Internet密钥IKE协议安全性分析

Internet密钥IKE协议安全性分析

ID:46284254

大小:70.00 KB

页数:7页

时间:2019-11-22

Internet密钥IKE协议安全性分析_第1页
Internet密钥IKE协议安全性分析_第2页
Internet密钥IKE协议安全性分析_第3页
Internet密钥IKE协议安全性分析_第4页
Internet密钥IKE协议安全性分析_第5页
资源描述:

《Internet密钥IKE协议安全性分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Internet密钥IKE协议安全性分析摘要:为了应对Internet密钥交换协议面临的复朵多样的网络威胁和攻击手段,本文详细分析了TKE协议的基本思想和主要存在的四个方1何的安全缺陷,为采取更加有效的信息安全技术和方法,堵塞可能的安全漏洞和隐患提供帮助,从而满足口益增长的网络安全应用要求。关键词:Internet密钥交换协议;IPSec;IKE中图分类号:TP309文献标识码:ADOI:10.3969/j.issn.1003-6970.2013.07.038本文著录格式:[1]马萌,王全成,康乃林.Internet密钥IKE协议安全性分析[J]・软件,2013,34(7):112-11

2、40引言在开放性的网络体系中,进行秘密、敏感信息传递时,首先耍求通信双方拥有共享密钥,才能够按照安全性需求对数据进行机密性、完整性和身份认证保护。为了应对Internet密钥交换协议面临的复杂多样的网络威胁和攻击手段,本文详细分析了IKE协议的基本思想和主要存在的四个方面的安全缺陷,为采取更加冇效的信息安全技术和方法,堵塞可能的安全漏洞和隐患提供帮助,从而满足日益增长的网络安全应用耍求。1IKE协议的基本思想IKE协议吸取ISAKMP协议、OAKLEY协议和SKEME协议各自的特点组合而成[1],同时还重新定义了两种密钥交换方式[1]。一次典型的IKE密钥协商交换可描述如下(第一阶段采用

3、主模式和公钥签名身份验证人(1)SA载荷交换,协商认证算法、加密算法等,交换Cookies对;(2)KE载荷,Nonce载荷交换,提供计算共享密钥的有关参数信息。(3)通信双方分别计算共亨密钥参数。(4)通信双方进行身份验证,构建IKESA;(5)进行IPSecSA载荷和选择符信息交换,协商IPSecSA的验证算法、加密算法,计算IPSecSA密钥参数,构建IPSecSA。由上可知,IKE协议在两个通信实体间之间实现密钥协商的过程实际上分为2个阶段。第一阶段构建IKESA,第二阶段构建IPSecSA。在第一阶段,使用主模式或者积极模式,建立IKESA,为通信实体Z间建成安全的通信信道,为

4、第二阶段的密钥协商提供安全保护服务。第二阶段,使用快速模式,依托第一阶段创建的IKESA通信信道,构建IPSecSA,为通信双方之间的数据传输提供机密性、完整性和可靠性服务。两个阶段的IKEI办商相对增加了系统的初始开销,但是山于第一阶段协商建立的SA可以为第二阶段建立多个SA提供保护,从而简化了第二阶段的协商过程,结合第二阶段SA协商总体数量较多的实际,仍然是节约了系统的资源。在第一阶段,当需要对协商双方提供身份保护时使用主模式相对安全一些,而积极模式实现起来简单一些,却无法提供身份保护服务;第二阶段使用的快速模式,在一个IKESA的保护下可以同时进行多个协商;新组模式允许通信双方根据

5、安全性要求协商私有Oakley组,但新组模式既不属于第一阶段也不属于第二阶段,且必须在第一阶段完成后方可进行。1IKE协议的交互流程第一阶段主模式或积极模式屮,都支持数字签名、预共享密钥和公钥加密等身份认证方法。不同的身份认证方式,身份认证的原理不同,传递的密钥协商交换消息也有所不同。其中,数字签名认证是利用公钥加解密原理,由通信双方生成数字签名信息,再由另一方对数字签名信息进行解密、比较,实现对通信双方的身份认证;预共享密钥认证是利用对称密钥加解密原理,由通信双方利用私钥对认证内容计算hash值,再将hash值发送给对方进行解密、比较,完成身份认证;公钥加密认证仍然是利用了公钥加解密原

6、理,与数字签名认证不同的是,山通信双方利用对方的公钥分别加密身份识别负载和当前时间负载的数据部分,然后根据对方返冋的结果以确定対方的身份。公钥加密认证方式有两种,区别在于加解密的次数不同。下面,我们以数字签名为例,说明2个阶段的具体协商流程。2.1第一阶段密钥生成2IKE协议的安全缺陷冃前针対IKE协议的安全性分析结果非常多,已发现的安全问题和隐患也卄•常多,归纳起来主要冇以下几类。3.1拒绝服务(DoS)攻击拒绝服务(DoS)攻击是一种针对某些服务可用性的攻击,是一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源,來阻止或削弱对网络、系统或应用程序的授权使用的行为[2]。更加形象直观

7、的解释,是指攻击者产生人量的请求数据包发往目标主机,迫使日标主机陷入对这些请求数据包的无效处理之中,从而消耗日标主机的内存、计算资源和网络带宽等冇限资源,使目标主机正常响应速度降低或者彻底处于瘫痪状态。DoS攻击是目前黑客常用的攻击方式之一。在Internet密钥交换协议中,由于响应方要占用CPU和内存等进行大量的密集的模幕等复杂运算,而其存储和计算能力是有限的,鉴于这一瓶颈问题的制约,极易遭到DoS攻击。虽然Internet密钥交

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。