鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 病毒查杀 > >

防火墙及其他-5

来源:互联网 作者:佚名 时间:2015-10-08 09:42
1995年8月 Internet工程领导小组(IESG)批准了有关IPSP的RFC作为Internet 标准系列的推荐标准。除RFC 1828和RFC 1829外 还有两个实验性的RFC文件 规定了在AH和ESP体制中 用安全散列算法(SHA)来代替MD5(RFC 1852)和用三元 DES代替DES(RFC 1851)。 在最简单的情

1995年8月 Internet工程领导小组(IESG)批准了有关IPSP的RFC作为Internet
标准系列的推荐标准。除RFC 1828和RFC 1829外 还有两个实验性的RFC文件
规定了在AH和ESP体制中 用安全散列算法(SHA)来代替MD5(RFC 1852)和用三元
DES代替DES(RFC 1851)。

在最简单的情况下 IPSP用手工来配置密钥。然而 当IPSP大规模发展的时候
就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP
安全条例的要求 指定管理密钥的方法。

因此 IPSEC工作组也负责进行Internet密钥管理协议(IKMP) 其他若干协议的
标准化工作也已经提上日程。其中最重要的有:

·IBM 提出的“标准密钥管理协议(MKMP)”
·SUN 提出的“Internet协议的简单密钥管理(SKIP)”
·Phil Karn 提出的“Photuris密钥管理协议”
·Hugo Krawczik 提出的“安全密钥交换机制(SKEME)”
·NSA 提出的“Internet安全条例及密钥管理协议”
·Hilarie Orman 提出的“OAKLEY密钥决定协议”

我们再次强调指出 这些协议草案的相似点多于不同点。除MKMP外 它们都要求
一个既存的、完全可操作的公钥基础设施(PKI)。MKMP没有这个要求 因为它假
定双方已经共同知道一个主密钥(Master Key) 可能是事先手工发布的。SKIP要
求Diffie-Hellman证书 其他协议则要求RSA证书。

1996年9月 IPSEC决定采用OAKLEY作为ISAKMP框架下强制推行的密钥管理手段
采用SKIP作为IPv4和IPv6实现时的优先选择。目前已经有一些厂商实现了合成的
ISAKMP/OAKLEY方案。Photuris以及类Photuris的协议的基本想法是对每一个会话
密钥都采用Diffie-Hellman密钥交换机制 并随后采用签名交换来确认Diffie-
Hellman参数 确保没有“中间人”进行攻击。这种组合最初是由Diffie、Ooschot
和Wiener在一个“站对站(STS)”的协议中提出的。Photuris里面又添加了一种所
谓的“cookie”交换 它可以提供“清障(anti-logging)”功能 即防范对服务攻
击的否认。

Photuris以及类Photuris的协议由于对每一个会话密钥都采用Diffie-Hellman密钥
交换机制 故可提供回传保护(back-traffic protection BTP)和完整转发安全性
(perfect-forward secrecy PFS)。实质上 这意味着一旦某个攻击者破解了长效
私钥 比如Photuris中的RSA密钥或SKIP中的Diffie-Hellman密钥 所有其他攻击
者就可以冒充被破解的密码的拥有者。但是 攻击者却不一定有本事破解该拥有者
过去或未来收发的信息。

值得注意的是 SKIP并不提供BTP和PFS。尽管它采用Diffie-Hellman密钥交换机制
但交换的进行是隐含的 就是说 两个实体以证书形式彼此知道对方长效Diffie-
Hellman 公钥 从而隐含地共享一个主密钥。该主密钥可以导出对分组密钥进行加
密的密钥 而分组密钥才真正用来对IP包加密。一旦长效Diffie-Hellman密钥泄露
则任何在该密钥保护下的密钥所保护的相应通信都将被破解。还有 SKIP是无状态
的 它不以安全条例为基础。每个IP包可能是个别地进行加密和解密的 归根到底
用的是不同的密钥。

SKIP不提供BTP和PFS这件事曾经引起IPSEC工作组内部的批评意见该协议也曾进行
过扩充 试图提供BTP和PFS。但是 扩充后的SKIP协议版本其实是在BTP和PFS功能
的提供该协议的无状态性之间的某种折衷。实际上 增加了BTP和PFS功能的SKIP非
常类似于Photuris以及类Photuris的协议 唯一的主要区别是SKIP(仍然)需要原来
的Diffie-Hellman证书。这一点必须注意:目前在Internet上 RSA证书比其他证书
更容易实现和开展业务。

上一篇:防火墙及其他-6
下一篇:防火墙及其他-7
网友评论
<