ipsec协议的远程证明扩展 remote attestation extension for ipsec.pdfVIP

第38卷第6期 计算机科学 V01．38No．6 Science 2011 2011年6月 Computer June IPSec协议的远程证明扩展 王剑1’2汪海航1杨健1’3 (同济大学电子与信息工程学院 上海201804)1(河南科技大学电子与信息工程学院 洛阳471003)2 (大理学院数学与计算机学院 大理671003)3 摘要传统IPSec协议在建立安全通信连接时，没有考虑终端自身安全问题，而可信计算的远程证明机制就是为被 接八方提供接入方的自身安全证明，将其引入IPSec协议可以弥补建立IPSec连接时的终端安全漏洞。首先分析了 IPSec协议的Ⅱ(E协商过程和可信计算技术的远程证明机制，然后以基于数字签名的ⅨE主模式流程为例，提出在 n(E协商阶段引入远程证明机制的IPSec远程证明扩展协议流程及安全分析。该协议引入带有SKAE扩展项的身份 证书，实现对终端身份和系统完整性的双重认证，确保端到端的安全连接。协议在保证通信信息的机密性、完整性、新 鲜性之外，也充分保护终端平台隐私性。 关键词IPSec，IKE协商，远程证明，可信计算，完整性度量 中图法分类号TP309文献标识码A RemoteAttestationExtensionforIPS∞ WANG WANG YANG Jianl·2 Hai-han91 Jian『1’3 (Sch∞lofElectronicsand 201804，China)1 Information。TonjgjiUniversity，Shanghai ofElectronicsandInformation ofScienceand 471003，China)2 (Sc}100l Engineering，HenanUniversity Technology，Luoyang ofMathematicsand (Sch00l ComputerSscience，DaliUniversity，Dali671003，China)3 AbstractStandardIPSecdoesn’t aboutthe ofthe whenanIPsec is provideanyguarantees integrityendpoints linkage theremote intrusted to for established．Andattestation is evidenceoftheusertheaccessed computingprovidesecurity itcanavoidterminal inIPSectointroducetheremote intoIPSec．IKE server．So securityvulnerability attestation negoti— ofPSecandremoteattestationmechanismwere Il(Emainmodebasedon ation