因特网密钥交换协议的应用研究.pdfVIP

NETWORKANDC0MMUNICAT10N 网络与通信 因特网密钥交换协议的应用研究 贺建伟 (宁波大红鹰学院，宁波 315175) 摘 要：介绍 IPSec协议，包括 IKE协议的安全体系结构、安全策略和 IKE协议的不足．重点研究了主模式下预共 享密钥认证一仅支持 固定IP用户的不足，对协议作了相应改进以支持动态IP。 关键词：IPSec协议；IKE协议 ；预共享密钥认证 TheApplicationResearchof]~ternetKeyExchangeProtocol lieJiam~i (NingboDahongyingUniversity，Ningbo315175) Abstract：Inthisthesis，firstofall，IKE protocolisanalyzedindetail，includingthesecuritystructure，securitytacticsand lackingofIKE．thentheweaknessinthemainmodeprotocolwithpre—sharedkeyforauthenticatio isexaInined—Theproto— colcanonlybeusedbypeerswithfixedIPaddress．AminormodificationismadetosuppoanomadicIPusers。 Keywords：IPSecProtocol；IKEProtocol；Pre—ShaIeld—KeyAuthentication 1 IPSec协议简介 该丢弃或进行 IPSec处理。如果应该对数据包进行 IPSec处 1．1安全体系结构 理，则条 目中必须包含一个指向安全关联SA内容的指针，其 IPSec安全体系结构 田是所有具体实施方案的基础。定 中详细说明了应该用于匹配该策略条 目的数据包的IPSec协 义了IPSec提供的安全服务，它们如何使用以及在哪里使用， 议、操作模式以及密码算法。 数据包如何构建与处理以及IPSec处理与安全策略之间如何协 1．3IKE协议中的不足 调等。图 1简述了IPSec安全体系结构各部分的组成及相互 IKEvl作为一种混合型协议，其复杂性一直是争论较多的 之间的关系。 问题之一，突出表现以下三个方面。 1．2 安全策略 (1)从协议本身来看，原有标准所提供的某些功能实际 安全策略 SP[31fSecurityPolicy)是 IPSec结构中非常重 很少被使用，甚至根本不用 ，其数据结构存在进一步简化的 要的组件，它定义了两个通信实体之间的安全通信特性，在什 空间。 么模式下使用什么协议以及如何处理IP包。这些特性完全决 (2)从系统耗费来看，高强度的密钥在提供更高安全性 定了为通信数据提供的安全服务。所有IPSec实施方案都会将 的同时对计算机系统意味着更大的运算负担 ，有必要在实现 策略保存在安全策略数据库 SPD (SecurityPolicyDatabase) 时考虑尽量避免使用大强度的密钥计算。 中。安全策略数据库SPD指定了用于到达或者源 自特定主机／ (3)SA建立时需要多轮协商，为节约通信资源，应该减 网络的数据流的策略，它包含有一个策略条 目的有序列表，通 少传送的信息和交换次数，从而提高IKE的效率。 过选择符来确定每一个条 目。IPSec允许的选择符有：源 IP地 最后，应该注意到在公共互联网上普遍存在的安全隐患， 址、目的IP地址 、传输