TCP/IP基础文章（安全篇）

AH与ESP体制可以合用，也可以分用。不管怎么用，都逃不脱传输分析的攻击。人们不太清楚在Internet层上，是否真有经济有效的对抗传输分析的手段，但是在Internet用户里，真正把传输分析当回事儿的也是寥寥无几。

1995年8月，Internet工程领导小组(IESG)批准了有关IPSP的RFC作为Internet标准系列的推荐标准。除RFC 1828和RFC 1829外，还有两个实验性的RFC文件，规定了在AH和ESP体制中，用安全散列算法(SHA)来代替MD5(RFC 1852)和用三元DES代替DES(RFC 1851)。

在最简单的情况下，IPSP用手工来配置密钥。然而，当IPSP大规模发展的时候，就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求，指定管理密钥的方法。

因此，IPSEC工作组也负责进行Internet密钥管理协议(IKMP)，其他若干协议的标准化工作也已经提上日程。其中最重要的有：

IBM 提出的"标准密钥管理协议(MKMP)"

SUN 提出的"Internet协议的简单密钥管理(SKIP)"

Phil Karn 提出的"Photuris密钥管理协议"

Hugo Krawczik 提出的"安全密钥交换机制(SKEME)"

NSA 提出的"Internet安全条例及密钥管理协议"

Hilarie Orman 提出的"OAKLEY密钥决定协议"

在这里需要再次强调指出，这些协议草案的相似点多于不同点。除MKMP外，它们都要求一个既存的、完全可操作的公钥基础设施(PKI)。MKMP没有这个要求，因为它假定双方已经共同知道一个主密钥(Master Key)，可能是事先手工发布的。SKIP要求Diffie-Hellman证书，其他协议则要求RSA证书。

1996年9月，IPSEC决定采用OAKLEY作为ISAKMP框架下强制推行的密钥管理手段，采用SKIP作为IPv4和IPv6实现时的优先选择。目前已经有一些厂商实现了合成的 ISAKMP/OAKLEY方案。Photuris以及类Photuris的协议的基本想法是对每一个会话密钥都采用Diffie-Hellman密钥交换机制，并随后采用签名交换来确认Diffie--Hellman参数，确保没有"中间人"进行攻击。这种组合最初是由Diffie、Ooschot和Wiener在一个"站对站(STS)"的协议中提出的。Photuris里面又添加了一种所谓的"cookie"交换，它可以提供"清障(anti-logging)"功能，即防范对服务攻击的否认。

Photuris以及类Photuris的协议由于对每一个会话密钥都采用Diffie-Hellman密钥交换机制，故可提供回传保护(back-traffic protection，BTP)和完整转发安全性(perfect-forward secrecy，PFS)。实质上，这意味着一旦某个攻击者破解了长效私钥，比如Photuris中的RSA密钥或SKIP中的Diffie-Hellman密钥，所有其他攻击者就可以冒充被破解的密码的拥有者。但是，攻击者却不一定有本事破解该拥有者过去或未来收发的信息。

值得注意的是，SKIP并不提供BTP和PFS。尽管它采用Diffie-Hellman密钥交换机制，但交换的进行是隐含的，也就是说，两个实体以证书形式彼此知道对方长效Diffie--Hellman 公钥，从而隐含地共享一个主密钥。该主密钥可以导出对分组密钥进行加密的密钥，而分组密钥才真正用来对IP包加密。一旦长效Diffie-Hellman密钥泄露，，则任何在该密钥保护下的密钥所保护的相应通信都将被破解。而且SKIP是无状态的，它不以安全条例为基础。每个IP包可能是个别地进行加密和解密的，归根到底用的是不同的密钥。