Internet密鑰交換(IKE)
兩臺IPSec計算機在交換數(shù)據(jù)之前���,必須首先建立某種約定�����,這種約定����,稱為"安全關(guān)聯(lián)"��,指雙方需要就如何保護信息�、交換信息等公用的安全設(shè)置達(dá)成一致,更重要的是�����,必須有一種方法����,使那兩臺計算機安全地交換一套密鑰��,以便在它們的連接中使用�。見圖七�。
圖七、Internet密鑰交換
Internet 工程任務(wù)組IETF制定的安全關(guān)聯(lián)標(biāo)準(zhǔn)法和密鑰交換解決方案--IKE(Internet密鑰交換)負(fù)責(zé)這些任務(wù)���,它提供一種方法供兩臺計算機建立安全關(guān)聯(lián) (SA)��。SA 對兩臺計算機之間的策略協(xié)議進行編碼�����,指定它們將使用哪些算法和什么樣的密鑰長度�,以及實際的密鑰本身����。IKE主要完成兩個作用:
·安全關(guān)聯(lián)的集中化管理����,減少連接時間
·密鑰的生成和管理
一、什么是SA���?
安全關(guān)聯(lián)SA(Security Association)是單向的�����,在兩個使用 IPSec的實體(主機或路由器)間建立的邏輯連接����,定義了實體間如何使用安全服務(wù)(如加密)進行通信。它由下列元素組成:1)安全參數(shù)索引SPI��;2)IP目的地址�;3)安全協(xié)議。
SA是一個單向的邏輯連接�,也就是說,在一次通信中���,IPSec 需要建立兩個SA���,一個用于入站通信,另一個用于出站通信�。若某臺主機,如文件服務(wù)器或遠(yuǎn)程訪問服務(wù)器�,需要同時與多臺客戶機通信,則該服務(wù)器需要與每臺客戶機分別建立不同的SA����。每個SA用唯一的SPI索引標(biāo)識�����,當(dāng)處理接收數(shù)據(jù)包時�,服務(wù)器根據(jù)SPI值來決定該使用哪種SA�����。
二����、第一階段SA(主模式SA,為建立信道而進行的安全關(guān)聯(lián))
IKE建立SA分兩個階段��。第一階段�,協(xié)商創(chuàng)建一個通信信道(IKE SA),并對該信道進行認(rèn)證��,為雙方進一步的IKE通信提供機密性�、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù);第二階段�,使用已建立的IKE SA建立IPsec SA��。分兩個階段來完成這些服務(wù)有助于提高密鑰交換的速度。 第一階段協(xié)商(主模式協(xié)商)步驟:
1.策略協(xié)商��,在這一步中�����,就四個強制性參數(shù)值進行協(xié)商:
1)加密算法:選擇DES或3DES
2)hash算法:選擇MD5或SHA
3)認(rèn)證方法:選擇證書認(rèn)證�、預(yù)置共享密鑰認(rèn)證或Kerberos v5認(rèn)證
4)Diffie-Hellman組的選擇
2.DH交換
雖然名為"密鑰交換"�����,但事實上在任何時候,兩臺通信主機之間都不會交換真正的密鑰�,它們之間交換的只是一些DH算法生成共享密鑰所需要的基本材料信息。DH交換�����,可以是公開的��,也可以受保護。在彼此交換過密鑰生成"材料"后�����,兩端主機可以各自生成出完全一樣的共享"主密鑰"����,保護緊接其后的認(rèn)證過程����。
3.認(rèn)證 DH交換需要得到進一步認(rèn)證�,如果認(rèn)證不成功���,通信將無法繼續(xù)下去��。"主密鑰"結(jié)合在第一步中確定的協(xié)商算法�����,對通信實體和通信信道進行認(rèn)證�。在這一步中��,整個待認(rèn)證的實體載荷����,包括實體類型�����、端口號和協(xié)議���,均由前一步生成的"主密鑰"提供機密性和完整性保證����。
三���、第二階段SA(快速模式SA����,為數(shù)據(jù)傳輸而建立的安全關(guān)聯(lián))
這一階段協(xié)商建立IPsec SA�,為數(shù)據(jù)交換提供IPSec服務(wù)�。第二階段協(xié)商消息受第一階段SA保護�,任何沒有第一階段SA保護的消息將被拒收��。
第二階段協(xié)商(快速模式協(xié)商)步驟:
1.策略協(xié)商����,雙方交換保護需求:
·使用哪種IPSec協(xié)議:AH或ESP
·使用哪種hash算法:MD5或SHA
·是否要求加密�,若是,選擇加密算法:3DES或DES 在上述三方面達(dá)成一致后,將建立起兩個SA����,分別用于入站和出站通信�����。
2.會話密鑰"材料"刷新或交換
在這一步中��,將生成加密IP數(shù)據(jù)包的"會話密鑰"�。生成"會話密鑰"所使用的"材料"可以和生成第一階段SA中"主密鑰"的相同�����,也可以不同。如果不做特殊要求�,只需要刷新"材料"后�,生成新密鑰即可��。若要求使用不同的"材料",則在密鑰生成之前,首先進行第二輪的DH交換���。
3.SA和密鑰連同SPI�����,遞交給IPSec驅(qū)動程序��。
第二階段協(xié)商過程與第一階段協(xié)商過程類似�,不同之處在于:在第二階段中���,如果響應(yīng)超時,則自動嘗試重新進行第一階段SA協(xié)商����。
第一階段SA建立起安全通信信道后保存在高速緩存中���,在此基礎(chǔ)上可以建立多個第二階段SA協(xié)商,從而提高整個建立SA過程的速度�。只要第一階段SA不超時,就不必重復(fù)第一階段的協(xié)商和認(rèn)證�����。允許建立的第二階段SA的個數(shù)由IPSec策略屬性決定��。
四��、SA生命期
第一階段SA有一個缺省有效時間���,如果SA超時���,或"主密鑰"和"會話密鑰"中任何一個生命期時間到�,都要向?qū)Ψ桨l(fā)送第一階段SA刪除消息,通知對方第一階段SA已經(jīng)過期。之后需要重新進行SA協(xié)商�。第二階段SA的有效時間由IPSec驅(qū)動程序決定�。
密鑰保護
一��、密鑰生命期
生命期設(shè)置決定何時生成新密鑰���。在一定的時間間隔內(nèi)重新生成新密鑰的過程稱為"動態(tài)密鑰更新"或"密鑰重新生成"。密鑰生命期設(shè)置決定了在特定的時間間隔之后��,將強制生成新密鑰���。例如����,假設(shè)一次通信需要1萬秒�����,而我們設(shè)定密鑰生命期為1千秒�����,則在整個數(shù)據(jù)傳輸期間將生成10個密鑰����。在一次通信中使用多個密鑰保證了即使攻擊者截取了單個通信密鑰�����,也不會危及全部通信安全�����。密鑰生命期有一個缺省值����,但"主密鑰"和"會話密鑰"生命期都可以通過配置修改����。無論是哪種密鑰生命期時間到�,都要重新進行SA協(xié)商���。單個密鑰所能處理的最大數(shù)據(jù)量不允許超過100兆���。
二、會話密鑰更新限制
反復(fù)地從同一個的"主密鑰"生成材料去生成新的"會話密鑰"很可能會造成密鑰泄密�����。"會話密鑰更新限制"功能可以有效地減少泄密的可能性�����。 例如��,兩臺主機建立安全關(guān)聯(lián)后�,A先向B發(fā)送某條消息����,間隔數(shù)分鐘后再向B發(fā)送另一條消息���。由于新的SA剛建立不久,因此兩條消息所用的加密密鑰很可能是用同一"材料"生成的��。如果想限制某密鑰"材料"重用次數(shù)����,可以設(shè)定"會話密鑰更新限制"�����。譬如�,設(shè)定"會話密鑰更新限制"為5��,意味著同一"材料"最多只能生成5個"會話密鑰"。
若啟用"主密鑰精確轉(zhuǎn)發(fā)保密(PFS)"����,則"會話密鑰更新限制"將被忽略��,因為PFS 每次都強制使用新"材料"重新生成密鑰��。將"會話密鑰更新限制"設(shè)定為1和啟用PFS效果是一樣的。如果既設(shè)定了"主密鑰"生命期,又設(shè)定了"會話密鑰更新限制"�����,那么無論哪個限制條件先滿足�,都引發(fā)新一輪SA協(xié)商。在缺省情況下���,IPSec不設(shè)定"會話密鑰更新限制"。
三����、Diffie-Hellman(DH)組
DH組決定DH交換中密鑰生成"材料"的長度。密鑰的牢固性部分決定于DH組的強度�。IKE共定義了5個DH組���,組1(低)定義的密鑰"材料"長度為768位���;組2(中)長度為1024位。密鑰"材料"長度越長���,所生成的密鑰安全度也就越高����,越難被破譯�����。
DH組的選擇很重要,因為DH組只在第一階段的SA協(xié)商中確定��,第二階段的協(xié)商不再重新選擇DH組��,兩個階段使用的是同一個DH組,因此該DH組的選擇將影響所有"會話密鑰"的生成����。
在協(xié)商過程中����,對等的實體間應(yīng)選擇同一個DH組,即密鑰"材料"長度應(yīng)該相等。若DH組不匹配,將視為協(xié)商失敗��。
四���、精確轉(zhuǎn)發(fā)保密PFS(Perfect Forward Secrecy)
與密鑰生命期不同,PFS決定新密鑰的生成方式��,而不是新密鑰的生成時間����。PFS保證無論在哪一階段,一個密鑰只能使用一次��,而且����,生成密鑰的"材料"也只能使用一次。某個"材料"在生成了一個密鑰后,即被棄���,絕不用來再生成任何其他密鑰�����。這樣可以確保一旦單個密鑰泄密��,最多只可能影響用該密鑰加密的數(shù)據(jù),而不會危及整個通信�。
PFS分"主密鑰"PFS和"會話密鑰"PFS,啟用"主密鑰"PFS,IKE必須對通信實體進行重新認(rèn)證,即一個IKE SA只能創(chuàng)建一個IPsec SA����,對每一次第二階段SA的協(xié)商���,"主密鑰"PFS都要求新的第一階段協(xié)商,這將會帶來額外的系統(tǒng)開銷���。因此使用它要格外小心����。
然而�����,啟用"會話密鑰"PFS���,可以不必重新認(rèn)證���,因此對系統(tǒng)資源要求較小。"會話密鑰"PFS只要求為新密鑰生成進行新的DH交換���,即需要發(fā)送四個額外消息�,但無須重新認(rèn)證�。 PFS不屬于協(xié)商屬性,不要求通信雙方同時開啟PFS���。"主密鑰"PFS和"會話密鑰"PFS均可以各自獨立設(shè)置
