返回
ikev2协议对dos攻击的防范

ikev2协议对dos攻击的防范

ID:27779150

大小:73.50 KB

页数:6页

时间:2018-12-06

ikev2协议对dos攻击的防范_第1页
ikev2协议对dos攻击的防范_第2页
ikev2协议对dos攻击的防范_第3页
ikev2协议对dos攻击的防范_第4页
ikev2协议对dos攻击的防范_第5页
资源描述:

《ikev2协议对dos攻击的防范》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IKEv2协议对DOS攻击的防范IKE是一种混和协议,混和协议的复杂性使其不可避免地带来一些安全及性能上的缺陷,导致其成力整个IP-Sec实现中的瓶颈。力此,IETF-•直对现有版本不合理部分积极征集修改意见,陆续推出了新的IKE草案,并于2005年12月26日正式推出了新的IKE协议标准--IKEv2。为了提高IKE的实现效率,简化实现的复杂度,IKEv2对原宥版本进行了以下几个方囬的改进:(1)单一文档的定义IKEv2将整个IKE协议的定义放在一个单一的文档中,这个文档代替了原有的RFC2407,2408以及2409,并且

2、还含了后来对IKE的各种修改,例如对NAT穿越,可扩展认证,以及远程地址获取等的支持。(2)简化IKE的会话消息交换在IKE第一版本中,对消息交换的定义非常复杂。为了使得IKE的定义更加简洁,实现的速度更快,IKEv2将原来IKE第一阶段的8种不同的初始化交换简化为一种交换方式,并且将原先在主模式K耑要的6条消息减化为4条消息,还将原版本中第二阶段快速交换模式的3条消息简化为2条。⑶降低IKE的延时在1KEv2的初始化交换中,由于通信双方只需要两轮交换(即4条消息),降低了实施1KE的时f口J,又由于IKEv2在初始化交换完成

3、后就能建立起第一个ChildSA(如IPsecSA),如果用户程序只耑要新建一个IPSec-SA的话,就不耑要再进行笫二阶段为创建ChildSA而发起的交换,这样减少了消息交换的次数,从而进一步降低了延迟。1IKEV2的工作原理IKEv2使用由请求一应答对组成的交换来完成协议的协商,协商分为2个阶段:第一阶段称为初始化交换;第二阶段为创建子SA(CREATE—CH1LD-SA)交换。另外还有信息交换,用于向对方通知一些出错、配置、删除等消息。下而简要说明IKEv2的交换过程及主要工作原理:(1)初始交换初始交换定义如下:发起者

4、响应者(DHDK.SAil.KEi.N.*©-HDR.SArUKEr.Nr,[CKRTREQJ③HUSK[CEKTREQ,][Il)r.]AUTH.SA»2.TSi.TSr

5、-*④-HDR.SK(IDr,[CERT*]AUTH.SAr2>TSi.TSr}两个IKEv2实现之间的通信总是以IKE-SA-INIT交换和IKE-AUTH交换开始的,这两个交换被总称为初始交换。这一过程对应于第一版协议中的阶段一,他包含4条消息,头2条消息构成一个初始化交换(IKE-SA-INIT交换),为IKEv2木身协商安全策略和密钥,用于协商加密

6、算法、交换Nonces并且进行一次Difile—Heilman交换;紧接着2条消息构成了一个验证交换(IKE-AUTH交换),这2条消息除了通用头部外其余的部分都是利用头2条消息协商的密钥进行加密过的,从而保证其身份信息无法被第三方获取。IKE-AUTH交换需要对IKE-SAJNIT交换中的所有内容进行认证,并对对方的身份信息进行验证,为IKEv2生成安全关联,同时还需要完成对IP-Sec:安全策略和流量选择器的协商,并为IPSec:生成安全关联。成功完成初始交换之后,发起者和应答者都可以发起CREATE-CHII〜一SA交换

7、和INFORMATIONAL交换,这两个交换受到初始交换所协商的安全关联的保护。(2)CREATE-CHILD-SA交换CREATE-CHILD_SA交换定义如下:发起者响应者HDR.SK{[N].SA.Ni.[KEi].[TSi.TSr])-*HDK.SK(SA.Nr,[KEr].[TSi/rSr]}他包含2条消息,对应第一版协议中的阶段二。所谓子SA其实就是第一版协议中提到的IPSccSAo在前面的初始交换结束后,通信双方的任一方均可发动这轮交换。类似于阶段一的后2条消息,阶段二的这2条消息也经过加密保护。通信任意一方作为

8、新的发起方发送一个创建子SA的请求(作为可选项),这条请求消息可以包含一个新的KE载荷,由此开始再进行一次Diffie-Hellinan交换,从而加强安全性。CREATE-CHILD—SA完成的功能有3个:为IKE_SA进行密钥更新(rekey);协商新的IP-Sec—SA;为IKE-SA所生成的IPScc—SA进行密钥疋新rekey。(3)INFORMAT1ONAL交换INFORMATIONAL交换定义如下:发起者响应者HDR.SK{[N.][D.][CP.]...)——HDR.SK([NJ[D.][CP]•…}通信双方在密

9、钥协商期间,需要传送控制消息,告知对方发生的错误或通知某些事件。为了完成这些操作,IKE定义了信息交换。信息交换中的消息包含0个或多个通知载荷、删除载荷或配置载荷(ConfigurationPay-loads)。INFORMATIONAL交换用来传递控制信息给对方,如删除特定

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。