新一代动态密钥协商协议IKEv2的研究与分析.docVIP

新一代动态密钥协商协议IKEv2的研究与分析 　　摘要:IKE协议作为IPSec体系中动态密钥协商机制,极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者,对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议,然后重点分析了IKEv2具体协商过程,最后阐述了IKEv2的发展趋势。 　　关键词:IP安全(IPSec);Internet动态密钥交换(IKE);IKE第二版本(IKEv2);动态密钥协商 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)14-3657-02 　　Research and Analysis about the New Generation Dynamic Key Negotiation Protocol IKEv2 　　ZHOU Yao-peng1,2, LI Zhi-hua1 　　(1.Jiangnan University, School of Information Technology, Wuxi 214122, China; 2.Wuxi Professional College of Science and Technology, Wuxi 214028, China) 　　Abstract: As the dynamic key negotiation mechanism in the IPSec system,IKE improves the safety of the IPSec system greatly. Being a substitute,IKEv2 makes IKE be improved in many aspects.This paper introduces the IKE protocol in brief, and emphatically analyzes the concrete negotiation process of IKEv2,finally elaborates the IKEv2 trend of development. 　　Key words: IP Security(IPSec); Internet Key Exchange(IKE); version 2 of Internet Key Exchange(IKEv2); dynamic key negotiation 　　1 引言 　　目前网络安全的重要性日益突出,IKE协议作为IPSec体系的组成部分,极大地增强了网络通讯的安全性。但是IKE协议具有很多缺陷,为此新的IKEv2协议在IKE的基础之上进行了大量的改进,从而进一步增强IPSec体系的安全性,为上层网络的安全性提供了保障。 　　2 IKE简介 　　IKE协议属于整个IPSec体系结构中的动态密钥协商部分,它是多种动态密钥交换机制之一,也是目前事实上的工业标准。IKE协议主要用于进行虚拟专用网VPN的认证与SA会话密钥的协商。它可以动态地建立安全关联,为通信双方提供IPSec安全通信所需的相关信息,例如加密算法、会话密钥、通信双方身份认证等。 　　IKE机制协商的目的是产生一个通过验证的密钥和提供双方同意的安全服务,即最终提供IPSec 安全关联(IPSec SA),使进行通讯的IPSec VPN之间能够建立安全的数据通讯隧道。IKE主要通过两个阶段的协商过程来建立IPSec安全关联(IPSec SA)。第一阶段建立ISAKMP SA,第二阶段利用第一阶段得到的ISAKMP SA进一步协商从而建立IPSec SA。 　　IKE是一种混合型协议,其复杂性一直受到业界广泛的批评。另外,IKE还存在很多问题。 　　3 IKEv2简介 　　为了解决原有IKE的诸多缺点,IKE的第二版本IKEv2主要对IKE进行了以下改进:1)克服了原先IKE协议分散在各个文档的缺点,例如原有的RFC2407(IPSec DOI)、RFC2408(ISAKMP)、RFC2409(IKE)以及随后补充的关于NAT穿透、扩展认证和获取远程访问地址等分散的文档。采用了统一的文档定义了IKEv2;2)IKEv2采用了4条消息交换取代了原有的9条消息,提高了协商效率;3)IKEv2删除了原有IKE协议中功能不强且难以理解、容易混淆的数据结构;4)修复了多处公认的安全缺陷和漏洞;5)定义了新的通讯量选择载荷,增加了协议灵活性。 　　IKEv2主要协商过程主要分为初始交换、协商子SA交换、信息交换三部分。 　　3.1 初始交换 　　IKEv2将初始阶段的IKE_SA_INIT和IKE_AUTH两个消息交换取代原有IKE第一阶段的3次消息交换。IKE_SA_INIT交