动态IP环境下IKEv2扩展设计与改进.pdfVIP

第 l8卷 第 l2期 计 算 机 技术 与发 展 VD】．J8 No．12 2008年 l2月 COMPUTERTECHNOLtXIY AND DEVE【)PMENT Dec． 2008 动态 IP环境下 IKEv2扩展设计与改进 高振栋 (无锡科技学院，江苏无锡 214026) 摘 要：IKEv2作为 IKE的替代者极大地增强了IPSecVPN网关之间隧道建立过程的安全性。但 IKEv2和IKE一样都不 能在动态 IP环境下进行密钥交换。介绍了IKEv2的协商过程，在此基础上讨论了文中提出的动态 IP环境下 IKEv2扩展 方案的设计与改进。经过改进的扩展方案可以很好地适应动态 IP环境下的协商过程，扩大了IKEv2的应用范围。 关键词 ：IPSec；IKEv2；SA；动态 IP 中图分类号：TP393．08 文献标识码：A 文章编号：1673—629X(2o08)12—0162—04 Design andRealization ofIKEv2withDynamicIP Address GAO Zhen—dong (WuxiProfessionalCollegeofScienceandTechnology，Wuxi214026，China) Abstract：AsareplacerofIKE．IKB eilh~xlcesthesafetyoftheprocedureof~tablishingthetunnelbetween IPIsecVPN gateways greatly．ButnotonlyIKEbutalsoIKD cannotproceedthekeyexchangewithdynamicIPaddress．Firstintroducesthenegotiationpro— eedureofIKB ．thendiscussesthedesignnadrealimtionofIKEv2extendde schemewithdynma icIP adrdessindetailonthebaseof standardIKEv2． Keywords：IPSec；IKEv2；SA；dynamicIP O 引 言 段[引。第一个阶段称为初始交换 阶段 ，主要协商 在现实的网络环境 中，安全问题举足轻重。IKE IKE—SA，第二阶段称为协商子 SA交换阶段，主要协 协议作为密钥交换协议可以在VPN网关之间(不安全 商CHILD—SA，即IPSecSA。另外，还有信息交换用来 的公共网络)建立安全的通讯隧道。IKE是一种混合 在 IKEv2协商双方之间通知一些出错、配置、删除等 型协议，其复杂性一直受到业界广泛的批评。IKE还 信息。 存在易受攻击、功能冗余等不足。目前，IKEv2[：]作为 1．1 初始交换 IKE的替代者 日益受到业界的普遍关注。 在第一阶段中协商双方主要进行两次消息交换， IKE和最新的 IKEv2都只能在固定 IP地址的情 一 共4条消息交互。第一次消息交换称为 IKE—SA— 况下进行安全关联(SA)的协商，IKEv2的扩展草案 INIT交换，而第二次称为IKE～AUTH交换 【。 MOBIKE[2]虽然提出了相应的扩展方案，但是草案只 IKE—SA—INIT交换过程如下所示。 是考虑了SA协商之后地址改变的情况，这极大地限 I一R：HDR，S 1，KEi，Ni 制了动态密钥协商机制的应用。为了解决 以上局限， I一R：HDR，SAt1，KEr，Nr，[