IPSEC中密钥交换协议的分析改进及其实现

摘要

IPSEC协议是IETF组织为在IP层提供安全通信而制定的网络安全标准，能为IP及其上层协议提供安全保证。IKE协议是IPSEC安全协议默认的密钥交换协议，负责动态协商和管理SA。IKE协议的安全性决定了通信双方协商的共享密钥的可靠性以及通信的安全性。然而到目前为止，无论是基础版本IKEv1还是改进版本IKEv2及JFK，都还存在着很多漏洞和安全问题。近年来，对IKE协议的分析和改进已成为网络安全领域的一个研究热点。本文主要针对基于预共享密钥认证的IKEv1主模式协议存在的安全缺陷以及IKEv2中预共享密钥认证算法存在的缺陷，结合诸多学者提出的改进方案，提出了进一步的改进方案，并搭建Linux实验平台对改进方案进行了模拟实现。 文中首先介绍了IPSEC协议的结构及原理，研究了密钥交换协议IKEv1、IKEv2及JFK的工作机制，重点介绍了基于预共享密钥认证的IKEv1主模式协议的认证和协商机制，并阐述了IKEv2针对IKEv1存在的问题做出的改进；接着分析了IKEv1、IKEv2及JFK协议存在的安全问题；然后提出了基于预共享密钥认证的IKEv1主模式协议的改进方案，拟定了IKEv2协议协商过程中预共享密钥认证的改进算法，并对提出的改进方案和改进算法进行了可行性及安全性论证；最后搭建实验平台，并在Linux系统下运用C语言结合Racoon开源码编程实现了基于预共享密钥认证的IKEv1主模式协议改进方案。 在协议的改进方面，(一)引入连锁协议并改善SKEYID的计算方法对基于预共享密钥认证的IKEv1主模式协议进行了改进，进一步增强了协议的安全性；(二)对IKEv2协议协商过程中预共享密钥算法进一步改进，首次提出了黑盒子和数字产生器的随机过程思想，增强了协议的安全性。在协议的实现方面，通过在实验室建立局域网进行实验，拓展了协议在局域网中的应用，进一步证实了改进的基于预共享密钥认证的IKEv1主模式协议在局域网中的安全性。

目录

文摘

英文文摘

论文说明：符号说明

声明

第一章绪论

1.1课题背景及其意义

1.2国内外研究现状

1.2.1国外研究现状

1.2.2国内研究现状

1.3主要研究工作

1.4论文章节安排

第二章协议介绍

2.1IPSEC协议簇

2.1.1IPSEC概述

2.1.2AH协议

2.1.3ESP协议

2.1.4IKE协议

2.2IKEv1

2.2.1交换模式

2.2.2消息载荷机制

2.2.3D-H密钥交换算法

2.2.4密钥生成机制

2.2.5第一阶段协商机制

2.2.6第二阶段协商机制

2.2.7IKEv1存在的问题

2.3IKEv2

2.3.1初始交换

2.3.2协商子SA交换

2.3.3信息交换

2.3.4IKEv2对IKEv1的改进

2.4JFK协议

2.4.1JFKi协议

2.4.2JFKr协议

2.5小结

第三章协议的安全性分析

3.1IKEv1

3.1.1拒绝服务攻击

3.1.2中间人攻击

3.1.3身份保护安全缺陷

3.2IKEv2及JFK

3.2.1IKEv2

3.2.2JFK

3.3小结

第四章IKE协议的改进

4.1基于预共享密钥认证的IKEv1主模式协议的改进

4.1.1改进方案的设计

4.1.2方案的可行性论证

4.1.3方案的安全性论证

4.2IKEv2协议协商中预共享密钥认证算法的改进

4.2.1改进方案设计

4.2.2改进方案的可行性论证

4.2.3方案的安全性论证

4.3小结

第五章协议的实现

5.1IKEv1协议的实现

5.1.1软件模块设计

5.1.2软件实现

5.1.3运行环境

5.2实验测试

5.2.1实现方案设计

5.2.2实验环境

5.2.3实验配置

5.2.4实验结论

5.2.5安全性测试

5.3小结

第六章总结与展望

6.1总结

6.2展望

参考文献

攻读学位期间发表的论文

附录

致谢