学文网摘要:IKE协议作为IPSec体系中动态密钥协商机制,极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者,对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议,然后重点分析了IKEv2具体协商过程,最后阐述了IKEv2的发展趋势。
关键词:IP安全(IPSec);Internet动态密钥交换(IKE);IKE第二版本(IKEv2);动态密钥协商
中***分类号:TP393文献标识码:A文章编号:1009-3044(2009)14-3657-02
Research and Analysis about the New Generation Dynamic Key Negotiation Protocol IKEv2
ZHOU Yao-peng1,2, LI Zhi-hua1
(1.Jiangnan University, School of Information Technology, Wuxi 214122, China; 2.Wuxi Professional College of Science and Technology, Wuxi 214028, China)
Abstract: As the dynamic key negotiation mechanism in the IPSec system,IKE improves the safety of the IPSec system greatly. Being a substitute,IKEv2 makes IKE be improved in many aspects.This paper introduces the IKE protocol in brief, and emphatically analyzes the concrete negotiation process of IKEv2,finally elaborates the IKEv2 trend of development.
Key words: IP Security(IPSec); Internet Key Exchange(IKE); version 2 of Internet Key Exchange(IKEv2); dynamic key negotiation
1 引言
目前网络安全的重要性日益突出,IKE协议作为IPSec体系的组成部分,极大地增强了网络通讯的安全性。但是IKE协议具有很多缺陷,为此新的IKEv2协议在IKE的基础之上进行了大量的改进,从而进一步增强IPSec体系的安全性,为上层网络的安全性提供了保障。
2 IKE简介
IKE协议属于整个IPSec体系结构中的动态密钥协商部分,它是多种动态密钥交换机制之一,也是目前事实上的工业标准。IKE协议主要用于进行虚拟专用网***的认证与SA会话密钥的协商。它可以动态地建立安全关联,为通信双方提供IPSec安全通信所需的相关信息,例如加密算法、会话密钥、通信双方身份认证等。
IKE机制协商的目的是产生一个通过验证的密钥和提供双方同意的安全服务,即最终提供IPSec 安全关联(IPSec SA),使进行通讯的IPSec ***之间能够建立安全的数据通讯隧道。IKE主要通过两个阶段的协商过程来建立IPSec安全关联(IPSec SA)。第一阶段建立ISAKMP SA,第二阶段利用第一阶段得到的ISAKMP SA进一步协商从而建立IPSec SA。
IKE是一种混合型协议,其复杂性一直受到业界广泛的批评。另外,IKE还存在很多问题。
3 IKEv2简介
为了解决原有IKE的诸多缺点,IKE的第二版本IKEv2主要对IKE进行了以下改进:1)克服了原先IKE协议分散在各个文档的缺点,例如原有的RFC2407(IPSec DOI)、RFC2408(ISAKMP)、RFC2409(IKE)以及随后补充的关于NAT穿透、扩展认证和获取远程访问地址等分散的文档。采用了统一的文档定义了IKEv2;2)IKEv2采用了4条消息交换取代了原有的9条消息,提高了协商效率;3)IKEv2删除了原有IKE协议中功能不强且难以理解、容易混淆的数据结构;4)修复了多处公认的安全缺陷和漏洞;5)定义了新的通讯量选择载荷,增加了协议灵活性。
IKEv2主要协商过程主要分为初始交换、协商子SA交换、信息交换三部分。
3.1 初始交换
IKEv2将初始阶段的IKE_SA_INIT和IKE_AUTH两个消息交换取代原有IKE第一阶段的3次消息交换。IKE_SA_INIT交换中的消息没有进行加密处理,它协商了IKE_SA中包含的各种安全参数,其中包括密码学相关算法,并且进行Nonce值以及Diffle-Hellman交换,最后建立IKE_SA。
IKE_SA_INIT交换过程如***1所示。第一条消息中的HDR表示IKEv2消息头,SAi1包含了发起者针对IKE_SA的提案建议,提案中包括加密算法、认证算法、DH组等内容。KEi包含了发起者的Diffle-Hellman公开值,Ni则表示发起者的Nonce值。由此可以看出,IKEv2将IKE第一阶段前两次交互过程精简为一次IKE_SA_INIT交换,从而提高了协商的效率。
协商响应者接收到发起者发送的消息后在SAi1中选择某种提案形成反馈提案SAr1,并且将KEr和Nr分别作为响应者的Diffle-Hellman公开值以及Nonce值反馈给发起者。在响应消息中,响应者还可以发送可选的证书请求载荷CERTREQ。
IKE_SA_INIT交换过程完成之后,协商双方可以计算种子密钥SKEYSEED以得到其他7个秘密:SK_d、SK_ai、SK_ar、SK_ei、SK_er、SK_pi和SK_pr。
1)SK_d是建立在该IKE_SA基础上的各个CHILD_SA派生新的密钥材料。
2)SK_ai和SK_ar分别应用于发起者和响应者方向的认证算法。
3)SK_ei和SK_er分别用于发起者和响应者方向后继消息的加密。
4)SK_pi和SK_pr分别用于发起者和响应者方向认证载荷的计算。
以上密钥材料的计算公式如下:
SKEYSEED = prf(Ni | Nr,gir)
SK_d = prf(SKEYSEED ,Ni | Nr | SPIi | SPIr | 0x01)
SK_ai = prf(SKEYSEED ,SK_d | Ni | Nr | SPIi | SPIr | 0x02)
SK_ar = prf(SKEYSEED ,SK_ai | Ni | Nr | SPIi | SPIr | 0x03)
SK_ei = prf(SKEYSEED ,SK_ar | Ni | Nr | SPIi | SPIr | 0x04)
SK_er = prf(SKEYSEED ,SK_ei | Ni | Nr | SPIi | SPIr | 0x05)
SK_pi = prf(SKEYSEED ,SK_er | Ni | Nr | SPIi | SPIr | 0x06)
SK_pr = prf(SKEYSEED ,SK_pi | Ni | Nr | SPIi | SPIr | 0x07)
其中prf表示伪随机函数,gir可由Diffle-Hellman交换得到,Ni和Nr分别表示发起者和响应者的Nonce值,SPIi和SPIr分别代表发起者和响应者的安全关联索引值。
IKE_SA_INIT交换过程最终协商得到IKE_SA。这个IKE_SA是一种安全关联,它包含了一些安全参数用于保护随后进行的IKE_AUTH交换过程。IKE_AUTH交换过程在协商过程中使用认证载荷对已经结束的IKE_SA_INIT交换过程进行认证,并且最终协商得到第一个CHILD_SA,即IPSec SA。如***2所示,IKE_AUTH交换过程中的2条消息是由IKEv2消息头HDR和一个加密载荷组成,在这个加密载荷中包含了身份载荷(ID)、可选的证书载荷(CERT)以及证书请求载荷(CERTREQ)、认证载荷(AUTH)、安全关联载荷(SA)、流量选择载荷(TS)等。SK{}表示被包含的载荷均被相应方向的SK_e和SK_a加密和认证保护。
3.2 协商子SA交换
初始交换结束之后,协商双方可以开始协商子SA交换过程,即CREATE_CHILD_SA交换阶段。CREATE_CHILD_SA交换过程对应原有IKE的第二阶段,它由初始阶段建立的安全关联保护,最终建立起CHILD_SA,即IPSec SA。
这一交换过程作为有额外的IPSec SA或完美向前保密(PFS)需求时的一种交换类型,可由任一协商方在初始交换完成之后发起。如***3所示,该交换过程包含了两条消息,第一条消息由协商发起方向协商对方发送SA提案或者建议,并且交换Nonce和流量选择符TSi和TSr。第二条消息是协商响应方对SA提案和流量选择符进行选择并且反馈,同时交换Nonce值,另外可以根据PFS的需要可选地进行Diffie-Hellman交换。
生成CHILD_SA的密钥材料的计算方法有以下两种情况:
1)如果交换过程中进行了Diffle-Hellman交换,则CHILD_SA的密钥材料计算方法如下:
KEYMAT = prf+(SK_d, gir(new) | Ni | Nr )
其中gir(new)是从临时Diffle-Hellman交换中获得的共享秘密。
2)如果交换过程中没有进行Diffle-Hellman交换,那么交换消息中不需要密钥载荷(KE),则CHILD_SA的密钥材料计算方法如下:
KEYMAT = prf+(SK_d, Ni|Nr)
其中prf+含义如下:
prf+(K,S) = T1|T2|T3|T4|...
T1 = prf(K, S|0x01)
T2 = prf(K, T1|S|0x02)
T3 = prf(K, T2|S|0x03)
T4 = prf(K, T3|S|0x04)
一次CHILD_SA协商可以得到多个安全关联,而ESP和AH安全关联是成对出现的,而且每个方向都有一个,所以一次CHILD_SA协商可以得到4个安全关联,即进入ESP SA、进入AH SA、外出ESP SA、外出AH SA。
3.3 信息交换
在IKEv2交换过程中,经常需要在协商双方之间交换一些控制消息,例如发送一些错误或者通知事件的信息。为此,在IKEv2中专门定义了消息交换来满足这种需求。这种交换过程一定要在IKE_SA_INIT消息交换结束后进行,交换过程同样受到前面协商得到的安全关联的保护。如***4所示,信息交换消息中可以包含零个或者多个通知载荷、删除载荷和配置载荷。协商双方可以在消息中携带可选的通知载荷(N)、删除载荷(D)、配置载荷(CP)等携带控制信息的载荷数据达到交换控制消息的目的。消息的接收者在收到消息之后必须给发送者发送反馈消息,否则发送者将认为消息丢失而将消息再次发送。在消息交换中,请求消息和反馈消息可以不包含任何载荷,这样可以确认对方是否当前是否活动。
4 结束语
本文首先简单介绍了IKE协议,针对IKE的各种缺陷详细阐述了IKEv2的三个主要协商交换过程。目前,针对IKEv2的各种扩展方案正在陆续提出,例如针对移动地址的IKEv2协商等等。我们有理由相信,在不久的将来IKEv2将应用于越来越多的场合。
参考文献:
[1] Microsoft,C. Kaufman, Ed. RFC4306 Internet Key Exchange(IKEv2) Protocol[S],2005
[2] 陈卓,张正文.Internet密钥交换协议IKEv2研究[J].计算机应用与软件,2008,25(2):269-270.
[3] 韩旭东,汤隽,郭玉东.新一代IPSec密钥交换规范IKEv2的研究[J].计算机工程与设计,2007,28(11):2549-2552.
[4] 杜春燕,周晓东,陆建德.一种基于IKEv2的IPsec远程访问实现方案[J].电脑与电信,2007(9):4-6.
[5] 武涛,郑雪蜂,姚宣霞,等.基于预共享密钥认证的IKE协议分析与改进[J].计算机工程,2008,34(8):147-149.
[6] 陈卓,张正文.Internet密钥交换协议IKEv2研究[J].计算机应用与软件,2008,25(2):269-270.
转载请注明出处学文网 » 新一代动态密钥协商协议IKEv2的研究与分析