返回
ikev2实现的预研报告

ikev2实现的预研报告

ID:27569856

大小:789.50 KB

页数:13页

时间:2018-12-04

ikev2实现的预研报告_第1页
ikev2实现的预研报告_第2页
ikev2实现的预研报告_第3页
ikev2实现的预研报告_第4页
ikev2实现的预研报告_第5页
资源描述:

《ikev2实现的预研报告》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IKEV2实现的预研报告(草稿)吴世强一IKE的发展历程TKE协议仅证了安全关联建立过程的安全性和动态性,但作为一个混合型协议,它的实现是极为复杂的;同时它乂是一个使用非常频繁的流程。Ikevl是建立在凼Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上,M时还包含了两种密钥管理协议的一部分Oakley和SKEME,它主要由rfc2401〜2412定义组成。Ikevl面临的问题主要有以下儿个方面:(1)从协议本身来看,原有标准所提供的某些功能实际很少被使用,甚至根本不用,其数据结构存在进一步简化的空间。(2)从系统耗费來肴

2、,尚强度的密钥在提供更尚安全性的同吋对计算机系统意味着更人的运算负担,科必要在实现时考虑从兒避免使用人强度的密钥汁算。(3)SA建立时盂要多轮协商,为节约通信资源,应该减少传送的信息和交换次数,从而提高IKE的效率。(4)应注意到在公丼互联网t普遍存在的安全隐患,TKR协议木身的特点决定丫艽冇可能遭受拒绝服务攻击、重播攻击、屮间人攻击等危险,有必要加以改进以增强其抵御能力。针对vl的情况,ikev2(rfc4306)做了如下改进:(1)协议的整合。IKEV2整合了ikevl的主体协议(RFC2407,2408,2409)以及后来补充的NAT穿

3、越(NATTraversal)、遗传认证(LegacyAuthentication)、远程地址采集(RemoteAddressAcquisition)等协议,形成了一个完整的IKE协议《>它保留了TKEvl的基本功能,M时兼顾了高效性、安企性、健壮性和S杂性的需耍,大幅度精简了原有协议,外针对在此之前对IKEvl研究过程屮发现的问题进行了修订。(2)协商轮数的减少。在保证安全性的前提卜*,将第一阶段屮主模式交换的消息条数由六条减少到叫条,笫二阶段的消息由三条变为两条。(3)载荷的变化。在载荷方面的变化是新版协议最显著的特点之一,后面详细说明。

4、(4)安全性。为了防御來tl网络的拒绝服务(DoS)攻击,1KEv2规定通信双方任何一端不能通过任何路由信息(ICMP消息)成未加密保护的IKE消息(报错消息)来判定扔一方是否已经无法通信。(5)兼容性。考虑到便于将来修订,并在一定程度上能够向前兼容,新版协议详细给出了在各类错误情况卜7办商双方所应该采取的行为。TKRv2保留了己有的语法和幻数(MagicNumbers),通过付出最小代价,使得IKEvl在-•定范围内得到增强而支持1KEv2。如果双方都支持多版1KE,则双方采用彼此都支持的最高版本协议的1KE进行协商。在1KEv2巾,为了将

5、来更灵活地向前兼容,每个载荷头都增加了一个鉴定标志(CriticalBit,通常以“C”表示)。如果一个消息设置了鉴定标志,但W载荷类型不被识别,那么它必须被丢弃。同时响应方在响应这个TKE请求吋,必须乜含一个通知载荷,提示收到无法支持的载荷。如果鉴定标志未被设置,则接收者必须忽略这个无法支持的载荷类型而接收消息。(6)对NAT的支持。IKEv2明确提出了对NAT穿越的支持,IKEv2用UDP封装的IKE,ESP,AH数掘包来协商。冇关IPSec下NAT实施的诈细说明请参考draft-ietf-ipsec-nat-reqts-06.txt0二

6、IKEvl和v2的SA消息格式和交互流程!KEv2在ISAKMP消息头部的开始部分不再足发起者和响应者的Cookie,而是双方的安全关联索引(SPI)。在消息头部的交换类型(ExchangeType)中,第二版只定义了四种,分别对/、V:于初始化交换、IKE验证、创建子SA和信息交换,编号34〜37(0〜33侃贸,可能是基于与第一版协议兼容的需要),不再保留所谓的基本模式、野蛮模式、新组模式和身份保护模式。在标忐位(Flag)的定义上,第二版占用了这个比特的3〜5位(0〜2位保留,正好是第一版占用的位),K屮第3位用来表示发起者,第5位用来表

7、示响应者。为了在工程实现时更紧凑地编码,IKEv2定义了新的安全联盟载荷,不再保衍IKEvl中的数据属性载荷、建议载荷和变换载荷,Iflj是将其作为一个统一载荷的不叫子(Substructure)放在一起。与第一版的一个显著的差别是:安全关联载荷通用头部后面删除了解释域(DOT)和情形标志(SIT)。1KEv2允许奋多个建议子结构,每个建议子结构必须奋相同的建议编号(如AH和ESP同时使用的情况);每个建议P面可以有一至多个变挽子结构。IKEv2定义了五种变换类型,如表1所示:表1IKB/2定义的变换类型变换类型编号应用场合加密算法1IKE和

8、ESP伪隨机函效(prf)2IKE完整性校验算法3IKE和AH.ESP可选Diffie-Hellman群4IKE.AH和ESP可选扩展序列号5AH和ESP可选对于每

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。