文档介绍:网络安全协议IPSec分析摘要:该文阐述了IPSec体系结构,分析了IPSec协议的安全性,指出了IKE常遇到的攻击方式,总结了几个改进的方法。关键词:IPSec;密钥交换协议;安全性中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2601-02 workLayerSafetyProtocol-IPSec YUQi-hong (ComputerDepartmentofSuQianCollege,Suqian223800,China) Abstract:ThispaperdiscussesthearchitectureofIPSec,analyzesthesecurityofIPSec,pointsoutsomeattacksthattheIKEfrequentlyencountersandsumsupanumberofimprovedmethods. Keywords:IPSec;keyexchange;security 已成为我们工作和生活的一个必不可少的部分。以缺乏有效的安全机制的TcP/IP协议为通信基础。网络的安全问题越来越突出。为了保护信息和数据的安全,必须大力发展网络安全技术,IETF在1993年3月成立IPSec[1](ProtocolSecurity)工作组,上进行安全通信的一系列规范――IPSec协议,为私有信息通过公用网提供了安全保障。安全协议标准:IPSec。为IP数据报提供数据完整性、机密性、数据源认证等安全服务。但就像任何一样事物一样,不可能十全十美,IPSec协议也是如此。 1IPSec协议体系结构 IPsec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的基于IP层的加密的安全。IPSec包括认证头协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)[2]和一些认证及加密算法等,主要用了8个RFC文档来定义[3]。其体系结构图如图1。 AH协议用来增加IP数据报的安全性。AH协议提供无连接的完整性、抗重放保护服务和数据源认证,不提供任何保密性服务。 ESP协议用于提高IP协议的安全性。ESP协议可为IP提供数据源验证、抗重放、数据完整性以及机密性等安全服务。 AH和ESP协议都支持两种使用模式:传输模式,隧道模式。传输模式只用于两台主机之间的安全通信,协议为高层提供基本的保护;只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式,协议使IP包通过隧道传输,隧道模式的特点是数据包最终目的地不是安全终点。 SA(SecurityAssociation,安全关联)是两个通信实体之间经协商建立起来的一种约定,包括保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。SA是构成IPSec的基础。 IKE是一种混合型协议,负责密钥的产生、分发与交换,它由SA和密钥管理协议(SecurityAssociationKeyManagementProtocol,简称ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式:主要模式和积极模式。 2AH安全性分析 AH由RFC2402定义,对IP层