返回
IKE V2 实现的预研报告

IKE V2 实现的预研报告

ID:44714452

大小:263.50 KB

页数:11页

时间:2019-10-25

IKE V2 实现的预研报告_第1页
IKE V2 实现的预研报告_第2页
IKE V2 实现的预研报告_第3页
IKE V2 实现的预研报告_第4页
IKE V2 实现的预研报告_第5页
资源描述:

《IKE V2 实现的预研报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IKEV2实现的预研报告(草稿)吴世强一IKE的发展历程IKE协议保证了安全关联建立过程的安全性和动态性,但作为一个混合型协议,它的实现是极为复杂的;同时它又是一个使用非常频繁的流程。Ikev1是建立在由Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上,同时还包含了两种密钥管理协议的一部分———Oakley和SKEME,它主要由rfc2401~2412定义组成。Ikev1面临的问题主要有以下几个方面:(1)从协议本身来看,原有标准所提供的某些功能实际很少被使用,甚至根本不用,其数据结构存在进一步简化的空间。(2)从系统耗费

2、来看,高强度的密钥在提供更高安全性的同时对计算机系统意味着更大的运算负担,有必要在实现时考虑尽量避免使用大强度的密钥计算。(3)SA建立时需要多轮协商,为节约通信资源,应该减少传送的信息和交换次数,从而提高IKE的效率。(4)应注意到在公共互联网上普遍存在的安全隐患,IKE协议本身的特点决定了其有可能遭受拒绝服务攻击、重播攻击、中间人攻击等危险,有必要加以改进以增强其抵御能力。针对v1的情况,ikev2(rfc4306)做了如下改进:(1)协议的整合。IKEV2整合了ikev1的主体协议(RFC2407,2408,2409)以及后来补充的NAT

3、穿越(NATTraversal)、遗传认证(LegacyAuthentication)、远程地址采集(RemoteAddressAcquisition)等协议,形成了一个完整的IKE协议。它保留了IKEv1的基本功能,同时兼顾了高效性、安全性、健壮性和复杂性的需要,大幅度精简了原有协议,并针对在此之前对IKEv1研究过程中发现的问题进行了修订。(2)协商轮数的减少。在保证安全性的前提下,将第一阶段中主模式交换的消息条数由六条减少到四条,第二阶段的消息由三条变为两条。(3)载荷的变化。在载荷方面的变化是新版协议最显著的特点之一,后面详细说明。(4

4、)安全性。为了防御来自网络的拒绝服务(DoS)攻击,IKEv2规定通信双方任何一端不能通过任何路由信息(ICMP消息)或未加密保护的IKE消息(报错消息)来判定另一方是否已经无法通信。(5)兼容性。考虑到便于将来修订,并在一定程度上能够向前兼容,新版协议详细给出了在各类错误情况下协商双方所应该采取的行为。IKEv2保留了已有的语法和幻数(MagicNumbers),通过付出最小代价,使得IKEv1在一定范围内得到增强而支持IKEv2。如果双方都支持多版IKE,则双方采用彼此都支持的最高版本协议的IKE进行协商。在IKEv2中,为了将来更灵活地向

5、前兼容,每个载荷头都增加了一个鉴定标志(CriticalBit,通常以“C”表示)。如果一个消息设置了鉴定标志,但其载荷类型不被识别,那么它必须被丢弃。同时响应方在响应这个IKE请求时,必须包含一个通知载荷,提示收到无法支持的载荷。如果鉴定标志未被设置,则接收者必须忽略这个无法支持的载荷类型而接收消息。(6)对NAT的支持。IKEv2明确提出了对NAT穿越的支持,IKEv2用UDP封装的IKE,ESP,AH数据包来协商。有关IPSec下NAT实施的详细说明请参考draft-ietf-ipsec-nat-reqts-06.txt。二IKEv1和v

6、2的SA消息格式和交互流程IKEv2在ISAKMP消息头部的开始部分不再是发起者和响应者的Cookie,而是双方的安全关联索引(SPI)。在消息头部的交换类型(ExchangeType)中,第二版只定义了四种,分别对应于初始化交换、IKE验证、创建子SA和信息交换,编号34~37(0~33保留,可能是基于与第一版协议兼容的需要),不再保留所谓的基本模式、野蛮模式、新组模式和身份保护模式。在标志位(Flag)的定义上,第二版占用了这个比特的3~5位(0~2位保留,正好是第一版占用的位),其中第3位用来表示发起者,第5位用来表示响应者。为了在工程实

7、现时更紧凑地编码,IKEv2定义了新的安全联盟载荷,不再保留IKEv1中的数据属性载荷、建议载荷和变换载荷,而是将其作为一个统一载荷的不同子(Substructure)放在一起。与第一版的一个显著的差别是:安全关联载荷通用头部后面删除了解释域(DOI)和情形标志(SIT)。IKEv2允许有多个建议子结构,每个建议子结构必须有相同的建议编号(如AH和ESP同时使用的情况);每个建议后面可以有一至多个变换子结构。IKEv2定义了五种变换类型,如表1所示:对于每个协议,每个允许的变换集合都分配了变换ID号,它出现在每个变换的头中。这样的定义和IKEv

8、1有了很大的区别。在第一版协议中,当协议需要多个算法时,通常有一个算法在变换中体现,而其余的算法则放在属性中,相比之下,IKEv2的定义更加清晰明确。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。