（模式识别与智能系统专业论文）ipsec中密钥交换协议的分析改进及其实现.pdf

摘要 ip s e o 中密钥交换协议的分析改进及其实现 摘要 i p s e c 协议是i e t f 组织为在i p 层提供安全通信而制定的网络安全标 准，能为i p 及其上层协议提供安全保证。i k e 协议是i p s e c 安全协议默认 的密钥交换协议，负责动态协商和管理s a 。i k e 协议的安全性决定了通信 双方协商的共享密钥的可靠性以及通信的安全性。然而到目前为止，无论 是基础版本i k e v l 还是改进版本i k e v 2 及j f k ，都还存在着很多漏洞和安 全问题。近年来，对i k e 协议的分析和改进已成为网络安全领域的一个研 究热点。本文主要针对基于预共享密钥认证的i k e v l 主模式协议存在的安 全缺陷以及i k e v 2 中预共享密钥认证算法存在的缺陷，结合诸多学者提出 的改进方案，提出了进一步的改进方案，并搭建l i n u x 实验平台对改进方 案进行了模拟实现。 文中首先介绍了i p s e c 协议的结构及原理，研究了密钥交换协议 i k e v l 、i k e v 2 及j f k 的工作机制，重点介绍了基于预共享密钥认证的i k e v l 主模式协议的认证和协商机制，并阐述了i k e v 2 针对i k e v l 存在的问题做 出的改进；接着分析了i k e v l 、i k e v 2 及j f k 协议存在的安全问题；然后 提出了基于预共享密钥认证的i k e v l 主模式协议的改进方案，拟定了i k e v 2 协议协商过程中预共享密钥认证的改进算法，并对提出的改进方案和改进 算法进行了可行性及安全性论证；最后搭建实验平台，并在l i n u x 系统下 运用c 语言结合r a c o o n 开源码编程实现了基于预共享密钥认证的i k e v l 摘要 主模式协议改进方案。 在协议的改进方面，( 一) 引入连锁协议并改善s k e y i d 的计算方法对 基于预共享密钥认证的i k e v l 主模式协议进行了改进，进一步增强了协议 的安全性；( 二) 对i k e v 2 协议协商过程中预共享密钥算法进一步改进，首 次提出了黑盒子和数字产生器的随机过程思想，增强了协议的安全性。在 协议的实现方面，通过在实验室建立局域网进行实验，拓展了协议在局域 网中的应用，进一步证实了改进的基于预共享密钥认证的i k e v l 主模式协 议在局域网中的安全性。 关键词：i p s e c ，i k e ，预共享密钥认证，主模式协议，算法，改进 a b s l r a c t a n a l y s i sa n di m p r o v e m e n ta n dr e a l i z a t i o n o fi k ep r o t o c o lf o ri p s e c a bs t r a c t i p s e cp r o t o c o li sak i n do fn e t w o r ks e c u r i t ys t a n d a r dw h i c hi sf r a m e db y i e 盯o r g a n i z a t i o nf o rs a f ec o m m u n i c a t i o n ，a n di t c a nb eu s e dt op r o v i d e s e c u r i t yp r o t e c t i o nf o ri pa n dh i g h e rl a y e rp r o t o c o l s i k ep r o t o c o li st h ed e f a u l t i n t e m e tk e ye x c h a n g ep r o t o c o lf o ri p s e c ，w h i c hi si nc h a r g eo ft h en e g o t i a t i o n a n dm a n a g e m e n to fs a d y n a m i c a l l y t h er e l i a b i l i t yo fs h a r e d k e yn e g o t i a t e db y t h et w oc o m m u n i c a t i o ns i d e sa n dt h es e c u r i t yo fc o m m u n i c a t i o na r ed e c i d e db y t h es e c u r i t yo fi k ep r o t o c 0 1 n e v e r t h e l e s s ，u n t i ln o w ，w h e t h e rt h eb a s i c p r o t o c o le d i t i o ni k e v lo rt h er e v i s e dp r o t o c o le d i t i o n s ，e g i k e v 2 ，j f ks t i l l h a v es o m e s h o r t c o m i n g sa n ds e c u r i t yp r o b l e m s r e c e n t l y , a n a l y s i sa n d i m p r o v e m e n to f i k ep r o t o c o lh a sb e c o m eah o t s p o ti nn e t w o r ks e c u r i t ya r e a i n t h i sp a p e r , a c c o r d i n gt ot h er e v i s e ds c h e m e sa d v a n c e db ym a n ys c h o l a r s ，t h e f u r t h e ri m p r o v e ds c h e m e sa r eb r o u g h tu pt os o l v et h ed e f e c t so fi k e vlm a i n m o d ep r o t o c o lb a s e do np r e - s h a r e d - k e ya u t h e n t i c a t i o na n dp r e - s h a r e d - k e y a u t h e n t i c a t i o na l g o r i t h mi ni k e v 2 ，a n dm e ya r ef u l f i l l e do nt h ep l a t f o r mo f l i n u x a b s t r a c t f i r s t l y , t h es t r u c t u r ea n dp r i n c i p l eo fi p s e cp r o t o c o li sd i s c u s s e da n dt h e m e c h a n i s mo fi n t e m e tk e ye x c h a n g ep r o t o c o li n c l u d i n gi k e vl ，i k e v 2a n dj f k i sr e f e r r e d m o r e o v e r , t h em e c h a n i s mo fa u t h e n t i c a t i o na n dn e g o t i a t i o no f i k e vlm a i nm o d e p r o t o c o l b a s e do np r e - s h a r e d - k e ya u t h e n t i c a t i o ni s e m p h a s i z e da n dt h er e v i s e ds o l u t i o n so f 1 k e v 2a i m i n ga tt h es e c u r i t yp r o b l e m s o fl k e vla r ee x p o u n d e d s e c o n d l y , t h es e c u r i t yp r o b l e m so fi k e vl ，i k e v 2a n d j f k p r o t o c o la r ea n a l y z e d t h i r d l y , t h er e v i s e ds o l u t i o nu s e di ni k e v lm a i n m o d e p r o t o c o lb a s e do np r e s h a r e d - k e ya u t h e n t i c a t i o ni si n t r o d u c e d ，t h er e v i s e d p r e s h a r e d k e ya u t h e n t i c a t i o na l g o r i t h mo f l k e v 2i sr e f e r r e d a tt h es a m et i m e ， t h ef e a s i b i l i t ya n ds e c u r i t yo ft h er e v i s e ds o l u t i o na sw e l la sa l g o r i t h ma d v a n c e d b yt h i sp a p e ri sd e m o n s t r a t e d a tl a s t ，cl a n g u a g ei su s e do nt h ep l a t f o r mo f l i n u xw i t ht h eo p e ns o u r c ec o d eo fr a c o o nt or e a l i z et h er e v i s e ds o l u t i o no f i k e vlm a i nm o d ep r o t o c o lb a s e do np r e - s h a r e d k e ya u t h e n t i c a t i o n i nr e s p e c to fp r o t o c o li m p r o v e m e n t ，f i r s t ，t h ew a yw h i c hu s e st h et h e o r yo f i n t e r l o c kp r o t o c o la n dt h er e v i s e ds k e y i da l g o r i t h mi m p r o v e si k e v lm a i n m o d ep r o t o c o lb a s e do np r e s h a r e d k e ya u t h e n t i c a t i o n ，s ot h er e v i s e ds c h e m e u l t e r i o r l ys t r e n g t h e n s t h e s e c u r i t y o ft h e p r o t o c o l ，s e c o n d ，i t u s e st h e r a n d o m i z a t i o np r o c e s st h e o r yo fb l a c kb o xa n dn u m b e r s - p r o d u c i n gd e v i c ei nt h e p r e s h a r e d - k e ya u t h e n t i c a t i o na l g o r i t h mo f i k e v 2p r o t o c o l ，t h e r e f o r e ，i tf u r t h e r r e v i s e st h ea l g o r i t h ma n de n h a n c e st h es e c u r i t yo fp r o t o c 0 1 i nr e s p e c to f p r o t o c o lr e a l i z a t i o n ，b ye s t a b l i s h i n g t h el a ni nt h el a b ，i tb r o a d e n st h e a p p l i c a t i o no fp r o t o c 0 1 t om o r ee x t e n t ，i td e m o n s t r a t e st h es e c u r i t yo ft h e r e v i s e di k e vlm a i nm o d ep r o t o c o lb a s e do np r e - s h a r e d - k e ya u t h e n t i c a t i o ni n l a n h u a n gs o n g b a i ( p a t t e mr e c o g n i t i o na n di n t e l l i g e n ts y s t e m s ) k e yw o r d s ：i p s e c ，i k e ，p r e s h a r e d - k e ya u t h e n t i c a t i o n ，m a i nm o d e p r o t o c o l ，a l g o r i t h m ，i m p r o v e m e n t v 符号说明 符号说明 i k e ：t h ei n t e m e tk e ye x c h a n g e 因特网密钥交换 i p s e c ：i ps e c u r i t y 因特网安全协议 e s p ：e n c a p s u l a t i o ns e c u r i t yp a y l o a d 安全封装载荷 a ll ：a u t h e n t i c a t i o nh e a d e r 认证头 i s a k m p ：i n t e m e ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c o li n t e r n e t 安全 关联和密钥管理协议 p s k ：p r e s h a r e d k e y 预共享密钥 r s a ：一种公开的密钥加密算法 d s s ：一种公开的密钥加密算法 m d 5 ：m e s s a g ed i g i s t 5 消息摘要算法5 s h a ：安全散列算法 d e s ：标准对成密钥加密算法 d h ：d e f f i e h e l l m a n 交换，一种密码学算法 s a ：s e c u r i t ya s s o c i a t i o n 安全关联，是密钥交换协议最终要为具体的应用( 如 i p s e c ) 建立的安全关联 s a d ：s e c u r i t ya s s o c i a t i o nd a t a b a s e 安全关联数据库 s p d ：s e c u r i t yp o l i c yd a t a b a s e 安全策略数据库 s p i s e c u r i t yp a r a m e t e ri n d e x 安全参数索引 d o i ：d o m a i no f i n t e r p r e t a t i o n 解释域，规定了用i s a k m p 框架进行安全协商的协 议统一使用的标识符，使用相同的d o i 协议可以对d o i 下的载荷内容做出同一的 解释。 c o o k i e ：一组伪随机值，可以是哈希函数的输出值 n o n c e ：一组随机值，作为密钥生成材料 丑( ( m ) ：用哈希函数h 和密钥k 求消息m 的哈希值 m k e k a ：用密钥k e 对消息m 进行加密，用密钥k a 对消息m 进行完整性认证 符号说明 s x m - 使用x 的私钥对消息m 签名，x 为i 代表发起方，x 为r 代表响应方 i p i ：发起方的网络地址 g a x ：d h 指数，x 为i 代表发起方的当前指数，x 为r 代表响应方的当前指数，x 茭j i r 代表发起方和响应方计算出的公共指数 n i ( n i ) 发起方的n o n c e ，是一组随机数，用作密钥生成材料 n r ( n r ) ：响应方的n o n c e ，是一组随机数，用作密钥生成材料 k e 用来加密消息的共享密钥，k e = h g i r ( n i ，n r ，“l ”) k a ：用来验证消息完整性的共享密钥，k a = h g i r ( n i ，n r , 2 ”) k i r ：传递给具体应用的共享密钥，k i r = h g i r ( n i ，n r , 0 ”) i d i ( i d i ) ：发起方的身份标识( 证书或者公钥) i d r ( i d r ) ：响应方的身份标识( 证书或者公钥) i d r ：发起方指定响应方所必须使用的身份标识( 证书或者公钥) h m a c h k r ：一个只有响应方知道的暂时的密钥，用来求c o o k i e 值 g r p i n f o r ：指定保护后面两条消息所使用的对称加密算法以及生成密钥的哈希 算法 s a i l ：发起方提供的自己支持的加密认证算法的组合 s a r l ：响应方选定或指定的加密认证消息的算法 s a i 2 ：发起方想要建立的安全关联信息，包含了一个j f k 的解释域和一个特定专 用的字符串 s a r 2 ：响应方需要传递给发起方的关于s a 的信息 d h 队列：循环队列，存放处理器空闲时计算的多个不同d h 公开值和一个相应 的用来计算c o o k i e 值的密钥h m a c h k r 值，这两者作为d h 队列中的一项存储 d o s ：d e n i a lo f s e v i c e 拒绝服务 k a m e ：日本六家公司的联合项目，旨在开发一个面n f r e e b s d 在内的b s d 变体的 免费i p v 6 和i p s e c 栈 东华大学学位论文原创性声明 本人郑重声明：我恪守学术道德，崇尚严谨学风。所呈交的学位 论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除 文中已明确注明和引用的内容外，本论文不包含任何其他个人或集体 已经发表或撰写过的作品及成果的内容。论文为本人亲自撰写，我对 所写的内容负责，并完全意识到本声明的法律结果由本人承担。 学位论文作者签名：南私 日期： 岬年仁月日 东华大学学位论文版权使用授权书 学位论文作者完全了解学校有关保留、使用学位论文的规定，同 意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允 许论文被查阅或借阅。本人授权东华大学可以将本学位论文的全部或 部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复 制手段保存和汇编本学位论文。 保密口，在年解密后适用本版权书。 本学位论文属于 不保密豳。 学位论文作者签名孽挖壮 日期：叩年钇月幻日 指导教师签名：芽绣缝 日期：汐7 年相如日 第一章绪论 1 1 课题背景及其意义 第一章绪论 随着i n t e m e t 网络的发展，信息化程度不断深入，网络应用越来越广泛，信息 化服务越来越多，人们对网络的依赖程度越来越高，人们对网络安全的需求越来越 强烈。在只有开放性、兼容性而没有安全性的网络环境下，传输过程中的p 数据包 完全可能被伪造、篡改或窃听，从而使得信息的完整性、机密性、真实性和信息发 送者的不可否认性得不到相应的保障。因此，采用有效手段提供网络传输的安全性 已经成为目前非常突出的问题。 i p s e c ( i ps e c u r i t y ) e 1j 协议是i e t f 提出的为解决网络安全通信的标准协议，它利 用加密、封装、认证、数字签名等技术在t c p i p 2 】【3 】的端到端通信的底层实现了对 p 及其上层协议( 如t c p 、u d p ) 以及应用的安全保护，极大地提高了t c p p 协 议的安全性。因此，i p s e c 协议已成为保障安全通信的首选以及i p v 4 协议可选实施， i p v 6 协议强制实施的安全协议。i p s e c 提供的数据认证和机密性保护依赖于通信双 方共享的密钥。而能否安全地进行密钥的协商与建立是保障密钥安全的前提【4 】。为 了通信双方之间进行通过认证的共享密钥的协商，实现密钥的产生和管理以及对通 信实体身份的认证，i p s e c 引用了i n t e m e t 密钥交换( 1 k e ) 【5 】协议。 从i p s e c 协议来看，i k e 协议是整个i p s e c 实现的重点和基础，i k e 的安全性 决定了整个系统的安全性。i k e 的安全性和有效性直接关系到i p s e c 协议的应用问 题。互联网技术的不断进步，使得对网络安全的威胁方式和网络攻击的手段越来越 复杂，因此需要不断改进和提高i k e 协议的安全性，以满足i p s e c 应用要求。 i k e 协议是i p s e c 实现中默认的密钥交换协议。i k e 协议主模式交换是一种身 份保护的交换，对它影响最深的是i k e 协议的认证方式，它决定了i k e 协议如何交 第一章绪论 换载荷以及在什么时间进行交换。取决于通信双方协商的认证方法，一次i k e 协议 甚至可以发生改变【6 】。i k e 协议支持的认证包括：预共享密钥认证、数字签名认证、 公钥加密认证以及改进的公钥加密认证。预共享密钥认证是目前应用最为广泛的认 证方式，是i k e v l 以及下一代i k e v 2 7 、j f k e 8 】协议强制实施的认证方法，它通过检 验对等通信实体是否拥有一致的预共享密钥来确定通信双方的身份。它对认证的实 现基于双方通过某种“带外机制 s l ”( 非密码学的方法) 预先设定的只有通信双方 知道的、被称为“预共享密钥”的秘密，通常预共享密钥为字符串，存储在通信双 方的主机内。其实现简单，开销小，使用方便，用于校园网与小型企业内部网的用 户与服务器之间端到端的安全。预共享密钥认证有效地防止了中间人攻击，从而增 强了协议的安全性，使得协议的应用性进一步推广。 主模式协议中认证机制的引入有效地防止了“中间人”攻击，然而，带来的另 一个问题却是与i k e 协议要进行通信双方身份保护的设计初衷相冲突 9 j 。这个冲突 导致目前的i k e 协议主模式潜在许多关于身份保护的安全危机，尤其是在目前广泛 应用的预共享密钥认证中，这种危机更加严重。预共享密钥认证，一方面不能保护 通信双方的身份信息，另方面，只适合固定的p 地址的场合，不能满足日益增多 的远程访问以及无线通信的动态口地址需求【l 圳。 i k e 协议本身的复杂性，使得协议的实现困难重重。由此，i e t f 机构提出了新 的i k e 协议版本i k e v 2 及j f k ，在很大程度上简化了i k e 协议。i k e v 2 及j f k 协议 在保留i k e v l 协议优点的基础上，对协议进行了全面的优化和改进，使得协议具有 更好的性能、更好的安全性以及更低的系统耗费。i k e v 2 及j f k 协议具有的这些特 点，使得其逐渐成为新一代的密钥交换协议标准【1 1 1 。 i k e v 2 及j f k 虽然比i k e v l 有了很多改进，但是i k e v l 中存在的安全问题在 i k e v 2 、j f k 中并没有全部解决，而且i k e v 2 、j f k 本身也存在一定的缺陷，因而对 i k e 协议进行深入的研究和探讨，从而做出合理的改进并付诸实施具有重大现实意 义。 针对协议存在的问题，国内外专家学者做了很多的研究并提出了很多改进方案。 2 第一章绪论 1 2 国内外研究现状 1 2 1 国外研究现状 1 9 9 4 年，i a b ( i n t e r a c t 体系结构委员会) 在其提交的名为( ( i m e m e t 体系结构 安全的报告中，分析了当今i n t e r n e t 安全保护的必要性，对网络提供一些必要的 安全机制，如防止未经授权访问网络基础设施，对网络通信业务流量进行控制以及 使用加密和认证机制，确保终端用户通信的安全与真实可靠。1 9 9 5 年，i a b 下属机 构i e t f 公布了r f c l 8 2 5 系列的i p s e c 协议文档。1 9 9 8 年，i e t f 机构发布了以 r f c 2 4 0 1 为首的经过改进的i p s e c 标准文档，其中，i 玎c 2 4 0 9 为i k e 协议文档。 r f c 2 4 0 9 规定i k e 协议是i p s e c 协议默认的动态密钥协商协议，它详细地介绍了 旺协议的协商过程，规定了i k e 协议主模式的身份保护机制、特性以及不同的认 证机制。目前，i p s e c 协议架构基本成熟，由于它从根本上为毫无安全性可言的“礤 网络”提供了安全保障，所以逐渐成为各种i p 安全保护的首选安全协议。i p s e c 协 议提供的标准、健壮以及包容广泛的机制，得到了世界范围的支持与认可，从而相 应的出现了许多i p s e c 实现软件。 i k e 协议作为i p s e c 安全协议默认的密钥交换协议，对通信双方的共享密钥进 行协商，从而建立安全的通信信道，以保证通信网络的安全。由此，i k e 协议已经 成为了i p s e c 协议中不可缺少的组成部分，进而成为了整个i p s e c 实现的重点和基 础。 随着互联网技术的不断进步，对网络安全的威胁方式和网络攻击手段也不断复 杂化，因此，对i k e 协议进行安全性分析，并对协议进行改进，从而提高i k e 协议 的安全性并付诸实施就成为了国内外学者研究的重要方向。 迸几年，在国外，以c a t h e r i n em e a d o w s 为代表的许多网络安全界的资深学者 在i e e e 、i b ms y s t e m sj o u m a l 等著名杂志上发表了很多关于i k e 协议安全性分析的 文章。1 9 9 9 年，c a t h e r i n em e a d o w s 在i e e e 上发表文献 9 】阐述了美国n a v a lr e s e a r c h 实验室利用n r l 协议分析仪对i k e 协议的全面分析所得到的结果，尤其对i k e 协 议主模式的认证机制进行了全面的评估，并指出在基于预共享密钥认证的i k e 协议 第一章绪论 主模式协商中双方的身份信息只能以i p 地址标识；首次提出了“p e n u l t i m a t e a u t h e n t i c a t i o n ”的概念，用于确保通信双方接收与发送信息的一致性及完整性的认 证。然而，由于存在中间人攻击问题，i k e 主模式协商中多数的认证方式都不能满 足此认证的需求。2 0 0 0 年，s u nm i c r o s y s t e m sl a b o r a t o r y 的r a d i ap e r l m a n 等发表了 文献 1 2 】，提出了i k e 协议主模式中更应该保护发起方的身份信息的观点，这正好 印证了基于数字签名认证机制中存在的不能保护发起方身份信息，从而需要做出改 进的观点。同年，z h o uj 发表文献【1 3 】，从理论上对i k e 协议做出了进一步的分析， 它认为基于数字签名认证的i k e 协议主模式的身份保护缺陷不可避免，而提出基于 预共享密钥认证的i k e 主模式中，在认证之前引入发起方的身份散列载荷，即在i k e 协议的第三条消息中传送身份信息的散列值h a s hi d ，通信双方可以基于身份信 息来选择p s k ，从而可以解决动态i p 地址用户对基于预共享密钥( p s k ) 的i k e 协议的应用问题，同时解决了匿名用户对预共享密钥( p s k ) 的应用问题。虽然由 于单项散列函数的单向性，传送h a s hi d 不会暴露通信双方的身份信息又满足了 动态p 地址用户的需要，但这种改进带来了另一种安全缺陷，即身份保护的脆弱性， 由于通信双方的信息是固定的，不可能长期保密，攻击者一旦获得了身份信息，就 可以通过散列运算计算出h a s hi d 的散列表，与截获的h a s hi d 相比较获得用 户的真实身份，发起对用户的身份攻击。为改进这一缺陷作者又在计算h a s hi d 的过程中引入了时间变量，通信双方可以设置固定的时间间隔定期更新双方存储的 h a s hi d ，然而这又会造成通信双方过度的资源浪费及计算负担。2 0 0 1 年，r a d i a p e r l m a n 等发表文献【1 4 】，对i k e 协议的主模式认证机制的缺陷提出了新的改进方 案，但是新的方案又带来了新的安全问题。 i k e v l 协议保证了安全关联建立过程的安全性和动态性，但它是一个混合型协 议，自身的复杂性不可避免地带来了一些安全性及性能上的缺陷，实现起来极其复 杂，同时它又是一个使用非常频繁的流程。事实证明，i k e v l 的实现已经成为整个 i p s e c 系统的瓶颈【1 5 】，因此优化i k e v l 是i p s e c 实施方案中业乔关注的焦点。i e t f 针对这些不合理的部分积极地征集修改意见，于2 0 0 2 年2 月开始组织i k e v 2 的起 草工作【1 6 】 1 7 1 ，于2 0 0 3 年推出了i k e v 2 的最初版本。针对最初版本存在的缺陷，2 0 0 3 年h a r k i n sd 和k a u f m a nc 给出了优化和改进方案。2 0 0 4 年3 月，推出了第1 3 号 4 第一章绪论 草案【1 8 】，相继2 0 0 4 年5 月推出了i k e v 2 协议的第1 4 号草案1 1 9 1 。这样，i k e v 2 正式 版本将于不久推出。i k e v 2 在沿用原有协议的共享策略协商方法的基础上，对i k e v l 进行了全面的优化和改进。为了使得协议有更好的应用性，以解决i k e 协议存在的 问题，2 0 0 2 年，w i l l i a ma i e l l o 和s t e v e nmb e l l o v i n 组织了j f k 协议的起草工作【2 0 1 。 随着越来越多专家的深入研究，j f k 协议已趋于成熟，慢慢成为了新一代i k e 协议 的标准。 1 2 2 国内研究现状 近年来，国内也有很多专家学者对密钥交换协议，包括i k e v l 、i k e v 2 以及j f k 协议的安全性、协议的改进以及简化等问题进行研究和探讨，如文献 2 1 1 对i k e 协 议的交换过程进行了安全性分析，提出了缺陷所在，并给出了改进建议。文献 2 2 1 重点分析了江协议的密钥产生、身份认证、h a s h 认证等过程的安全性问题，提出 了提高i k e 协议的安全性方法，针对身份认证存在的安全缺陷给出了改进意见。文 献【2 3 】分析了中间人攻击、重放攻击以及拒绝服务攻击的原理，结合i k e 的工作过 程，分析i k e 遭受三种攻击的方式和可能性，提出用“连锁协议”在i k e 中防止中 间人攻击，通过“消息i d ”防止重放攻击并研究了用来防止拒绝服务攻击的c o o k i e 生成问题。文献 2 4 】分析了i k es a 和i p s e cs a 的协商过程，讨论了i k es a 建立 过程中认证环节的安全缺陷和改进方法。文献 2 5 】在分析i k e 协议工作原理的基础 上，对拒绝服务攻击和中间人攻击进行了进一步的探讨。文献 2 6 】深入研究了中间 人攻击的实现原理，结合i k e 协议中数字签名认证、公钥加密认证以及预共享密钥 认证论述了在协议中如何利用身份认证技术抵抗中间人攻击。文献1 2 7 1 1 2 8 提出：为 解决远程访问存在的问题，一个显而易见的方法就是在远程访问的情况下，使用一 种建立在公共密钥签名基础上的认证方法，而非使用预共享密钥。假如预共享密钥 是必须使用的，那么在进行第一阶段交换时采用积极模式，因为它不存在这种限制。 解决不适合动态口地址场合的问题，基于预共享密钥的积极模式克服了这一缺陷， 然而却以牺牲协商能力及通信双方的身份信息为代价。文献【2 9 】分析了密钥交换协 议i k e v l 主模式交换中的预共享密钥认证方法，针对协议的不足提出了改进算法。 第一章绪论 文献 1 0 】，针对预共享密钥认证的主模式协议存在的安全缺陷进行了改进。提出响 应方既不需要通过i p 地址也不需要通过域名或者e m a i l 地址来选择相应的预共享密 钥，使得既满足了动态i p 地址用户的需求，又保护了用户的真实身份。因为预共享 密钥不具备身份信息，并且由于散列函数的单向性，从而选择预共享密钥的散列值 来代表用户的标识。但是这一改进又带来了新的缺陷。文献 3 0 】介绍了新版密钥交 换协议草案i k e v 2 ，对i k e v 2 密钥协商机制的安全性做了详细分析，提出了安全问 题并给出了改进建议和解决办法。文献【3 1 】分析i k e v 2 协议，针对协议存在的安全 隐患提出了改进措施。文献【1 5 】结合i k e v 2 所做的改进工作，提出了i k e v 2 协议的 实现方案。文献【3 2 】对j f k 协议作了安全性分析。文献【3 3 】对j f k 协议进行了详细 的分析，提出了j f k 协议的自身缺陷，通过增加循环d h 队列，改变消息的内容和 改进消息处理方式的方法对j f k 协议进行了改进。2 0 0 5 年，中国电子科技集团成都 研究所针对i k e v l 、i k e v 2 及j f k 协议给出了分析，并就协议的优劣作了比较j 。 1 3 主要研究工作 本论文以“i p s e c 中密钥交换协议的分析改进及其实现”为研究课题，在已有 的相关研究成果的基础上，本文主要完成以下研究工作： l 、系统地阐述了i p s e c 协议，对其主要模块的相互关系及其实现过程进行了 深入的研究。对i k e v l 协议密钥交换阶段、载荷生成机制、交换模式、协商机制及 交换过程进行分析。 2 、通过对协议机制的分析，指出i k e v l 的缺陷及可能导致的安全问题。深入 分析了i k e v l 协议的身份认证机制及原理，并深入研究了基于预共享密钥认证的 i k e v l 协议存在的局限性的根本原因，就基于预共享密钥认证的i k e v l 协议存在的 不能应用于动态口场合、远程访问以及不能保护通信双方身份信息的缺陷，提出了 改进方案，并进行了可行性及安全性论证。 3 、深入分析了i k e v 2 、j f k 协议的结构、原理及安全性，针对i k e v 2 对i k e v l 做出的改进进行研究，指出了i k e v 2 协议的安全性问题，给出了改进建议。针对 6 第一章绪论 i k e v 2 协议协商过程中预共享密钥认证算法存在的安全缺陷，提出了改进算法并给 出了可行性及安全性论证。 4 、深入分析了i k e v l 协议的软件实现工程f r e e s w a n 及r a c o o n 的原理。拟定 了i k e v l 协议实现的软件模块设计方案。 5 、学习l i n u x 系统，利用l i n u x 平台，用c 语言编程模拟实现了基于预共享密 钥认证的i k e v l 主模式协议的改进方案，并就i k e v 2 协议改进方案的实施进行探索 及展望。 1 4 论文章节安排 本文共分为六章： 第一章主要讨论了课题的研究背景及意义，阐述了国内外研究现状，并就课题 的主要研究工作进行了说明。 第二章首先介绍了i p s e c 协议的结构及工作原理；接着介绍了i k e v l 协议的交 换模式、消息载荷机制、密钥生成机制以及协商机制；然后介绍了i k e v 2 协议的交 换机制，消息载荷生成机制以及密钥生成机制，并分析了i k e v 2 针对i k e v l 存在的 问题做出的改进；最后阐述了j f k 协议的结构和原理。 第三章首先对i k e v l 协议存在的安全缺陷包括拒绝服务攻击、中间人攻击以及 身份保护缺陷进行了分析；然后进一步分析了i k e v 2 协议存在的关于基于分片的 d o s 攻击、退化消息攻击以及协商过程中预共享密钥认证算法存在的缺陷等安全问 题；最后分析了j f k 协议存在的安全缺陷。 第四章首先针对基于预共享密钥认证的i k e v l 主模式协议存在的身份保护缺 陷，结合已有的解决方法，提出了进一步的改进方案，并进行了可行性及安全性论 证：然后针对i k e v 2 协议协商过程中预共享密钥认证算法存在的缺陷，结合已有的 改进算法，提出了自己的关于算法的改进方案，并进行了可行性及安全性论证。， 第五章首先给出了i k e v l 协议的软件模块设计，分析了i k e v l 协议的软件实现 工程f r e e s w a n 及r a c o o n 的工作原理；然后针对基于预共享密钥认证的i k e v l 主模 式协议改进方案给出了实现方案的设计，并搭建试验平台，通过试验模拟实现了基 第一章绪论 于预共享密钥认证的i k e v l 主模式协议改进方案，就实验结论进行了安全性测试。 第六章对课题进行了工作总结，并结合已有成果和未完成工作给出了研究展望。 第二章协议介绍 2 1lp s e c 协议簇 2 1 1ip s e c 概述 第二章协议介绍 i p s e c 1 】【4 0 】( i ps e c u r i t y ) 协议是i e t f ( i 天i 特网工程任务组) 为了在口层提供 安全通信而制定的一套协议簇，是网络安全标准。它在口层上对数据包进行高 强度的安全处理，从而有效地保护i p 数据包的安全。具体的保护形式有：数据 源验证、无连接数据完整性验证、数据内容的机密性、抗重播保护和有限的业务 ( 数据) 流机密性保护。i p s e c 协议包括安全协议和密钥协商两个部分。安全协 议定义了对通信的安全保护机制；密钥协商定义了如何为安全协议协商保护参 数，以及如何对通信实体的身份进行鉴别。 i p s e c 安全协议定义了安全封装载荷e s p 【3 5 ( e n c a p s u l a t i o ns e c u r i t yp a y l o a d ) 和认证头a h 3 6 ( a u t h e n t i c a t i o nh e a d e r ) 两种通信保护机制。e s p 和a h 是实施 i p s e c 的两种具体的协议交换，以实现通信的认证和加密。其中a h 机制为通信 提供完整性保护；e s p 机制在a h 机制的基础上为通信加密，保护了通信数据的 机密性。i p s e c 密钥协商使用i k e ( i n t e m e tk e ye x c h a n g e ) 协议实现安全协议的自 动安全参数协商并负责对这些安全参数进行更新。 i p s e c 协议在t c p 厂i p 协议层中的位置【37 j 如图2 1 所示。 图2 1 中，虚线框标示了i p s e c 协议的组成及其在t c p i p 协议层的位置， 显然，a h 和e s p 属于网络层协议，i k e 属于应用层协议。 9 薜= 章协议介日 211 1 安全体系结构 图2 1i p s e c 在t c p i p 中的位置 i p s e c 安全体系结构“是所有具体实施方案的基础。定义了i p s e c 提供的 安全服务，它们如何使用以及在哪里使用，数据包如何构建与处理以及i p s e c 处理与安全策略之间如何协调等。图2 , 2 简述了口s e c 安全体系结构各部分的组 成及相互之间的关系。 翻2 2i p s e c 安全体系结构 图22 中相关项说明如下： 1i p s e c 安全体系：包含相关概念、安全需求及对i p s e c 的技术机制的定 重 第二章协议介绍 义； 2 安全封装载荷：覆盖了数据包加密( 可选身份验证) 及与e s p 使用相关的 数据包格式和常规问题： 3 认证头部：包括数据包格式和使用a h 认证包的相关规定； 4 加密算法：描述各种加密算法如何应用于e s p ，如d e s c b c ， 3 d e s c b c t 3 9 】： 5 认证算法：描述各种身份认证算法如何应用于a h 和e s p ； 6 解释域：定义了如何对通信数据进行变换，以确保其安全，包括加密算 法、认证算法、密钥大小以及各种算法专用信息； 7 密钥管理：密钥管理的一组方案，其中i k e 协议是默认的动态密钥交换 协议； 8 策略：尚未成为协议标准组件，它决定两个通信实体之间能否通信以及 如何通信。策略的核心由三部分组成，即s a 、s a d 和s p d 。 2 1 1 2 安全关联 安全关联s a 4 0 】【4 1 1 ( s e c u r i t ya s s o c i a t i o n s ) 是构成i p s e c 协议的基础，它是两 个通信实体经协商建立起来的一种协定。i p s e c 保护一个包之前，必须先建 立一个安全关联( s a ) 。s a 包括加密机制、散列机制、认证机制、d 。h 组、密钥 资源以及i k es a 协商的时间限制等，安全关联可以手工或动态建立。安全关联 是发送方与响应方之间的单向关系，从而对其承载的流量提供安全服务。若需要 一个对等关系，即双向安全交换，就需要建立两个安全关联