文档介绍:[收稿日期]2006-05-23[作者简介]张爱科(1973—,女,广西贵港人,柳州职业技术学院信息工程系讲师,研究方向:计算机网络。IPSec下密钥交换协议的研究张爱科(柳州职业技术学院信息工程系,广西柳州 545006摘要:本文首先介绍了IPSec下现有密钥交换协议IKE,以及新一代密钥交换规范IKEv2,尤其是他们的协商原理。针对IKE在性能和安全方面的缺陷,分析比较了IKEv2在密钥交换的安全性和高效性上所做出的改进。为构建VPN网络等应用场合,指明了密钥交换协议的选取依据。关键词:IPSec;密钥交换;IKE;IKEv2中图分类号: 文献标识码:A 文章编号:1671-1084(200603-0081-04 的不断发展和日益普及,为各政府、企业团体及民间组织之间传递信息、共享资源创造了极大的便利。与此同时,网络通信带来的安全问题也随之显得越来越突出。由于IP数据包本身并不提供任何安全特性,很容易伪造IP包的地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。因此,我们收到的数据包存在着以下危险:并非来自合法的发送者;数据在传输过程中被人修改;数据内容被人窃取。这些潜在的危险可能给机构和个人带来巨大的损失。IPSec协议可以为VPN在网络层上定义安全服务,它利用加密、封装、认证等技术提供了对IP及其上层协议的透明安全保护。IPSec的加密认证服务所基于的算法和密钥可以通过两种途径来产生:手工配置和动态交换。无论从安全性还是灵活性上考虑,动态交换都要优于手工配置。为IPSec实现动态密钥交换这一功能的是IKE协议。IKE协议是混合型协议。一方面IPSec采用IKE进行动态交换的需求日益突出;另一方面,IKE的复杂性带来的性能和安全上的缺陷也使其一直颇受争议。为了改进IKE,IETF推出了新一版密钥交换草案--IKEv2。通过对密钥交换机制进行全新定义,IKEv2在增强IPSec动态密钥协商的安全性和提高协商效率等方面提供了更多的支持。为此本文深入研究了IPSec下的密钥交换协议。密钥交换协议(安全联盟和密钥管理协议(ISAKMP定义的一个框架上,同时,IKE还实现了两种密钥管理协议的一部分--Oakley和SKEME。ISAKMP、Oakley和SKEME--这三个协议构成了IKE的基础。因此,IKE是一种混合型协议,它沿用了ISAKMP的基础、Oakley的模式以及SKEME的共享和密钥更新技术,从而定义出自己独一无二的验证加密材料生成技术,以及协商共享策略。IKE协议用于动态建立SA,它代表IPSec对SA进行协商,并对SAD数据库进行填充。IKE与内核IPSec驱动之间关系如图一。IKE协议中使用的消息和载荷格式采用了ISAKMP中的定义。ISAKMP协议提供了一个通用的SA属性格式框架和一些可由不同密钥交换协议使用的协商、修改、删除SA的方法。ISAKMP消息由消息头和各载荷按序组装而成,载荷的数量可选,每个载荷前都有一个通用载荷头。通用载荷头明确定义了载荷的边界,因此可以用来联接不同的载荷。目前在ISAKMP中,总共定义了13种不同的载荷。最为常用的几种载荷有:安全联盟载荷,用来定义要建立的一个安全联盟--无论是一个ISAKMPSA,还是一个用于其他安全协议(如IPSec的SA;散列载荷,其中包括一个特定的散