1、IPSEC中密鑰交換協(xié)議的 研究與實(shí)現(xiàn),許晶,研究背景和意義,作為IPSEC VPN的重要技術(shù)之一的IKE協(xié)議 對(duì)IPSEC VPN的安全性有著非常重要的作用。但 IKE協(xié)議包含了太多的可選項(xiàng)和靈活性,系統(tǒng)過(guò)于 復(fù)雜?？梢哉f(shuō)，安全最大的敵人是復(fù)雜性，系統(tǒng) 越復(fù)雜，存在的安全漏洞就可能越多，安全評(píng)估 就越困難。,IPSEC協(xié)議體系結(jié)構(gòu),IKE協(xié)議的組成,ISAKMP協(xié)議：它是一種密鑰交換框架，獨(dú)立 于具體的密鑰交換協(xié)議。它定義了消息交換的 體系結(jié)構(gòu)。 OAKLEY協(xié)議：提出了基于模式的機(jī)制在兩個(gè) IPSEC對(duì)等體之間達(dá)成相同加密密鑰。 SKEME協(xié)議：描述了一種通用的密鑰交換技 術(shù)。這種技術(shù)提供

2、了基于公鑰的身份認(rèn)證和快 速密鑰刷新。,IKE交換模式,IKE定義了4種可能的交換模式：主模式、野蠻模 式、快速模式和新群模式。前兩個(gè)模式協(xié)商SA，用于 第1階段的交換；后兩個(gè)用于第2階段的交換過(guò)程。無(wú) 論是主模式還是野蠻模式都包含4種認(rèn)證方式： 預(yù)共享密鑰認(rèn)證(Pre_shared Key)； 公鑰加密認(rèn)證(Public Encryption)； 改進(jìn)的公鑰加密認(rèn)證(Revised Public Encryption)； 數(shù)字簽名認(rèn)證(Public Signature)。,對(duì)DOS攻擊的分析與改進(jìn),CKY_I= MD5 (secret_i，源IP目的IP源UDP 端口號(hào)目的UDP端口號(hào)時(shí)間i

3、) CKY_I= SHA(secret_i，源IP目的IP源UDP 端口號(hào)目的UDP端口號(hào)時(shí)間i),對(duì)DOS攻擊的分析與改進(jìn),CKY_R= MD5 (secret_r，源IP目的IP源UDP端口號(hào) 目的UDP端口號(hào)時(shí)間r CKY_I) CKY_R= MD5 (secret_r，源IP目的IP 時(shí)間r CKY_I),IKE模塊的總體框架,系統(tǒng)管理模塊,系統(tǒng)管理模塊負(fù)責(zé)整個(gè)系統(tǒng)的運(yùn)行環(huán) 境和監(jiān)控。它為用戶顯示系統(tǒng)的運(yùn)行狀態(tài)、 提供狀態(tài)設(shè)置服務(wù)，為IKE守護(hù)進(jìn)程提供 運(yùn)行需要的參數(shù)。,消息服務(wù)器模塊框架,管理消息處理子模塊,內(nèi)核消息處理子模塊,Device Control ( )； # define

4、 WAIT_SA_NEGOTIATION_REQUEST # define SA_NEGOTIATION_REQUUEST # define STOP_IKE_LISTEN_THREAD # define SA_DOWNLOAD_FOR_SPDENTRY,網(wǎng)絡(luò)消息處理子模塊,網(wǎng)絡(luò)消息處理模塊負(fù)責(zé)與協(xié)商的對(duì)方進(jìn)行協(xié)商 信息的交換，它既充當(dāng)服務(wù)器又充當(dāng)客戶端角色。 當(dāng)監(jiān)聽(tīng)UDP / 500端口時(shí)它是服務(wù)器，作為協(xié)商的 響應(yīng)者。當(dāng)它發(fā)出協(xié)商請(qǐng)求時(shí)，它作為協(xié)商的發(fā)起 者充當(dāng)客戶端。監(jiān)聽(tīng)和發(fā)送都使用UDP/500端口。,時(shí)鐘事件處理子模塊,IKE驗(yàn)證模塊,根據(jù)IKE協(xié)議的RFC文檔，每種模式的協(xié)商過(guò) 程

5、都有固定的消息條數(shù)且每條消息的內(nèi)容都作明確 的規(guī)定。有差別的就是在不同的認(rèn)證方式下，載荷 的加密/解密方式有所不同。這樣按照協(xié)商過(guò)程中接 收到的消息來(lái)劃分協(xié)商狀態(tài)，每種狀態(tài)都有對(duì)應(yīng)的 狀態(tài)遷移函數(shù)。當(dāng)協(xié)商過(guò)程中下一條消息到來(lái)，就 調(diào)用此時(shí)狀態(tài)所對(duì)應(yīng)的遷移函數(shù)進(jìn)行分析處理，驗(yàn) 證通過(guò)就躍遷到下一個(gè)狀態(tài)。,IKE狀態(tài)庫(kù),IKE在協(xié)商時(shí)必須要構(gòu)建一個(gè)協(xié)商隧道， 而且在協(xié)商期間還需要記錄每個(gè)SA的狀態(tài)、 協(xié)商的密鑰、算法等參數(shù)。所以在設(shè)計(jì)中采 用了兩個(gè)重要的數(shù)據(jù)結(jié)構(gòu)來(lái)表示協(xié)商遂道和 SA的狀態(tài)，分別是connection和state。,IKE模塊的整體實(shí)現(xiàn)思路,主要函數(shù),啟動(dòng)模塊：main.cpp 監(jiān)

6、聽(tīng)模塊：sever.cpp Whack命令控制模塊：whack.cpp 應(yīng)用層與內(nèi)核通信模塊：kernel.cpp,測(cè)試結(jié)果,initiating Main Mode STATE_MAIN_I1：initiate STATE_MAIN_I2：sent MI2，expecting MR2 STATE_MAIN_I3：sent MI3，expecting MR3 STATE_MAIN_I4：ISAKMP SA established initiating Quick Mode PSK+ENCRYPT+TUNNEL STATE_QUICK_I1：initiate TEST Quick_Int1 is succeed STATE_QUICK_I2：sent QI2， IPSEC SA established,結(jié)論,本文對(duì)IKE的安全性進(jìn)行了分析，重點(diǎn)闡述了 IKE模塊的設(shè)計(jì)和實(shí)現(xiàn)。該系統(tǒng)能夠?yàn)镮PSEC動(dòng)態(tài) 協(xié)商SA，且可以更新維護(hù)。改進(jìn)后的協(xié)議相對(duì)于 原來(lái)的IKE協(xié)