基于扩展认证机制的IKEv2研究-通信与信息系统专业论文.docxVIP

中文摘要摘要：IPsec已成为构建VPN的国际标准之一，而互联网密钥交换协议(IKE)又 中文摘要 摘要：IPsec已成为构建VPN的国际标准之一，而互联网密钥交换协议(IKE)又 是IPsec实现中首选的密钥交换协议。但由于它是一种混合型的协议，其自身的复 杂性不可避免带来一些安全及性能上的缺陷。为此IETF于2005年12月正式推出 新的IKE标准——RFC4306 IKEv2。IKEv2是在IKEvl基础上改进的结果，保留了 第一版本的大部分特性，如身份隐藏、PFS、两个阶段的协商等特性，同时重新设 计了某些部分，在强壮性、高效性和安全性上都显著提供。其中，相比之前版本 增加了对扩展认证的支持。扩展认证协议是一个框架性协议，通过在IKEv2上支 持扩展认证，可以用新的多种安全性更高的认证方式来取代目前白带的与共享密 钥方式和证书方式。 论文的研究目标通过IKE两个版本的分析对比，发现新版本的优势所在；然后 分析目前EAP的实现形式，寻找一种可行的EAP与IKEv2结合的实现方式；再 通过实现IKEv2来提高密钥交换的安全性，进而实现其新增的扩展认证功能，给 使用IKEv2和IPsec带来更多的灵活性。论文首先分析研究了IPsee协议及相关内 容掌握IPsec的体系结构和工作机制；进而分析研究IKEv2协议及其扩展功能和较 之前版本的优势；然后分析扩展认证协议的应用情况，以及为了使用扩展认证 RADIUS协议做出的相应修改：之后在深入研究相关协议的基础上，设计实现能 够进行扩展认证的密钥管理系统。本系统运行在操作系统的用户空间，由配置管 理模块、网络通信模块、密钥协商模块、载荷处理模块、算法处理模块、IPsee模 块和线程处理等七大模块组成。采用NETLINK套接字与操作系统内核XFRM相 关结构构建的安全数据库进行通信。本文对各个模块的设计思想和功能划分进行 了描述，并介绍了其工作流程。测试结果表明，能够完成在设计的多种情况下经 过协商建立IKE SA并最终建立IPsec SA。 关键词：IPsee；IKEv2；密钥交换；安全联盟；扩展认证协议 分类号：TP393．08 j匕塞交道盔堂亟±堂僮i佥塞． j匕塞交道盔堂亟±堂僮i佥塞． △旦墨!B△g! AB STRACT ABS’I’RAC’lj IPsec has become one of the intemational standards of VPN．And Internet Key Exchange Protocol(IKE)has become the preferred intemet key exchange protocol in the realization of IPsec．While，because it is a kind of mixed protocol，its complexity brings some inevitable limitations．To improve these limitations，IETF published a new version of IKE standard—RFC4306 IKEv2 in December 2005．IKEv2 is designed based on the previous version．Most of the f．eatures of IKEvl were reserved，such as identity hiding，perfect forward safe，two phases of negociations etc。Some parts of the previous version standard were redesigned to make it more robust，effcient and safe．One of the enhancements is adding the support for extensible authentication．Extensible Authentication Protocol(EAP)is a flame．1ike protoc01．After supporting EAP,It can use more kinds of authentication method，which are much safer,to replace the Pre—Shared Key and Certification． The target of the paper is to find the advantag