文档介绍:IPSEC中密钥交换协议的� 研究与实现
许晶
研究背景和意义
作为IPSEC VPN的重要技术之一的IKE协议
对IPSEC VPN的安全性有着非常重要的作用。但
IKE协议包含了太多的可选项和灵活性,系统过于
复杂。可以说,安全最大的敌人是复杂性,系统
越复杂,存在的安全漏洞就可能越多,安全评估
就越困难。
IPSEC协议—体系结构
安全体系结构
ESP协议
密钥管理
策略
解释域DOI
认证算法
加密算法
AH协议
IKE协议的组成
ISAKMP协议:它是一种密钥交换框架,独立
于具体的密钥交换协议。它定义了消息交换的
体系结构。
OAKLEY协议:提出了基于模式的机制在两个
IPSEC对等体之间达成相同加密密钥。
SKEME协议:描述了一种通用的密钥交换技
术。这种技术提供了基于公钥的身份认证和快
速密钥刷新。
IKE交换模式
IKE定义了4种可能的交换模式:主模式、野蛮模
式、快速模式和新群模式。前两个模式协商SA,用于
第1阶段的交换;后两个用于第2阶段的交换过程。无
论是主模式还是野蛮模式都包含4种认证方式:
预共享密钥认证(Pre_shared Key);
公钥加密认证(Public Encryption);
改进的公钥加密认证(Revised Public Encryption);
数字签名认证(Public Signature)。
对DOS攻击的分析与改进
CKY_I=
MD5 (secret_i,源IP│目的IP│源UDP
端口号│目的UDP端口号│时间i)
CKY_I=
SHA(secret_i,源IP│目的IP│源UDP
端口号│目的UDP端口号│时间i)
对DOS攻击的分析与改进
CKY_R=
MD5 (secret_r,源IP│目的IP│源UDP端口号│
目的UDP端口号│时间r │CKY_I)
CKY_R=
MD5 (secret_r,源IP│目的IP│时间r │ CKY_I)
IKE模块的总体框架
消息服务器模块
查询
更改
用户管理接口
命令数据
系统管理模块
读/写信息
配置文件
应用层
核心层
日志文件
IKE验证模块
WINDOWS API
IKE
状态库
命令
SA数据库
系统管理模块
系统管理模块负责整个系统的运行环
境和监控。它为用户显示系统的运行状态、
提供状态设置服务,为IKE守护进程提供
运行需要的参数。
消息服务器模块框架
Whack_handle ()
消息服务器
Sever监听
内核消息
接口
网络接口
队列
时钟事件
队列
管理消息
接口
Handle_timer_event()
Comm_handle ()
Start IKE ()