互联网密钥交换协议的安全性分析与改进.pdfVIP

互联网密钥交换协议的安全性分析与改进 章春宇，李继国，王志坚 河海大学计算机及信息工程学院，南京 (210098) 摘 要：简单介绍了新的密钥交换协议标准，从身份保护的角度出发，对密钥协商机制的安 全性进行分析。针对协议在主动攻击下不能保护发起方的身份，本文结合现有的研究成果， 指出了其中的不足，并给出了自己的修改意见和解决方法。 关键词：IPSec ，安全联盟，IKEv2 ，身份保护 1. 引言 IPSec 是IETF 在1998 年11 月公布的在网络层上实现的通信安全标准，为IP 数据包提 供了数据完整性、机密性和源身份的验证等服务[1] [2] 。其中主要包括3 个协议：AH 协议 、 ESP 协议[3]和IKE[4]协议。 IKE 是IPSec 默认的密钥交换协议，它的作用是在IPSec 通信的双方之间建立共享的安 全参数以及认证的密钥，即建立安全联盟SA。IKE 是一种混和协议，建立在Internet 安全联 盟和密钥管理协议ISAKAP 定义的框架上，并吸引了部分的OAKLEY 密钥确定协议以及部 分SKEME 密钥交换技术。 但这种混和协议自身的复杂性不可避免的带来一些安全及性能上的缺陷[7][8][9][10][11]，导 致其成为整个 IPSec 实现中的瓶颈。为此，IETF 一直对现有版本不合理部分积极征集修改 意见，陆续推出了新的 IKE 草案，并于 2005 年 12 月 26 日正式推出了新的IKE 协议标 准——IKEv2[5] 。IKEv2 在沿用原来协议的共享策略协商的基础上，对第一版协议进行了全 面的优化和改进，使之具有更高的性能、更好的安全性以及更低的系统耗费[6] 。 由于IKEv2 在 IPSec 进行密钥管理中的特殊地位，很多的重要信息的传递都要依赖于 IKEv2 所建立的经过认证的安全通道，例如：加密算法、密钥参数等。因此在 IKEv2 中对 各种网络攻击进行了充分的考虑，并始终将安全性放在协议实施的首位。本文首先对IKEv2 进行了简单的介绍，着重讨论了文献[12]提出的改进方案，参考了文献[8][9][13]关于身份保护的 改进算法,并在此基础上提出了自己的改进意见。 2. IKEv2 协议简介 2.1 协议的整合 IKEv2 是一个由诸多的协议组成的混合体，除了三个主体组成的部分RFC2407 (IPSec DOI) 、RFC2408(ISAKMP)、RFC2409(IKE), 后面随着安全需求的不断提高，又有如NAT 地 址转换(NAT Traversal)、远程地址采集(Remote Address Acquisition)等内容补充到IKE 协议 族中，使整个协议越来越复杂。IKEv2 简化和统一了IKE 协议。用一个单一的文档Internet Key Exchange(IKEv2) Protocol(RFC4306)定义了完整的协议，使以前的IKE 相关策略和安全属性 定义分散于各处，缺乏一致性得到改善。新的版本中保留了 IKE 的基本功能，同时兼顾了 高效性、安全性、健壮性的需要，并针对之前对IKE 研究过程中发现的问题进行了修改。 2.2 载荷的变化 在载荷方面的变化是新版本的最显著的特点。 IKE 中没有很好的利用cookies 抵御DoS 攻击，在IKE 中，ISAKAP 的固定头部包含两 - 1 - 个域，分别为“Initiator Cookie”和“Responder Cookie”，这两个值一起作为一个连接的标识符。 在IKEv2 中仍保留了这两个域，不过把域名改为SPI。发起方和响应方各自选择一个随机数 填充对应的SPI，两个SPI