因特网密钥交换(IKE).pptVIP

讲义 VIII：因特网密钥交换 (IKE) 协议 因特网安全，理论与实作 NCTU/CSIE-92S John K. Zao, PhD SMIEEE 05/31/2004 IKE：因特网密钥交换协议 给 IPSec 使用的预设的密钥管理协议(在其它的安全应用中的潜在用法) 两个团体间的协议用对应端点认证以达到 安全连结关系的协商与管理 加密密钥的产生 区分这三种密钥管理协议：ISAKMP、Oakley 与 SKEME 在两个阶段中交替运作以分摊当多个 SA 建立时所产生的负担 提供多种交换模式 (Aggressive、Main、Quick) 以满足不同的需求 大纲 函数分析 可抵挡的威胁 设计原则 组成函数 cookie 交换 提议协商 密钥产生 对应端点 认证 运作分析 阶段 模式 酬载 交换 预设的例子：Main + Quick 模式 另一种：Aggressive 模式 可抵挡的攻击 中断服务攻击 - 强迫 IKE 代理人执行昂贵的加密运算来验证讯息 中间人攻击 - 删除、修改、回放、反射或重新导向在 IKE 代理人间交换的讯息 密钥原始数据的暴露 - 用来产生密钥或让代理人进行认证的参数，被长期或暂时地泄漏 IKE 提供选用的完美向前保密 (PFS) 保护 - 靠着将认证密钥和种子密钥分开，以及将个别的通讯期间密钥也分开，来限制密钥暴露的伤害 设计原则 使用轻量的方法来抵抗简单的中断服务攻击 在讯息交换包含虚拟随机数 (随机数)以抵抗回放攻击 对应端点的 IKE 代理人需要相互认证以完成密钥交换 - 未经认证的密钥交换不值得相信 采用 Diffie-Helman (DH) 密钥产生算法以达到机密和完美向前保密 相互认证与产生密钥绑在一起，以抵抗中间人攻击 在相互认证包含随机数以提供参与的部分验证 Cookie 交换 设计来抵抗简单的中断服务攻击(例如 IP 地址 flooding) Cookie (CKY)：由 IKE 代理人所产生的暂时的数值(初始者，响应者) ，用来识别他们的讯息 CKYx：= HMAC_MD5( 来源_i冗字填充dr | dst_i冗字填充dr | 来源_port | dst_port | x_randnum ) x = { i(初始者)，r(回应者) } 初始者和回应者两方的 Cookies (CKYi,CKYr) 都被嵌在 IKE 讯息标头里面 Cookies(CKYi,CKYr)也用来识别 ISAKMP SAs Cookie 交换 交换和检查 对于每一个 ISAKMP 协商, 初始者送出 CKYi 给回应者 回应者 送出 CKYr 和 CKYi 给初始者 初始者和响应者 使用 CKYi 和 CKYr 来标示下列的交换讯息 如果 CKYi(received) ！= CKYi(sent) 或 CKYr(received) ！= CKYr(sent)则舍弃掉交换讯息 SA 提议和协商 允许初始者和回应者去协商SA 的特性： 安全服务- 完整性、机密、认证、反回放 安全协定 - 例如 IPSec-AH 、 IPSec-ESP 安全算法 - 例如 DES、HMAC-MD5 安全参数 - 例如 SA 生命长度、密钥长度、更新周期 初始者产生提议，每一个都详细说明着 有可能使用的服务/协议 转换时有可能使用的算法 [注意]也许建议的是多种的协议与转换 响应者回报所选择的提议与其转换 协商总是在讯息交换的第一个循环中处理 SA 提议和协商 例子 SA 酬载 = IPSec 一个提议与两个协定 协议1 使用两个转换 协议2使用一个转换 两个 SAs 是用不同的 SPIs 建立的 ISAKMP-SA 密钥产生 ISAKMP-SA 密钥产生 种子密钥(SKEYID) 签名认证 SKEYID：= Prf((Nii|Nir)，gxy) Nii,Nir：ISAKMP 随机数 gxy：DH 数值(主要密钥) PK 加密认证 SKEYID：= Prf(散列(Nii|Nir),(CKYi|CKYr)) Nii,Nir：ISAKMP 随机数 CKYi，CKYr：cookies 分享的秘密认证 SKEYID：= Prf(SKir,(Nii|Nir)) SKir：分享的秘密密钥 Nii,Nir：ISAKMP 随机数 ISAKMP 密钥 密钥衍生密钥 SKEYID_d：= Prf(SKEYID，(gxy|CKYi|CKYr|0)) 给 使用者-SAs 用来推导密钥 认证密钥 SKEYID_a：= Prf(SKEYID，(SKEYID_d|gxy|CKYi|CKYr|1)) 用来认证ISAKMP-SA的讯息交换 加密密钥 SKEYID_d：= Prf(SKEYID，(SKEYID_e|gxy|CKYi|CKYr