RFC-2409. Протокол обмена ключевой информацией в Internet (IKE). Ноябрь 1998 года (категория: стандарт)
Подождите немного. Документ загружается.
21
Структура “Ускоренного режима” информационного обмена
представлена на рис.9.
Инициатор соединения INTERNET Отвечающая сторона
Раунд Состав сообщения
Состав сообщения Раунд
n
HDR*; HASH(1); SA; N
i
; [KE]; [ID
ci
; ID
cr
]
1
2
HDR*; HASH(2); SA; N
r
; [KE]; [ID
ci
; ID
cr
]
n
o
HDR*; HASH(3)
3
t t
Рис.9. “Ускоренный режим” информационного обмена
Значения хэш-функций вычисляются следующим образом:
HASH(1) = prf(SKEYID_a, M-ID|SA|N
i
|[KE]|[ID
ci
|ID
cr
]);
HASH(2) = prf(SKEYID_a, M-ID|N
i
_b|SA|N
r
|[KE]|[ID
ci
|ID
cr
]);
HASH(3) = prf(SKEYID_a, 0|M-ID|N
i
_b|N
r
_b).
За исключением полей полезной нагрузки “Хэш-функция”, “SA” и
дополнительного “Идентификация”, не существует каких-либо требований к
порядку следования полей в сообщении во время “Ускоренного режима”
информационного обмена. Например, порядок следования полей
HASH(1) и
HASH(2) может отличаться от того, который представлен на рис.9, если в
сообщении имеет место другой порядок следования полей или имеют место
какие-либо другие дополнительные поля (например, поле “Уведомление”),
которые были изменены в сообщении.
Если вычисление значения ПСФ не требуется, и поля полезной нагрузки
“Обмен ключевой информацией” не применялись в информационном
обмене,
то тогда новые ключевые данные определяются следующим образом:
KEYMAT = prf(SKEYID_d, protocol|SPI|N
i
_b|N
r
_b).
Если же наоборот, вычисление значения ПСФ требуется, и поля полезной
нагрузки “Обмен ключевой информацией” применялись в информационно
обмене, то тогда новые ключевые данные определяются следующим образом:
KEYMAT = prf(SKEYID_d, g(qm)^xy|protocol|SPI|N
i
_b|N
r
_b),
где “
g(qm)^xy” — общий секретный ключ, полученный при информационном
обмене с использованием DH-алгоритма в “Ускоренном режиме”.
В любом случае, субполя “Идентифкатор протокола” и “SPI” извлекаются
из поля “Предложение” ISAKMP-сообщения, содержащего также согласуемое
поле “Преобразование”.
В результате согласования параметров одиночного SA, фактически,
устанавливаются два защищенных виртуальных соединения: входное и
выходное. Различные индексы параметров безопасности для каждого SA (
одно
22
выбирается инициатором, другое — вызываемой стороной) гарантируют
наличие различных ключей для каждого направления. SPI, выбранный узлом
назначения для будущего SA, используется для получения новых ключевых
данных для этого соединения.
В ситуациях, когда размер ключевых данных превышает размер
результирующего значения ПСФ, то тогда новые ключевые данные
генерируются следующим образом:
KEYMAT = K1|K2|K3| …, где
K1 = prf(SKEYID_d, [ g(qm)^xy]|protocol|SPI|N
i
_b|N
r
_b)
K2 = prf(SKEYID_d, K1|[ g(qm)^xy]|protocol|SPI|N
i
_b|N
r
_b)
K3 = prf(SKEYID_d, K2|[ g(qm)^xy]|protocol|SPI|N
i
_b|N
r
_b) … .
Эти ключевые данные (полученные с помощью ПСФ или без нее, либо
полученные непосредственно или с помощью сцепления битовых
последовательностей) должны применяться при использовании согласованного
SA. Они необходимы для службы безопасности, которая определяет как
формируются ключи из ключевой информации.
В случае применения информационного обмена с использованием DH-
алгоритма в “Ускоренном режиме”, экспоненциальное значение (
g(qm)^xy)
безвозвратно удаляется из текущего состояния, а значения
SKEYID_e и SKEYID_a
(полученные в первой фазе согласования параметров) продолжают
использоваться для защиты и аутентификации ISAKMP-SA, кроме этого,
значение
SKEYID_d продолжает использоваться для формирования ключей.
Структура “Ускоренного режима” информационного обмена в интересах
формирования нескольких SA и криптоключей для них представлена на рис.10.
Инициатор соединения INTERNET Отвечающая сторона
Раунд Состав сообщения
Состав сообщения Раунд
n
HDR*; HASH(1); SA0; SA1; N
i
; [KE];
[ID
ci
; ID
cr
]
1
2
HDR*; HASH(2); SA0; SA1; N
r
; [KE];
[ID
ci
; ID
cr
]
n
o
HDR*; HASH(3)
3
t t
Рис.10. “Ускоренный режим” информационного обмена в интересах формирования
нескольких SA и криптоключей для них
Ключевая информация для обеспечения безопасности формируется
аналогичным образом, как и при одиночном SA. Но в данном случае
(согласуются два поля “SA”), в результате согласования будут
функционировать четыре SA, по два в каждом направлении.
23
5.6. Характеристка информационного обмена в режиме “Новая группа”
Режим “Новая группа” не должен использоваться до тех пор, пока не
будет сформировано ISAKMP-SA. Этот режим должен следовать только после
первой фазы согласования параметров. (Несмотря на то, что он не является
второй фазой согласования параметров.) Структура информационного обмена в
режиме “Новая группа” представлена на рис.11.
Инициатор соединения INTERNET Отвечающая сторона
Раунд Состав сообщения
Состав сообщения Раунд
n
HDR*; HASH(1); SA
1
2
HDR*; HASH(2); SA
n
t t
Рис.11. Информационный обмен в режиме “Новая группа”
Значения хэш-функций вычисляются следующим образом:
HASH(1) = prf(SKEYID_a, M-ID|SA);
HASH(2) = prf(SKEYID_a, M-ID|SA).
Поле полезной нагрузки “Предложение” определяет характеристики и
параметры группы. Размерность секретных групп должна составлять 2
15
или
больше. Если группа не приемлема, то тогда вызываемая сторона должна
направить передающей стороне ответное сообщение с полем полезной нагрузки
“Уведомление”, содержащим субполе “Данные уведомления” с параметром
“ATTRIBUTES-NOT-SUPPORTED” (13).
Програмные ISAKMP-модули могут требовать, чтобы срок действия
секретных групп истекал одновременно с прекращением функционирования
SA, с помощью которого они были сформированы.
Характеристики и
параметры групп могут непосредственно
согласовываться с использованием поля полезной нагрузки “Предложение”,
содержащегося в поле “SA”, в течении “Базового режима” информационного
обмена.
Для обеспечения этого согласования характеристики и параметры групп
(MODP-группы: тип, простое число и образующий элемент группы; EC2N-
группы: тип, неприводимый многочлен, первый образующий элемент группы,
второй образующий элемент группы, эллиптическая кривая
группы А,
эллиптическая кривая группы В и порядок группы) передаются в сообщении
как SA-атрибуты.
5.7. Характеристка “Информационного обмена” ISAKMP-протокола
24
Рассматриваемый протокол, когда это возможно, обеспечивает защиту
информационного обмена ISAKMP-протокола типа “Информационный”. Если
ISAKMP-SA установлено (сформированы
SKEYID_e и SKEYID_a), то тогда
информационный обмен ISAKMP-протокола типа “Информационный” (когда
используется IKE-протокол) имеет структуру, которая представлена на рис.12.
Инициатор соединения INTERNET Отвечающая сторона
Раунд Состав сообщения
Состав сообщения Раунд
n
HDR*; HASH(1); N/D
1
t t
Рис.12. Информационный обмен ISAKMP-протокола типа “Информационный”
“
N/D” — представляет собой поле полезной нагрузки ISAKMP-протокола:
либо “Уведомление”, либо “Удаление (разъединение)”. Значение хэш-функций
вычисляется следующим образом:
HASH(1) = prf(SKEYID_a, M-ID|N/D).
Так как, указанный в ISAKMP-заголовке идентификатор сообщения
(используемый для вычисления ПСФ) является уникальным в данном
информационном обмене, то не должно быть других точно таких же
идентификаторов сообщений во второй фазе другого информационного обмена,
которые бы инициировали данный информационный обмен типа
“Информационный”. Для зашифрования этого сообщения используются ВНУ и
значение
SKEYID_e.
Если же ISAKMP-SA не установлено до начала информационного обмена
типа “Информационный”, то тогда процедурное сообщение передается в
открытом виде без сопутствующего поля полезной нагрузки “Хэш-функция”.
VI. ХАРАКТЕРИСТКА OAKLEY-ГРУПП
В рамках IKE-протокола проходит согласование DH-группа, на
основании которой будет проводится информационный обмен с
использованием DH-алгоритма. В данном разделе рассматриваются четыре
OAKLEY-группы, представленных в соответствующем протоколе (RFC 2412).
Для идентификаторов секретных групп используются значения 2
15
и выше.
6.1. Характеристка первой OAKLEY-группы “по умолчанию”
Программные OAKLEY-модули должны поддерживать MODP-группу,
имеющую следующие простое число и образующий элемент группы. (Данная
группа имеет персональный идентификатор “1”.)
Простое число: 2
768
- 2
704
- 1 + 2
64
∗
{ [2
638
pi] + 149686 };
25
а его шестнадцатеричная форма записи имеет вид:
FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1
29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD
EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245
E485B576 625E7EC6 F44C42E9 A63A3620 FFFFFFFF FFFFFFFF.
Образующий элемент группы: “2”
6.2. Характеристка второй OAKLEY-группы
Целесообразно, чтобы программные OAKLEY-модули поддерживали
MODP-группу, имеющую следующие простое число и образующий элемент
группы. (Данная группа имеет персональный идентификатор “2”.)
Простое число: 2
1024
- 2
960
- 1 + 2
64
∗
{ [2
894
pi] + 129093 };
а его шестнадцатеричная форма записи имеет вид:
FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1
29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD
EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245
E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED
EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381
FFFFFFFF FFFFFFFF
Образующий элемент группы: “2” (десятичное значение).
6.3. Характеристка третьей OAKLEY-группы
Целесообразно, чтобы программные OAKLEY-модули поддерживали
EC2N-группу со следующими характеристиками. (Данная группа имеет
персональный идентификатор “3”.)
Кривая основана на поле Галуа GF[2
155
]. Размер поля “155”.
Неприводимый многочлен для этого поля:
u
155
+ u
62
+ 1.
Уравнение эллиптической кривой:
y
2
+ xy = x
3
+ ax
2
+ b.
Размер поля: 155
Простое число/Неприводимый многочлен: 0x0800000000000000000000004000000000000001
Первый образующий элемент группы: 0x7b
Коэффициент А эллиптической кривой группы: 0x0
Коэффициент В эллиптической кривой группы: 0x07338f
Порядок группы: 0X0800000000000000000057db5698537193aef944
26
При использовании этой группы в поле полезной нагрузки “Обмен
ключевой информацией” содержаться следующие данные:
c значение “х” из решения уравнения (х, у);
2 точка на кривой, являющаяся результатом вычисления уравнения “K
a
∗P”,
где “
K
a
” — случайным образом выбранный секретный ключ; “P” — точка
кривой с координатами “х” (первый образующий элемент группы) и “у”
(результата вычисления уравнения эллиптической кривой относительно
“у”); “
∗” — означает операцию умножения координат точки на константу.
Уравнение эллиптической однозначно определяется типом группы и
коэффициентами “а” и “в”. На практике возможны два значения координаты
“у”, причем применимо каждое из этих значений (при этом
взаимодействующим сторонам нет необходимости договариваться о выборе
значения “у”).
6.4. Характеристка четвертой OAKLEY-группы
Целесообразно, чтобы программные OAKLEY-модули поддерживали
EC2N-группу со следующими характеристиками. (Данная группа имеет
персональный идентификатор “4”.)
Кривая основана на поле Галуа GF[2
185
]. Размер поля “185”.
Неприводимый многочлен для этого поля:
u
185
+ u
69
+ 1.
Уравнение эллиптической кривой:
y
2
+ xy = x
3
+ ax
2
+ b.
Размер поля: 185
Простое число/Неприводимый многочлен: 0x020000000000000000000000000000200000000000000001
Первый образующий элемент группы: 0x18
Коэффициент А эллиптической кривой группы: 0x0
Коэффициент В эллиптической кривой группы: 0x1ee9
Порядок группы: 0x01ffffffffffffffffffffffdbf2f889b73e484175f94ebc
При использовании этой группы в поле полезной нагрузки “Обмен
ключевой информацией” содержаться такие же данные, как и при
использовании третьей OAKLEY-группы.
Другие группы могут быть согласованы путем применения
информационного обмена в режиме “Новая группа”.
VII. ЛОГИЧЕСКАЯ ХАРАКТЕРИСТИКА IKE-ПРОТОКОЛА
В данном разделе рассматривается применение IKE-протокола для:
n построения защищенного и аутентифицированного канала между двумя
ISAKMP-процессами (первая фаза процедуры согласования);
27
o формирования ключевых данных и согласования параметров для
защищенного виртуального соединения IPsec-архитектуры (вторая фаза
процедуры согласования);
7.1. Характеристика первой фазы согласования в “Базовом режиме”
На рис.13 представлен формат сообщения с полями полезной нагрузки,
которым обмениваются взаимодействующие стороны в первом раунде
информационного обмена. Инициатор соединения может направить несколько
предложений, а вызываемая сторона должна выбрать только одно предложение
и направить его в ответном сообщении. Вызываемая сторона, выбрав одно из
предложений, направляет сообщение, содержащее одно преобразование
(ISAKMP-SA атрибуты).
0
1
2
3
4
5
6
7
8
9
1
0
1
2
3
4
5
6
7
8
9
2
0
1
2
3
4
5
6
7
8
9
3
0
1
ISAKMP-заголовок для “Базового режима” информационного обмена
с указанием следующего поля полезной нагрузки
“Защищенное виртуальное соединение”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“ Область шифрования” (DOI)
“ Состояние защищенности” (“Situation”)
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“Предложение № 1” “PROTO_ISAKMP” “Размер поля SPI = 0” “Число преобразований”
“Преобразование” “Зарезервировано” “Размер поля полезной нагрузки”
“Преобразование № 1” “KEY_OAKLEY” “Зарезервировано-2”
“ Предпочтительные атрибуты SA”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“Преобразование № 2” “KEY_OAKLEY” “Зарезервировано-2”
“ Альтернативные атрибуты SA”
Рис.13. Формат сообщения в первом раунде информационного обмена в “Базовом режиме”
На рис.14 представлен формат сообщения с полями полезной нагрузки,
которым обмениваются взаимодействующие стороны во втором раунде
информационного обмена.
Согласованные в этом раунде ключи
SKEYID_e и SKEYID_a используются для
защиты и аутентификации на протяжении всего последующего периода
соединения. (
Замечание. Ключи SKEYID_e и SKEYID_a не аутентифицируются.)
Обмен ключевой информацией аутентифицируется с помощью
подписываемого результата вычисления хэш-функции (рис.15). Если ЭЦП была
28
проверена с помощью алгоритма аутентификации, согласованного в процессе
согласования парметров ISAKMP-SA, то тогда общие сформированные ключи
SKEYID_e и SKEYID_a могут быть помечены как прошедшие процедуру
аутентифицикации. (Для краткости, информационный обмен полем полезной
нагрузки “Электронный сертификат” не показан.)
0
1
2
3
4
5
6
7
8
9
1
0
1
2
3
4
5
6
7
8
9
2
0
1
2
3
4
5
6
7
8
9
3
0
1
ISAKMP-заголовок для “Базового режима” информационного обмена
с указанием следующего поля полезной нагрузки
“Обмен ключевой информацией”
“Случайный параметр” “Зарезервировано” “Размер поля полезной нагрузки”
“ Открытое значение DH-параметра”
(“g^x
i
” — от инициатора соединения;
“g^x
r
” — от вызываемой стороны)
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“ Случайный параметр”
(“N
i
” — от инициатора соединения;
“N
r
” — от вызываемой стороны)
Рис.14. Формат сообщения во втором раунде информационного обмена в “Базовом режиме”
0
1
2
3
4
5
6
7
8
9
1
0
1
2
3
4
5
6
7
8
9
2
0
1
2
3
4
5
6
7
8
9
3
0
1
ISAKMP-заголовок для “Базового режима” информационного обмена
с указанием следующего поля полезной нагрузки
“Идентификация” и с флагом “Е”
“ЭЦП” “Зарезервировано” “Размер поля полезной нагрузки”
“Данные идентификации, согласующей стороны ISAKMP-протокола”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“ЭЦП, заверенная открытым ключом,
представленным в субполе
“Данные идентификации”
Рис.15. Формат сообщения в третьем раунде информационного обмена в “Базовом режиме”
7.2. Характеристика второй фазы согласования в “Ускоренном режиме”
На рис.16 представлен формат сообщения, которым обмениваются
взаимодействующие сторонв в первом раунде “Ускоренного режима”
информационного обмена, используя для этого согласованное ISAKMP-SA. В
этом гипотетическом режиме информационного обмена участвуют
уполномоченные ISAKMP-серверы, согласующие параметры аутентификации
по запросам других сторон, от имени который они взаимодействуют.
29
Вызываемая сторона отвечает на сообщение инициатора более простым
сооббщением, содержащим только одно поле “Преобразование” (например,
выбрать АН-преобразование). Получив ответ, инициатор может сформировать
ключи, необходимые для согласованного SA, или необходимую ключевую
информацию. С целью контроля атак типа повторной передачи сообщений,
вызываемая сторона ожидает получения следующего сообщения.
0
1
2
3
4
5
6
7
8
9
1
0
1
2
3
4
5
6
7
8
9
2
0
1
2
3
4
5
6
7
8
9
3
0
1
ISAKMP-заголовок для “Ускоренного режима” информационного обмена
с указанием следующего поля полезной нагрузки
“Хэш-функция” и с флагом “Е”
“Защищеное виртуальное
соединение”
“Зарезервировано” “Размер поля полезной нагрузки”
“Значение хэш-функции, вычисленной по сообщению с применением ключей”
“Случайный параметр” “Зарезервировано” “Размер поля полезной нагрузки”
“ Область шифрования” (DOI)
“ Состояние защищенности” (“Situation”)
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“Предложение № 1” “PROTO_IPSEC_AH” “Размер поля SPI = 4” “Число преобразований”
“SPI”(4 октета)
“Преобразование” “Зарезервировано” “Размер поля полезной нагрузки”
“Преобразование № 1” “АН_SHA” “Зарезервировано-2”
“ Атрибуты другого SA”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“Преобразование № 2” “АН_MD5” “Зарезервировано-2”
“ Атрибуты другого SA”
“Идентификация” “Зарезервировано” “Размер поля полезной нагрузки”
“ Случайный параметр”
“Идентификация” “Зарезервировано” “Размер поля полезной нагрузки”
“Идентификатор источника, для которого ISAKMP-сервер является уполномоченным”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“Идентификатор получателя, для которого ISAKMP-сервер является уполномоченным”
Рис.16. Формат сообщения в первом раунде информационного обмена
в “Ускоренном режиме”
30
0
1
2
3
4
5
6
7
8
9
1
0
1
2
3
4
5
6
7
8
9
2
0
1
2
3
4
5
6
7
8
9
3
0
1
ISAKMP-заголовок для “Ускоренного режима” информационного обмена
с указанием следующего поля полезной нагрузки
“Хэш-функция” и с флагом “Е”
“0” “Зарезервировано” “Размер поля полезной нагрузки”
“ Результат вычисления хэш- функции”
Рис.17. Формат одностороннего сообщения в втором раунде
информационного обмена в “Ускоренном режиме”
VIII. ПРИМЕР НАДЕЖНОЙ ДОСТАВКИ СЕКРЕТНЫХ ДАННЫХ
Данный протокол может обеспечить PFS ключевой информации и
верительных данных. ISAKMP-объекты обеих договаривающихся сторон и,
если они применимы, верительные данные, которые участвуют в процедуре
согласования параметров, могут быть защищены с помощью PFS.
Для обеспечения надежной доставки секретных данных, состоящих из
двух ключей и всех верительных данных, обе взаимодействующие стороны
будут выполнять следующее:
n использовать “Базовый режим” информационного обмена для защиты
удостоверяющей информации обоих ISAKMP-объектов. Это позволяет
сформировать ISAKMP-SA;
o использовать “Ускоренный режим” информационного обмена для
согласования защиты других протоколов обеспечения безопасности;
p удалять ISAKMP-SA и связанную с ним структуру.
Так как используемый в рамках SA, не предназначенного для ISAKMP-
протокола, ключ был получен путем применения одиночного и
кратковременного информационного обмена с использованием DH-алгоритма,
функция надежной доставки секретных данных сохраняет свою значимость и
дееспособность.
Для обеспечения надежной доставки секретных данных, состоящих
только из ключей для SA, не предназначенного
для ISAKMP-протокола, нет
необходимости в проведении первой фазы согласования параметров, если
между взаимодействующими сторонами уже существует ISAKMP-SA. Для
этого требуется только одна процедура информационного обмена в
“Ускоренном режиме” для доставки дополнительного поля полезной нагрузки
“Обмен ключевой информацией” и проведение дополнительной процедуры
информационного обмена с использованием DH-алгоритма. В этот смысле,
струткура,
сформированная в “Ускоренном режиме” информационного обмена,
должна быть удалена из структуры ISAKMP-SA.