(现代密码学原理与实践)第7章密码学在网络安全中的应用.ppt

的认证、完整性和机密性。同时这些机制均独立于具体算法，所以具体实现时系统可在IPSec定义的范围内选择合适的安全策略，灵活决定所需的算法和密钥。 IPSec在TCP/IP协议分层中的位置如图7.17所示。 IPSec协议有两种操作模式，传输模式和隧道模式。传输模式下，保护的是IP层载荷，在IP头与上层协议头(如TCP、UDP)之间插入安全协议(AH/ESP)头，当要求两个主机端到端进行安全通信时，通常使用传输模式。隧道模式下，要保护的整个IP包都被封装到一个新的IP数据报中，即加上一个新的外层IP头，安全协议(AH或ESP)头介于外层和内层IP头之间。隧道模式通常用于有安全网关(防火墙或路由器)的网络配置中。两个安全协议AH和ESP都支持这两种工作模式。 图7.17 IPSec在TCP/IP协议层 1．基本协议AH和ESP AH和ESP可以单独使用，AH主要负责认证，ESP主要负责保密。它们也可以一起使用，一起使用时把加密和认证结合起来，在主机之间传输具有认证和机密性的IP包。RFC2402［41］对鉴别头AH进行了定义。AH用于为IP包提供数据完整性、数据源身份认证等服务，能防止传输过程中对数据包内容的修改、地址欺骗攻击以及信息重放攻击等。AH头格式如图7.18所示，其中： ·下一个头用来描述AH后面的头类型。 ·载荷长度表示认证数据的长度,它以32bit为一个字，其值等于字数减2。 图7.18 AH封装格式 ·安全参数索引用以标识安全关联。 ·序列号是一个单调递增的计数器数值，用来防止IP包重放攻击。 ·认证数据域是一个变长域，包含了数据报文的鉴定数据，称为完整性校验值(ICV)，是AH的核心。ICV是将传输过程中变化的域和认证数据域置零后，对其余所有数据通过鉴别算法计算后得到的。其长度必须是32位字长的整数倍，如果不满足这个条件，则在数据后添加填充字段。AH中默认的鉴别是消息鉴别码MAC，当前规定的支持算法是HMAC-MD5-96和HMAC-SHA-1-96。经过HMAC计算，前者产生128bit的散列值，后者产生160bit的散列值，均选取其高96bit(认证数据的默认长度)作为校验值ICV。 2)ESP 对ESP进行了定义。ESP用于为IP数据报提供保密性和抗重放服务。通过对数据包的全部数据和加载内容进行全加密来保证传输信息的机密性，使只有拥有密钥的用户才能解密内容。由于ESP实际上加密了所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降。ESP头格式见图7.19。其中的认证数据是ICV，它对除身份验证数据本身之外的整个ESP头进行计算。 图7.19 ESP封装格式 作为可选功能，ESP也可以提供和AH相同的数据完整性和鉴别服务，但是在具体实现上和AH稍有不同。AH对外部IP头各部分都进行身份鉴别，以此检验数据的完整性；而ESP并不鉴别外部IP头，只对外部IP头之后的内容进行身份鉴别。ESP目前要求必须支持加密块链CBC(CipherBlockChaining)模式的DES加密算法。在解释域，文档还对ESP支持的很多其他算法分配了标识符，可以方便地使用它们。这些算法包括：三重DES、IDEA、RC5、CAST、Blowfish等。ESP最主要的加密算法是数据加密标准(DES)，DES最高支持56bit的密钥，而3DES使用3套密钥加密，相当于使用最高到168bit的密钥。 2．密钥管理［43］ 除了前述两个核心协议AH和ESP之外，IPSec的另一个重要组成是密钥管理。在密钥管理过程中，IPSec协议使用Internet密钥交换协议(IKE)。AH的鉴别算法和ESP加密算法都需要密钥，若同时使用两协议则需要的密钥更多，为4个，即各一对发送/接收密钥。 在IPSec中进行密钥交换有两种方法：一种是使用IKE协议进行自动密钥交换;一种是手工模式。手工模式只适用于小规模的或者用硬件实现的IPSec，大多数情况下都需要使用IKE协议通过公用网络进行密钥交换。 Internet安全关联和密钥管理协议ISAKMP规定了一个认证和密钥交换的框架，定义了所有用于建立安全关联和执行密钥管理功能的协议结构，并且与具体的密钥交换方法、加密、鉴别算法相独立。Internet密钥交换协议IKE使用ISAKMP语言来定义密钥交换，因此是ISAKMP框架的实例化。IKE的功能包括加密算法、密钥协商、密钥生成、密钥交换及管理等，现已