA1IPSecoptions:ESP

AH

EnableseedSeedEncryptionkey:e172b6153cfc066aAuthenticationkey:37768980b3471745oo16PeerGateway:AnyDiagnosticsTrack:CryptLogApplyReset加密算法ESPAH同時使用加密金鑰認證算法認證金鑰50IPSec的金鑰交換與管理運用IPSec的實體兩端必須知道一組相對的加密與解密金鑰才能正常運作相對的金鑰可以用人工手動或系統自動的方式交換目前系統自動交換的金鑰管理協定有SKIP(SimpleKey-managementforIP)與ISAKMP/Oakley(InternetSecurityAssociationKeyManagementProtocol/Oakley)兩種，都可應用在不同的金鑰交換算法中。SKIP較為簡單，而ISAKMP/Oakley則可應用于較多的協定。511.SKIP:SKIP是由SunMicrosystem所發展金鑰管理是階層式的金鑰管理通訊雙方真正共享的密鑰是Kij(這是利用DiffieHellman的公開金鑰對而達到共享的)52DiffieHellmanPKDSABKijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)KijKijn=MD5(Kij/n)KpE_Kp=MD5(Kp/0)A_Kp=MD5(Kp/2)Kp用Kijn將Kp加密后插入SKIPHeader送到對方用Kijn解回Kp共享密鑰Kij送端收端加密金鑰認證金鑰加密金鑰認證金鑰54符號說明：Kij:通訊雙方真正共享的密鑰n:離1995年1月1日零時的時數Kijn:長期金鑰,每隔1小時更換一次Kp:短期金鑰,每隔2分鐘更換一次E_Kp:加密金鑰A_Kp:認證金鑰55新的標頭

rcs:.tw

dst:.tw

protocol:SKIP

SKIP標頭

金鑰

加密演算法：Triple-DES

資料

加密演算法：DES

認証演算法：MD5

加密后的Kp

認証標頭AH

SPI:0x1234

MessageDigest

原始的IP標頭

src:.tw

dst:.tw

protocol:

TCP

IP裝載資料

(IP

Payload)

加密

認証

SKIP封包內容562.ISAKMP/Oakley(IKE):

針對系統自動交換方式，IETF定義了一組金鑰交換的通訊協定InternetKeyExchange(IKE)，下列為相關事項：ISAKMP:定義一組金鑰交換時所用的IP資料封包格式與封包處理程序及原則此定義可以適用在不同的金鑰交換算法中須配合一套安全保密定義系統DOI(DomainofInterpretation)來實作57OAKLEY:為一組擷取Deffie-Hellman算法精神的金鑰交換算法可適用在IPSec與其他安全保密通訊系統本算法沒有定義金鑰或金鑰交換訊息本身的格式，只定義必需的基本資料、交換模式與其交換步驟IKE:IKE為IETF定義的金鑰交換通訊協定此種通訊協定實作OAKLEY算法的三種模式，并采用ISAKMP所定義的資料封包交換格式與封包處理程序及原則DOI和IPSecDOI:DOI意指安全保密定義系統IPSecDOI為IETF定義的一套安全保密定義系統DOIRequirementIPSECDOINamingSchemeforDOI-specificprotocolidentifiersIPSECNamingSchemeInterpretationfortheSituationfieldIPSECSituationDefinitionSetofapplicablesecuritypoliciesIPSECSecurityPolicyRequirementSyntaxforDOI-specificSAattributesIPSECSecurityAssociationAttributesSyntaxforDOI-specificpayloadcontentsIPSECPayloadContentAdditionalKeyExchangetypes(Optional)(empty)AdditionalNotificationMessagetypes(Optional)(empty)59ISAKMP的2個PhaseIKE操作在2個phase，是用ISAKMP原來的定義︰Phase1:通訊雙方建立起一個安全通道來得到ISAKMPSAPhase2:通訊雙方在談判(negotiate)后建立一個有一般目的(general-purpose)的(或新的)SA(假設目前已存在一個SA)60Oakley的三個ModeOakley提供3個Mode來建立ISAKMPSAMainmode:可完成ISAKMPphase1的模式Aggressivemode:另一種完成ISAKMPphase1的模式較簡單、快速無身分(identity)的保密Quickmode:完成ISAKMPphase2的模式61ISAKMPMainmode假設︰通訊雙方未建立過ISAKMPSA目的︰產生新的Key及建立ISAKMPSA共有3個two-wayexchange62Mainmode步驟SAHeader1Noncei

KeyHeader3HeaderSA2HeaderKey

Noncer

4Sigi[Cert]IDiiHeader5EncryptedHeaderIDrr[Cert]Sigr6EncryptedInitiatorResponder63Mainmode的3個exchange在Mainmode步驟中，共有3個exchange(1)基本的SA建立:同意基本的算法和hashfunction(2)金鑰產生利用Diffee-Hellman的方法產生金鑰傳遞彼此的Nonce(為一個隨機數，給對方簽章后來驗證對方的身分)(3)SA的建立在驗證無誤后，完成動作64ISAKMPAggressivemode假設︰與Mainmode同目的︰與Mainmode同較快、簡單，但無雙方身分的保密65Aggressivemode步驟3Sigi[Cert]HeaderIDii

Noncei

Key

SAHeader12HeaderSA

Key

Nonceir

IDir[Cert]SigrInitiatorResponder66ISAKMPQuickmode假設︰通訊雙方已建立起ISAKMPSA目的︰產生新的Keyingmaterial在Quickmode下的封包都是在加密的情況下傳送的67Quickmode步驟IDui/IDur

[Key]Noncei

SA

Hash1Header1Hash3Header3HeaderHash2

SA

Noncer

[Key]

IDui/IDur2InitiatorResponderHash1=H(Noncei[||SA][||Key][||IDui/IDur])Hash2=H(Noncei||Noncer[||SA][||Key][||IDui/IDur])Hash3=H(Noncei||Noncer)68Quickmode的KeyGenerationKey的產生有兩種方法︰Non-pe