LSQ—IKE一种轻量级空间网络密钥交换协议.pdf

Vol_l9 No．1 载 人 航 天 第 19卷 第 1期 32 MannedSpaceflight 2013年 1月 LSQ—IKE：一种轻量级空间网络密钥交换协议 陈爱国 ，林 伟 ，罗光春 ，张 强 (1电子科技大学计算机科学与工程学院，成都611731； 2北京国科环宇空间技术有限公司，北京 100190) 摘 要 为解决基于TCP连接分段的传输层性能增强技术与 IPSec协议冲突的问题，提 出了多层 IPSec技术，传统的IKE协议不能满足 多层 IPSec对密钥交换协议的需求 。以 IKEv2协议为基础 ，提出了一种适用于多层 IPSec的轻量级空间网络密钥交换协议 (LSQ～ IKE)。该协议为通信双方和两个可信的中间结点实现四方会话密钥的协商，保护完整的通信 过程，满足多层IPSec对于密钥交换协议的要求，并且实现了对密钥交换发起者身份安全的 重点保护。分析表明，该密钥交换协议符合安全性要求，且具有相对同类型协议计算量、交 换消息数量少的特点。 关键词 空间网络；密钥交换；多层 IPSec；TCP性能增强 中图分类号：TN927 文献标识码：A 文章编号：1674—5825 (2013)01—0032—08 强方案中，传输层性能增强代理需要读取TCP报 1引 言 头。因此这两种技术间存在严重冲突。为了解决这一 将TCP／IP技术应用于空间组网已成为当前空 矛盾 ，提出了多层 IPSec (MuhilayerIPSec，ML— 间网络的发展趋势。在空间网络中，由于高误码、长 IPSec)协议[3，4】。多层 IPSec的实现中，必须有相应的 延迟、上下行链路不对称等特征使得TCP协议传输 密钥交换协议能够为通信双方、性能增强代理之间 性能低下，为此提出了一种基于TCP连接分段的传 协商会话密钥。IPSec中的IKE协议只支持通信双 输层性能增强方案，该方案在空间无线链路之间部 方之间的密钥协商，显然无法满足多层 IPSec的需 署传输层性能增强代理(例如在天地互联中，将天地 求。因此，需要研究出一种适用于多层 IPSec的密钥 网关作为代理节点)，在两个性能增强代理之间实现 交换协议。 增强的TCP连接，该方案得到了广泛的认可Il1。与此 考虑到空间链路环境和多层 IPSec协议的特点， 同时，空间网络与地面网络的互联同样带来了数据 适用于多层 IPSec的密钥交换协议应该满足以下 5 传输安全的问题。在 Intemet中，IPSec已成为网络 点要求： 层安全传输协议的标准，IPSec协议采用 IKE协议 ① 密钥交换协议应该具有较高的安全性 ，能够 进行认证和密钥交换，它可以在通信双方间提供安 抵御常见的主动攻击和被动攻击，如中间人攻击、重 全关联 (SecurityAssociation，SA)建立、会话密钥协 放攻击、拒绝服务攻击等； 商以及身份认证等服务。IPSec技术对包括TCP报 ② 传输层性能增强代理应该作为可信中间节 头在内的IP载荷进行了整体加密，只有通信双方可 点参与到密钥协商的过程中。密钥交换协议应该要 以解密数据。而基于TCP连接分段的传输层性能增 同时建立起两个 IPSec安全关联(SA)，一个为通信 收稿31期：2012—03—17；修回日期 ：2012—10—23 基金项 目：新世纪人才(NCET-IO一0298)，总装预研基金 (9140Z0205