Экстернат |
Безопасность на сетевом уровне: IP SEC
Фаза I: энергичный режим
Каждый энергичный режим - сжатая версия соответствующего главного режима. Вместо шести сообщений в обмене участвуют только три. Сообщения 1 и 3 объединены в одно - первое сообщение. Сообщения 2, 4 и 6 объединены во второе сообщение. Сообщение 5 передают как третье сообщение. Идея та же самая, что и в главном режиме.
Метод предварительного совместного ключа
Рис. 8.24 показывает метод предварительного совместного ключа в энергичном режиме. Обратите внимание, что после получения первого сообщения респондент может вычислить SKEYID и, следовательно, HASH-R. Но инициатор не может вычислить SKEYID, пока не получит второе сообщение. HASN-I в третьем сообщении может быть зашифровано.
Метод первоначального открытого ключа
Рис. 8.25 показывает обмен сообщениями с использованием метода первоначального открытого ключа в энергичном режиме. Обратите внимание, что респондент может вычислить SKEYID и HASH-R после получения первого сообщения, но инициатор должен ждать, пока не получит второе сообщение.
Пересмотренный метод открытого ключа
Рис. 8.26 показывает пересмотренный метод открытого ключа в агрессивном режиме. Идея - та же самая, что и в главном режиме, за исключением того, что некоторые сообщения объединены.
Метод цифровой подписи
Рис. 8.27 показывает метод цифровой подписи в агрессивном режиме. Идея - та же самая, что и в главном режиме, за исключением того, что некоторые сообщения объединены.
Фаза II: быстрый режим
После того как услуги безопасности ( SA 's) были созданы или в главном режиме, или в энергичном режиме, может быть начата фаза II. Для фазы в настоящее время есть только один режим - быстрый режим. Этот режим находится под управлением SA 's IKE, созданного фазой 1. Каждый метод быстрого режима может начать работу любым главным или агрессивным режимом.
Быстрый режим использует SA 's IKE, чтобы создать IPSec SA 's (или SA 's для любого другого протокола). рис. 8.28 показывает обмен сообщениями в ходе быстрого режима.
В фазе II любая сторона может быть инициатором: то есть инициатор фазы II может быть инициатором или респондентом фазы 1.
Инициатор передает первое сообщение, которое включает в себя ключевой HMAC HASH (будет рассмотрен позже), полный SA, созданный в фазе 1, новый nonce (N-I), дополнительный новый полуключ Диффи-Хеллмана ( KE-I ) и иногда ID обеих сторон. Второе сообщение похоже, но переносит ключевой HMAC HASH2, nonce респондента ( N-R ), и, если есть, то полуключ Диффи-Хеллмана, созданный респондентом. Третье сообщение содержит только HMAC HASH3 ключа.
Сообщения аутентифицированы с помощью использования трех HMAC ключа: HASH1, HASH2 и HASH3. Они вычисляются следующим образом:
HASH1 = prf (SKEYID_d, MsgID | SA | N-I) HASH2 = prf (SKEYID_d, MsgID | SA | N-R) HASH3 = prf (SKEYID_d, 0 | MsgID [ SA | N-I | N-R)
Каждый HMAC включает сообщение IKE ( MsgID ), используемое в заголовке ISAKMP. Включение MsgID предотвращает одновременное создание фазы II и возможное столкновение.
Все три сообщения зашифрованы для конфиденциальности, используя SKEYID_e, созданный в течение фазы 1.
Идеальная прямая безопасность (PFS)
После установления IKE SA и вычисления SKEYID_d в фазе 1 все ключи для быстрого режима получены из SKEYID_d. Так как из единственной фазы I фаза II может быть получена много раз, безопасность фазы II является уязвимой, если злоумышленник имеет доступ к SKEYID_d. Чтобы воспрепятствовать этому, IKE применяет опцию идеальная прямая безопасность (PFS - Perfect Forward Security). В этой опции происходит обмен дополнительным полуключом Диффи-Хеллмана, и в результате совестный ключ (gir) используется в вычислении материала для ключей (см. следующий раздел) для IPSec. PFS эффективен, если ключ Диффи-Хеллмана после вычисления материала для ключа немедленно удален в каждом быстром режиме.
Материалы для ключей
После обмена в фазе II SA для IPSec создан, включая материал для ключа, K, который может использоваться в IPSec. Его значение получено следующим образом:
K = prf (SKEYID_d, protocol | SPI | N-I | N-R) (без PFS) K = prf (SKEYID_d, gir | protocol | SPI | N-I | N-R) (с PFS)
Если длина K слишком коротка для конкретного выбранного шифра, создается последовательность ключей, где каждый ключ получается из предыдущего, и ключи конкатенируются для того, чтобы сделать длинный ключ. Мы показываем случай без PFS; для варианта с PFS мы должны добавить gir.
Созданный материал для ключей - однонаправленный; каждая сторона создает свой различный материал для ключей, поэтому используемый в каждом направлении материал различен.
K1 =prf (SKEYID_d, protocol | SPI | N-I | N-R) K2 =prf (SKEYID_d, K1 | protocol | SPI | N-I | N-R) K3 =prf (SKEYID_d, K2| protocol | SPI | N-I | N-R) ....... K = K1 | K2 | K3 |
SA-алгоритмы
В заключение этого раздела приведем алгоритмы, с помощью которых договариваются в течение первых двух обменов сообщениями в IKE.
Группы Диффи-Хеллмана
Первые переговоры включают группу Диффи-Хеллмана, используемую для того, чтобы обмениваться полуключами. Она состоит из пяти групп, как это показано в табл. 8.3.
Алгоритмы хэширования, которые используются для аутентификации, показаны в табл. 8.4.
Значение | Описание |
---|---|
1 | MD5 |
2 | SHA |
3 | Tiger |
4 | SHA2-256 |
5 | SHA2-384 |
6 | SHA2-512 |
Алгоритмы шифрования
Алгоритмы шифрования, которые применяются для обеспечения конфиденциальности, показаны в табл. 8.5. Все они обычно используются в режиме CBC.