ipsec中密鑰交換協(xié)議的 研究與實(shí)現(xiàn)_第1頁
ipsec中密鑰交換協(xié)議的 研究與實(shí)現(xiàn)_第2頁
ipsec中密鑰交換協(xié)議的 研究與實(shí)現(xiàn)_第3頁
ipsec中密鑰交換協(xié)議的 研究與實(shí)現(xiàn)_第4頁
ipsec中密鑰交換協(xié)議的 研究與實(shí)現(xiàn)_第5頁
已閱讀5頁,還剩16頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、IPSEC中密鑰交換協(xié)議的 研究與實(shí)現(xiàn),許晶,研究背景和意義,作為IPSEC VPN的重要技術(shù)之一的IKE協(xié)議 對IPSEC VPN的安全性有著非常重要的作用。但 IKE協(xié)議包含了太多的可選項(xiàng)和靈活性,系統(tǒng)過于 復(fù)雜??梢哉f,安全最大的敵人是復(fù)雜性,系統(tǒng) 越復(fù)雜,存在的安全漏洞就可能越多,安全評估 就越困難。,IPSEC協(xié)議體系結(jié)構(gòu),IKE協(xié)議的組成,ISAKMP協(xié)議:它是一種密鑰交換框架,獨(dú)立 于具體的密鑰交換協(xié)議。它定義了消息交換的 體系結(jié)構(gòu)。 OAKLEY協(xié)議:提出了基于模式的機(jī)制在兩個(gè) IPSEC對等體之間達(dá)成相同加密密鑰。 SKEME協(xié)議:描述了一種通用的密鑰交換技 術(shù)。這種技術(shù)提供

2、了基于公鑰的身份認(rèn)證和快 速密鑰刷新。,IKE交換模式,IKE定義了4種可能的交換模式:主模式、野蠻模 式、快速模式和新群模式。前兩個(gè)模式協(xié)商SA,用于 第1階段的交換;后兩個(gè)用于第2階段的交換過程。無 論是主模式還是野蠻模式都包含4種認(rèn)證方式: 預(yù)共享密鑰認(rèn)證(Pre_shared Key); 公鑰加密認(rèn)證(Public Encryption); 改進(jìn)的公鑰加密認(rèn)證(Revised Public Encryption); 數(shù)字簽名認(rèn)證(Public Signature)。,對DOS攻擊的分析與改進(jìn),CKY_I= MD5 (secret_i,源IP目的IP源UDP 端口號目的UDP端口號時(shí)間i

3、) CKY_I= SHA(secret_i,源IP目的IP源UDP 端口號目的UDP端口號時(shí)間i),對DOS攻擊的分析與改進(jìn),CKY_R= MD5 (secret_r,源IP目的IP源UDP端口號 目的UDP端口號時(shí)間r CKY_I) CKY_R= MD5 (secret_r,源IP目的IP 時(shí)間r CKY_I),IKE模塊的總體框架,系統(tǒng)管理模塊,系統(tǒng)管理模塊負(fù)責(zé)整個(gè)系統(tǒng)的運(yùn)行環(huán) 境和監(jiān)控。它為用戶顯示系統(tǒng)的運(yùn)行狀態(tài)、 提供狀態(tài)設(shè)置服務(wù),為IKE守護(hù)進(jìn)程提供 運(yùn)行需要的參數(shù)。,消息服務(wù)器模塊框架,管理消息處理子模塊,內(nèi)核消息處理子模塊,Device Control ( ); # define

4、 WAIT_SA_NEGOTIATION_REQUEST # define SA_NEGOTIATION_REQUUEST # define STOP_IKE_LISTEN_THREAD # define SA_DOWNLOAD_FOR_SPDENTRY,網(wǎng)絡(luò)消息處理子模塊,網(wǎng)絡(luò)消息處理模塊負(fù)責(zé)與協(xié)商的對方進(jìn)行協(xié)商 信息的交換,它既充當(dāng)服務(wù)器又充當(dāng)客戶端角色。 當(dāng)監(jiān)聽UDP / 500端口時(shí)它是服務(wù)器,作為協(xié)商的 響應(yīng)者。當(dāng)它發(fā)出協(xié)商請求時(shí),它作為協(xié)商的發(fā)起 者充當(dāng)客戶端。監(jiān)聽和發(fā)送都使用UDP/500端口。,時(shí)鐘事件處理子模塊,IKE驗(yàn)證模塊,根據(jù)IKE協(xié)議的RFC文檔,每種模式的協(xié)商過 程

5、都有固定的消息條數(shù)且每條消息的內(nèi)容都作明確 的規(guī)定。有差別的就是在不同的認(rèn)證方式下,載荷 的加密/解密方式有所不同。這樣按照協(xié)商過程中接 收到的消息來劃分協(xié)商狀態(tài),每種狀態(tài)都有對應(yīng)的 狀態(tài)遷移函數(shù)。當(dāng)協(xié)商過程中下一條消息到來,就 調(diào)用此時(shí)狀態(tài)所對應(yīng)的遷移函數(shù)進(jìn)行分析處理,驗(yàn) 證通過就躍遷到下一個(gè)狀態(tài)。,IKE狀態(tài)庫,IKE在協(xié)商時(shí)必須要構(gòu)建一個(gè)協(xié)商隧道, 而且在協(xié)商期間還需要記錄每個(gè)SA的狀態(tài)、 協(xié)商的密鑰、算法等參數(shù)。所以在設(shè)計(jì)中采 用了兩個(gè)重要的數(shù)據(jù)結(jié)構(gòu)來表示協(xié)商遂道和 SA的狀態(tài),分別是connection和state。,IKE模塊的整體實(shí)現(xiàn)思路,主要函數(shù),啟動(dòng)模塊:main.cpp 監(jiān)

6、聽模塊:sever.cpp Whack命令控制模塊:whack.cpp 應(yīng)用層與內(nèi)核通信模塊:kernel.cpp,測試結(jié)果,initiating Main Mode STATE_MAIN_I1:initiate STATE_MAIN_I2:sent MI2,expecting MR2 STATE_MAIN_I3:sent MI3,expecting MR3 STATE_MAIN_I4:ISAKMP SA established initiating Quick Mode PSK+ENCRYPT+TUNNEL STATE_QUICK_I1:initiate TEST Quick_Int1 is succeed STATE_QUICK_I2:sent QI2, IPSEC SA established,結(jié)論,本文對IKE的安全性進(jìn)行了分析,重點(diǎn)闡述了 IKE模塊的設(shè)計(jì)和實(shí)現(xiàn)。該系統(tǒng)能夠?yàn)镮PSEC動(dòng)態(tài) 協(xié)商SA,且可以更新維護(hù)。改進(jìn)后的協(xié)議相對于 原來的IKE協(xié)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論