Internet密鑰交換協(xié)議

IKE協(xié)議(因特網(wǎng)密鑰交換協(xié)議)因特網(wǎng)密鑰交換協(xié)議〔IKE〕是一份符合因特網(wǎng)協(xié)議安全〔IPSec〕標(biāo)準(zhǔn)的協(xié)議。它常用來確保虛擬專用網(wǎng)絡(luò)VPN〔virtualprivatenetwork〕與遠(yuǎn)端網(wǎng)絡(luò)或者宿主機進(jìn)展溝通時的安全。對于兩個或更多實體間的溝通來說，安全協(xié)會〔SA〕扮演者安全警察的作用。每個實體都通過一個密鑰表征自己的身份。因特網(wǎng)密鑰交換協(xié)議〔IKE〕保證安全協(xié)會〔SA〕內(nèi)的溝通是安全的。 因特網(wǎng)密鑰交換協(xié)議〔IKE〕是結(jié)合了兩個早期的安全協(xié)議而生成的綜合性協(xié)議。它們是：Oakley協(xié)議和SKEME協(xié)議。因特網(wǎng)密鑰交換協(xié)議〔IKE〕是基ISAKMP〔InternetSecurityAssociationandKeytProtoco中P包含獨特的密鑰交換和鑒定局部。Oakley協(xié)議中指定了密鑰交換的挨次，并清楚地描述了SKEME協(xié)議說明白密鑰交換的具體方法。盡管沒有要求因特網(wǎng)密鑰交換協(xié)議〔IKE〕符合因特網(wǎng)協(xié)議安全〔IPSec〕的內(nèi)容，但是因特〔IKE〕〔請參考否則重發(fā)協(xié)議、CA〔CertificationAuthority〕支持系統(tǒng)和轉(zhuǎn)變密碼生成方法等內(nèi)容均得益于因特網(wǎng)協(xié)議安全〔IPSec〕。Intenet密鑰交換協(xié)議(IKE)VPN中使用的加密密鑰的.到目前為止,它照舊存在安全缺陷.基于該協(xié)議的重要的現(xiàn)實意義,簡潔地介紹了它的工作機制,并對它進(jìn)展了安全性分析;DoS攻擊,給出了相應(yīng)的修正方法;還對主模式下預(yù)共享密鑰驗證方法提出了的建議;最終給出了它的兩個進(jìn)展趨勢:JFKIKEv2.Internet密鑰交換〔IKE〕解決了在擔(dān)憂全的網(wǎng)絡(luò)環(huán)境〔Internet〕中安全地建立或更共享密鑰的問題。IKEIPsec協(xié)商安全關(guān)聯(lián)，而且可以為SNMPv3、RIPv2、OSPFv2等任何要求保密的協(xié)議協(xié)商安全參數(shù)。IKE的作用SA；當(dāng)應(yīng)用環(huán)境規(guī)模較大、參與的節(jié)點位置不固定時，IKESA，并對安全關(guān)聯(lián)庫〔SAD〕IKEIKEInternet〔ISAKMP〕OAKLEYSKEMEIKEISAKMPOAKLEYSKEME的共享和密鑰更技術(shù)，還定義了它自己的兩種密鑰交換方式。IKE使用了兩個階段的ISAKMP：〔IKESA〕IKEIKESA建立IPsecSA〔1所示〕。IKE51有兩種模式的交換：對身份進(jìn)展保護(hù)的“主模式”交換以及ISAKMP文檔制訂的“野蠻模式”2交換使用“快速模式”IKE自己定義了兩種交換：1為通信各方間協(xié)商一個的DiffieHellman組類型的“組模式”交換；2IKE通信雙方間傳送錯誤及狀態(tài)消息的ISAKMP信息交換。1．主模式交換主商交換、DiffieHellman共享值、nonce交換以及身份驗證交換〔如圖2所示〕。2交換DiffieHellman公開值必需的關(guān)心數(shù)據(jù)以及身份信息；其次條消息認(rèn)證響應(yīng)方；第三條消息認(rèn)證發(fā)起方，并為發(fā)起方供給在場的證據(jù)〔如圖3所示〕。IPsecSAIPsecSAIPsec使用的密鑰；其次條消息還為響應(yīng)方供給在場的證據(jù)；第三條消息為發(fā)起方供給在場的證據(jù)〔如圖4所示〕。組模式交換通信雙方通過組模式交換協(xié)商的Diffie－Hellman換屬于一種懇求/響應(yīng)交換。發(fā)送方發(fā)送提議的組的標(biāo)識符及其特征，假設(shè)響應(yīng)方能夠接收提議，就用完全一樣的消息應(yīng)答〔如圖5所示〕。ISAKMP信息交換IKE通信的雙方均能向?qū)Ψ桨l(fā)送錯誤及狀態(tài)提示消息。這實際上并非真正意義上的交換，而只是發(fā)送單獨一條消息，不需要確認(rèn)〔如圖6所示〕。IKE1IKEDiffieHellman組中的加密算法。IKE共DiffieHellman〔7681024、1680位〕，另兩個組使用橢圓曲線算法〔字段長度分別是155、185位〕。因此，IKE的加密算法強度高，密鑰長度大。2．完整性保護(hù)及身份驗證1、2交換中，IKE通〔包含散列值或數(shù)字簽名驗證。IKE列舉了四種驗證方法：1預(yù)共享密鑰；2數(shù)字簽名；3公鑰加密；4改進(jìn)的公鑰加密。3．抵抗拒絕效勞攻擊對任何交換來說，第一步都是cookie交換。每個通信實體都cookie，cookiecookieDiffieHellman交換所需的乘冪運算，則可以有效地抵抗某些拒絕效勞攻擊，如簡潔使用偽造IP源地址進(jìn)展的溢出攻擊。4．防止中間人攻擊中間人攻擊包括竊聽、插入、刪除、修改消息，反射消息回到發(fā)送ISAKMP5．完善向前保密完善向前保密〔PFS〕，指即使攻擊者破解了一個密鑰，也只能復(fù)原這個密鑰加密的數(shù)據(jù)，而不能復(fù)原其他的加密數(shù)據(jù)。要到達(dá)抱負(fù)的PFS，一個密鑰只能用于一種用途，生成一個“PFS”。PFSIKESAIPsecSA。四、IKEIKE是一個用戶級的進(jìn)程。啟動后，作為后臺守護(hù)進(jìn)程運行。在需要IKE效勞前，它始終處于不活動狀態(tài)。可以通過兩種方式懇求IKE效勞：1當(dāng)內(nèi)核的SA時，內(nèi)核觸發(fā)IKE。2IKESA時，可觸發(fā)IKE1．IKE與內(nèi)核的接口IKESAIKE同內(nèi)核間的接口有：1SPDIKESPD的策略信息后，把它提交IKE對等實體；當(dāng)IKEIKE對等實體的提議后，為進(jìn)展本地策略校驗，必需SPD。2SAD通信的雙向接口。IKESADSAD發(fā)送消息〔SPISA實例〕，也要接收從