信息安全原理与实践-第二版10 真实世界中的安全协议

21
为什么Trudy要不厌其烦地生成所有这些数值呢？
• 一旦Trudy完成了这一切，她就能够创建完整的会话过程，使其看起来 就像是Alice和Bob之间一次有效的IPSec交易 。令人震惊的是，这样 伪造的一次会话过程让任何旁观者看起来都是有效的，包括Alice和 Bob本人也无法否认！
可以否认性
4
简化的SSH协议
数字签名可以用来提供双向交互认证。 因为nonce值RA是Alice发送给Bob的challenge，而SB是Bob的响应。也就是 说，nonce值RA提供了重放保护，只有Bob能够给出正确的响应，与此类似 的交互过程可以证明Alice在最后一条消息中会被认证。
5
10.3 SSL
18
10.4.2 IKE阶段一：对称密钥方式
• 对称密钥选项方式的主模式
• 这种主模式下存在所谓的Catch-22问题 • 可能存在的问题：
首先，Alice必须有一个静态IP地址——如果Alice的IP地址变化了，这个 模式就会失效。 这个协议太复杂，其中使用了6条消息，也可能就是为了隐匿通信者的身 份。但是，该协议并没有成功地隐匿通信参与者的身份，除非你将静态IP
• “套接字层”实际上处于IP协议栈中的应用层和传输层之间。 • 在实践中，SSL协议最常应用的场景是Web浏览，在这种情况下，应 用层的协议是HTTP，传输层的协议是TCP。 • 例子：在amazon.com上购买一本书
6
一个简单的SSL协议
其中的问题就是，Bob的身份并没有明白无误地被认证！
对于Alice来说，唯一能够确认自己正在与Bob进行交流的方式可能就是，对接 收到的加密数据进行验证，看其是否被正确加密了。
12
10.4 IPSec
• SSL协议和IPSec协议逻辑上的基本差异
13
• IPSec协议的两个主要组成部分 Internet密钥交换协议，或简称为IKE(Internet Key Exchange)， 该协议提供了双向交互认证和会话密钥。IKE协议包含两个阶段， 这两个阶段分别相当于SSL协议的会话建立过程和连接建立过程。 封装安全有效载荷和认证头，或简称为ESP(Encapsulating Security Payload)和AH(Authentication Header)，这两者一起构成 了IPSec协议的第二部分。ESP提供IP数据包的加密和完整性保护 ，而AH则只提供完整性保护。
26
10.4.7 IPSec和IP数据报
令a为Alice的(短时)Diffie-Hellman协商过程指数， 令b为Bob的(短时)Diffie-Hellman协商过程指数。 令g为生成器，p为素数。p和g都是公开的。
16
10.4.1 IKE阶段一：数字签名方式
• 数字签名版本的主模式
17
Βιβλιοθήκη Baidu
• 每一个密钥选项都有一个主模式和一个积极模式。主模式的设计用于 提供匿名特性，而积极模式则并非如此。 • 数字签名密钥选项情况下的积极模式版本（请注意，其中并没有试图 去隐藏Alice或Bob的身份，因此大幅地简化了该协议的交互过程。）
25
IKE阶段二
• 每一次阶段二生成的密钥与阶段一的密钥不同，并且彼此也不相同。 • IKE协议的阶段一完成之后，我们已经建立了一个IKE-SA。接下来IKE 协议的阶段二完成之后，我们就建立了一个IPSec-SA。 • 阶段二之后，Alice和Bob都已经完成了身份认证，并且他们也有了一 个共享的会话密钥，用于当前连接的数据加密。
地址也视为机密信息。
19
10.4.3 IKE阶段一：公开密钥加密方式
• 公开密钥加密选项版本，包括主模式和积极模式 • 在公钥加密版本的主模式下，Alice必须事先知道Bob的公钥，反过来 对Bob也是一样。假设是Alice和Bob彼此都能够访问对方的数字证书， 而不需要再通过网络进行传递。
• 公开密钥加密选项下的主模式协议详解 ：
15
• 接下来将要对阶段一的8个变体中的6个进行讨论，分别是：
数字签名(主模式和积极模式)、 对称密钥(主模式和积极模式) 公开密钥加密(主模式和积极模式)。
• 每一个阶段一的变体都利用短时Diffie-Hellman密钥交换方案来建立会 话密钥。这种方案的好处就是能够提供完全正向保密(Perfect Forword Secrecy，PFS)。 • 对于我们要讨论的每一个变体，统一使用下面的Diffie-Hellman表示方 法。
24
10.4.6 IKE阶段二
• 阶段二必须在IKE协议的阶段一完成后才能进行。此时，共享的会话 密钥，IPSec的cookie、IC、RC以及IKE-SA都已经建立完成，并且这 些信息对于Alice和Bob已均为已知。 • IKE阶段二的协商过程
加密方案提议包括ESP或AH。在此阶段，Alice和Bob决定是否使用ESP 或AH。 SA是在阶段一建立的IKE-SA的标识符。 编号为1、2和3的哈希运算依赖于从阶段一得到的SKEYID、 RA，RB以及 IKESA。 密钥的生成源于等式KEYMAT = h(SKEYID，RA，RB，junk)，其中 “junk”对所有人(包括攻击者)均可知。 值SKEYID依赖于阶段一的密钥方案。 可以利用短时Diffie-Hellman密钥交换实现PFS(完全正向保密)特性，此为 可选项。
阶段一相当于SSL协议中的会话建立，而阶段二则可以比作SSL协议中 的连接建立。在IKE协议中，必须在完成了阶段一和阶段二之后，才能 够执行ESP / AH。 • 在IKE协议的阶段一中，有4个不同的密钥选项：
公开密钥加密(原始版本) 公开密钥加密(改进版本) 数字签名 对称密钥
上述每一个密钥选项都有一个主模式(main mode)和一个积极模式 (aggressive mode)。结果就是IKE协议的阶段一总共有8个不同的版本。
• IKE是一种独立的协议，可以脱离ESP/AH部分而独立运行。但是，既 然在现实世界当中IKE协议似乎只应用于IPSec协议的场景中，所以我 们就简单地将二者合在一起，统一称之为IPSec。
14
IKE协议 • 包含了两个阶段
阶段一，建立所谓的IKE安全关联，也可以简称为IKE-SA。 阶段二，建立IPSec安全关联，或被简称为IPSec-SA。
Information Security: Principles and Practice, 2nd Edition [美]Mark Stamp 张 戈 著 译
1
第10章 真实世界中的安全协议
2
10.1 引言
• • • • • • 几个广泛应用的真实世界中的安全协议 SSH协议 SSL协议 IPSec 协议 Kerberos协议 WEP
IPSec的cookie对于DoS攻击防护并没有提供实质性的帮助。
23
10.4.5 IKE阶段一小结
• 无论使用8个不同协议版本中的哪一个，IKE阶段一的成功完成将实现 双向交互身份认证，并建立起共享的会话密钥，这就是所谓的IKE安 全关联(IKE-SA)。 • 在任何一种公开密钥加密选项模式下，IKE协议阶段一的运算都是代 价高昂的，而且主模式还都需要6条消息。 • IKE协议的阶段二开销相对低廉，用于建立所谓的IPSec安全关联，或 简称为IPSec-SA。
• GSM
3
10.2 SSH
• Secure Shell，简称为SSH，该协议创建了一个安全的通道，基于该 通道，可以安全的方式执行原本不安全的命令。例如UNIX系统中用于 实现远程登录的命令rlogin • SSH协议的认证过程可以基于公钥、数字证书或口令字。
• 约定使用的术语：
certificateA = Alice's certificate(Alice的证书) certificateB = Bob's certificate(Bob的证书) CP = crypto proposed(加密方案的提议) CS = crypto selected(加密方案的选定) H=h(Alice, Bob,CP,CS,RA,RB,ga mod p,gb mod p,gab mod p) SB=[H]Bob K= gab mod p SA=[H, Alice, certificateA]Alice h是加密哈希函数
公开密钥加密选项下的 积极模式允许Alice和 Bob保持匿名身份。
20
• 存在的安全问题
• 假设Trudy生成了Diffie-Hellman的指数a和b，以及随机的nonce值RA 和RB。然后，Trudy就可以计算协议里所有其他的量，即gab mod p、 K、SKEYID、proofA和proofB。之所以Trudy能够做到这一点，就是因 为Alice和Bob的公钥都是公开的。
8
实际应用中会根据哈希值h(S, RA, RB)生成不止一个密钥。 事实上，根据这个哈希计算可以生成以下6个量： 两个加密密钥，其中一个用于加密从客户端发送给服务器的消息 ，另一个用于加密从服务器发送给客户端的消息。 两个数据完整性密钥，与前面加密密钥的使用方式相同。 两个初始化向量(IV)，其中一个用于客户端，另一个用于服务器。
• 介于数字签名主模式和积极模式之间的一个微妙差别是：在主模式中， 有可能将g和p的值作为“crypto proposed(加密方案提议)”和“crypto accepted(加密方案选择)”消息的一部分进行协商。但是，在积极模式 中却不是这样，因为Diffie-Hellman值ga mod p在第一条消息中就已经 发送了。
11
10.3.3 SSL和IPSec
• IPSec即Internet Protocol Security，它的设计目标与SSL类似，就是 提供网络通信的安全保护。 SSL
复杂度 IP协议栈的层数 层次 加密保护 数据完整性保护 身份认证 简单 嵌套字层 驻留在用户空间 支持 支持 支持
IPSec
相对复杂 网络层 位于操作系统运行空间 支持 支持 支持
22
10.4.4 IPSec cookie
• IPSec协议中的这些cookie与Web网站的cookie毫无关系。在Web上， cookie是用于跨越多个HTTP会话的状态维护。而IPSec协议中cookie 的目标是令拒绝服务(Denial of Service，DoS)攻击更加困难。
• TCP SYN flooding攻击 • 每一个TCP SYN请求都将引发服务器执行少量的计算任务(比如创建 SEQ号)并保持若干状态。正是这个状态的保持恰恰给攻击者提供了可 乘之机。如果攻击者使用数量庞大的SYN数据包对一台服务器进行狂 轰滥炸，并且根本就不去继续完成这些建立中的半开连接，那么服务 器最终将会耗尽自己的资源，无法再去处理合法的SYN请求，于是就 会导致拒绝服务。
简而言之，在协议中不同的数据传送方向使用不同的密钥。这有助于防 止某些特定类型的攻击。
9
10.3.1 SSL协议和中间人攻击
• SSL协议中是什么机制可以防止中间人攻击呢？
10
10.3.2 SSL连接
SSL协议最初是由Netscape开发，主要用于Web浏览场景。应用 层协议是HTTP，通常使用的HTTP协议有两个版本，分别是HTTP 1.0 和 HTTP 1.1。 由于公开密钥运算操作的原因，要为这些HTTP连接中的每一个都 建立新的SSL会话将是不小的负担。所以 SSL协议的设计者们内置了 一种效率更高的协议：只要有一个SSL会话已然存在，再打开一个新 的SSL连接就可以使用这个高效的协议。 • SSL连接协议的详情 ：
7
基本SSL协议的一个比较完整的视图 • 约定术语：
S = the pre-master secret (预备主密码) K = h(S, RA, RB) msgs = shorthand for "all previous messages" (表示“前面所有的消息”) CLNT = literal string(文本串) SRVR = literal string(文本串)