IKEInternet密钥交换协议 IKE 是用于交.docVIP

IKEInternet密钥交换协议 IKE 是用于交 IKE Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析；对于抵御中间人攻击和DoS攻击,给出了相应的修正方法；还对主模式下预共享密钥验证方法提出了新的建议；最后给出了它的两个发展趋势：JFK和IKEv2. Internet key exchange(IKE)is the protocol used to set up asecurity association in the IPsec protocol suite,which is in turn amandatory part of the IETF IPv6 standard,which is being adopted(slowly)throughout the Internet.IPsec(and so IKE)is an optional part of the IPv4 standard.But in IPv6 providing security through IPsec is amust. Internet密钥交换(IKE)解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 IKE属于一种混合型协议，由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的目前，互连网通信面临的风险主要包括两个方面：1.信息在传输时被偷看或非法修改；2.公网对内部网的非法访问和攻击。在这样的情况下，VPN技术脱颖而出，他能非常好地解决利用互连网传输的安全问题。 IPSec是被广泛接受用来实现VPN的技术，在企业中得到广泛应用。IPSec在IP层上对数据包进行保护，他可提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务，能在相当程度上降低互连网通信的风险。 IKE(Internet Key Exchange)是IPSec中至关重要的一个协议，因为IPSec需要使用他协商某些和IPSec安全有关的安全参数，包括计算机信任、加密密钥和安全方法。IKE的主要功能就是安全联盟(SA)的建立和维护。 本文主要从IPSec及IKE简介、Linux VPN运行环境组建和IKE设置等三个方面进行描述，并给出利用IKE构建VPN应用的实例。 IPSec及IKE简介 1.IPSec简介 IPSec协议由一组协议组成，其中包括AH、ESP、IKE及加密和验证算法。ESP用于确保IP数据包的机密性(未被别人看过)、数据的完整性及对数据源的身份验证。此外，他还要负责对重播攻击的抵抗。AH也提供了数据完整性、数据源验证及抗重播攻击的能力，但不能用他来确保数据的机密性。 IPSec的安全服务是由通信双方建立的安全联盟(SA)来提供的。SA表示了策略实施的具体细节，包括源/目的地址、应用协议、SPI(安全策略索引)、所用算法/密钥/长度，他们决定了用来保护数据安全的IPSec协议、模式、算法/密钥、生存期、抗重播窗口及计数器等。 每一个IPSec节点都包含有一个安全策略库(SPD)。SPD决定了整个VPN的安全需求。在SPD这个数据库中，每个条目都定义了要保护的是什么通信、怎样保护他，及和谁共享这种保护。IPSec系统在处理输入/输出IP流时必须参考该策略库，并根据从SPD中提取的策略对IP流进行不同的处理：拒绝、绕过或进行IPSec保护。 IPSec协议(包括AH和ESP)有传输模式和通道模式两种工作模式。传输模式用来保护上层协议；而通道模式用来保护整个IP数据报。在传输模式中，IP头和上层协议头之间需插入一个特别的IPSec头；而在通道模式中，要保护的整个IP包都需封装到另一个IP数据报里，同时在外部和内部IP头之间插入一个IPSec头。 2.IKE简介 用IPSec保护一个IP包之前，必须先建立一个SA。IKE用于动态建立SA。IKE代表IPSec对SA进行协商，并对SADB和SPD数据库进行填充。 IKE利用PF_KEY接口和内核进行交互，以便更新内核的SPD和SADB。SADB是个存在于内核中的逻辑实体，用来存储、更新、删除