[word格式] 密钥交换协议IKEv2的一种实现方案.docVIP

密钥交换协议IKEv2的一种实现方案 第23卷第6期 2008年12月 郑州轻工业学院(自然科学版) JOURNALOFZHENGZHOUUNIVERSITYOFLIGHTINDUSTRY(NaturalScience) V01.23No.6 Dec.20o8 文章编号:1004—1478(2008)06—0078—03 密钥交换协议IKEv2的一种实现方案 刘骥宇,季超,母军臣 (1.商丘师范学院软件学院,河南商丘476000; 2.河南大学计算中心,河南开封475001; 3.开封大学软件学院,河南开封475000) 摘要:基于新一版密钥交换协议IKEv2的新特性,提出了一种Linux操作系统下IKEv2的实现方案. 设计和开发中充分借鉴了面向对象的程序设计思想,将整个系统进行了合理的分割与抽象,提高了 程序代码的可读性,可维护性,可复用性和可扩展性. 关键词:IPsec;IKEv2协议;密钥交换 中图分类号:TP393.08文献标志码:A AnimplementationschemeofkeyexchangeprotcolIKEv2 LIUJi.yu,JIChao,MUJun.chen (1.S~wareAcademy,ShangqiuTeachersCollege,Shangqiu476000,china; 2.CompCenter,HenanUniv.,Kaireng475001,China; 3.SoftwareAcademy,KangUniv.,Kang475000,China) Abstract:BasedonthenewcharacteristicsofIKEv2ofthenewversion,animplementationapproachof IKEv2underLinuxwasproposed.Inviewoffacingtheclient,thesystemwasdividedandabstractedSO astorealizethereadability,maintenance,productivityandsustainabilityoftheproceducre. Keywords:IPsec;IKEv2protocol;keyexchange 0引言 IKE的用途是在IPSec通信双方之间,自动建 立起共享安全参数及验证过的密钥,即建立安全关 联关系0J.但是IKE第l版本是一种混合型协议, 其复杂性一直受到业界广泛的批评.另外,它还存 在易受攻击,功能冗余等不足.所以IETF一直在对 现有版本IKE的不合理部分积极地征集修改意见. IPSec工作组于2005年l0月推出了最新版本的 IKE协议——IKEv2. 我国对IKEv2的研究尚处于起步阶段,还没有 完善的实现方案出现.本文将在对IKEv2协议深入 理解的基础上提出一个Linux操作系统下的实现 方案. 1IKEv2的新特性 IKEv2对第1版本的主要改进及其新特性 如下:1)IKEvl协议是由IPseeDOIE,ISAKMPI和 收稿日期:2007一l2一O8 基金项目:河南省自然科学基金项目(0511011400);河南省教育厅自然科学基金项目(2006520023) 作者简介:刘骥宇(1978一),男,河南省商丘市人,河南大学硕士研究生,主要研究方向为计算机网络与信息安全 第6期刘骥宇等:密钥交换协议IKEv2的一种实现方案?79? IKE3个协议组成的一种混合型协议,IKEv2将它们 整合在了一个文档中.2)IKEv2对IKEvl的重要改 进之一是精简了协商的流程.3)载荷方面也做了相 应的精简和重组.在IKEv2中,目的端可以选择初始 端所提议的TS的一个非空子集.IKEvl中,提案载 荷,转换载荷,属性载荷的内部关系复杂,不利于工 程的实现.IKEv2则取消了这3种载荷,使其作为 安全联盟载荷的不同子结构结合在一起.IKEv2通 过设置新的AUTH载荷,使各种认证机制只影响这 一 载荷,从而使交换信息得到了统一,使整个协议 更简洁,效率更高.IKEv2还设置了独立的加密载 荷.载荷方面的变化还有很多:ISAKMP头中用通信 双方的SPI取代Cookie,通过在每个载荷头部增加 一 个鉴定标志来更好地向前兼容,去掉了解释域, 形式字段和Commit,AuthenticationOnly标志位,取 消签名载荷和杂凑载荷,添加配置载荷和扩展认证 载荷等.4)为了增强安全性,IKEv2采用了不记录状 态的Cookie_6J.另外,IKEv2加入了扩展认证来重用 遗传认证,详见RFC3748.在采用其他认证方式时, 通信双方对自己的消息中从SPI开始的部分和对方 的Nonce进行签名,从而阻止反射攻击.消息头的改 变(例如增加版本标