IKE协议中基于数字签名验证的主模式应用研究.docVIP

!第#卷!第$期南京邮电大学学报（自然科学版）%’(#!)($ !!**#年月+,-./’0)/.12.34.256-72890:787/.;6’6=,.2=/82.7（)/8,-/’?=26.=6）@6A(**# !!文章编号：$B#CDEFCG（**#）*$D**BGD*B!# 协议中基于数字签名验证的主模式研究张!琳$，王汝传$， $H南京邮电大学计算机学院，江苏南京!$***C H南京大学计算机软件新技术国家重点实验室，江苏南京()!$**GC摘 !要：I.86-.68（因特网）密钥交换协议（IJK）由于其灵活性和复杂性，不可避免的存在某些安全隐患。 简要介绍其工作机制之后，分析了两种中间人攻击的方式，为有效抵御第二种中间人攻击，对基于 数字签名的主模式交换过程进行了改进，并提出了密钥签名载荷的概念。最后，给出了改进前后的 定量的性能分析，结合0-66?LMN)源代码，修改和增加了相应的函数，将改进思想融入其中。 关键词：IJK；数字签名；主模式；中间人攻击 中图分类号：:CGC(*O!!!文献标识码：P$%%’()*+,-’./-+0%1.2*3.4/’25(%652*%/2.)’2.+/./!#7(+2+)+89:6;=./$， 6;$5?)*5’/$， $(Q’’6360QR,86-，)/.12.34.256-72890:787/.;6’6=,.2=/82.7，)/.12.3$***CQS2./ (?8/86J69T/A-/8-90-)56’?08U/-66=S.’39，)/.12.34.256-7289，())/.12.3$**GCQS2./6@2(’)2 ：I8272.6528/A’68S/88S6-6/-67676=,-289’228/82.72.IJKR-8=’，A6=/,7602870’6V2A2’289/.; =R’6V289(N086-8S66=S/.270IJK272.8-;,=6;，8S68UW2.;70/.D2.D2;;’6/88/=W/-6/./’9X6;(I.-D ;6-8;606.;8S676=.;.6，762R-566.87/-6R-676.86;2.8S6/2.;6U28S723./8,-6/,8S6.82=/82.( Y-656-8S6=.=6R82.0W69D723./8,-6R/9’/;27R-52;6;(@2./’’9，8S6R/R6-/W67/Z,/.828/8256=/R/A2’289/D ./’9727.8S6US’6(P9=A2.2.3U28S8S6R6.=;600-66?LMN)，28;20267/.;/;;776/RR-R-2/860,.=D 82.782.863-/868S62;6/02R-566.82.8IJK( %A1+(0：IJK；[2328/’723./8,-6；Y/2.;6；Y/.D2.D2;;’6/88/=W!! 收稿日期：**BD*CD* 基金项目：国家自然科学基金（B*E#C$F$、#*#$*E*）、江苏省自 然科学基金（PJ**E$FB）、江苏省高技术研究计划 （P\**F**F、P\**E*C#、P\**E*CO、P\**B**$）、 国家高技术研究发展计划（OBC计划） （**BNN*$]FCG）、南京市高科技项目（**B软资 $*E）、现代通信国家重点实验室基金 （G$F*Q$$*$*$*B*C）、江苏省计算机信息处理技术重 点实验室基金（W17*E***$、W17*B*B）资助项目BC 引C言网络安全一直是一个倍受关注的领域，如果缺 乏一定的安全保障，无论是公共网络还是企业专用 网络都难以抵挡网络攻击和非法入侵。目前， I.86-D .68（因特网）上存在着大量特制的协议专门用来保 障网络各个层次的安全。安全功能可以在 ^?I（开 放式系统互联）七层网络模型中的任何一层中实 现，包括网络层、传输层、应用层或数据链路层。而 在网络层实施安全措施与低层协议无关，对高层协 议和应用进程透明，即安全服务的提供不需要应用 程序、其他通信层次和网络部件做任何改动。网格 计算等多种需要安全保障的应用程序均可共享由网 络层提供的密钥管理结构，这样，密钥协商的开销就 可被大大削减。因此，网络层是一个实施安全措施 的有力场所，尤其在密钥管理方面。 IJK（S6I.86-.68J69KV=S/.36）因特网密钥交换协议作为!#$%协议族中的一个关键部分为另外 两个协议———’和(#提供着安全服务，它是!) #$%默认的自动密钥管理协议，最终为通信双方安 全秘密的协商所采用的算法并生成经过验证的密 钥，是目前因特网上最具应用前景的密钥交换协议。 !*(并非仅由!#$%专用，只要其它协议需要，便可 用它协商具体的安全服务，因此，网格计算中的安全 机制完全可用!*