IKE的CGA擴展及其內核實現(xiàn).pdf

1、IPSec是IP協(xié)議的一個擴展，它為IP及其上層協(xié)議提供安全保證。目前IPSec已經成為構建VPN(VirtualPrivateNetwork，虛擬專用網)的國際標準之一，而IKE(InternetKeyExchange，互聯(lián)網密鑰交換協(xié)議)作為IPSec協(xié)議的首選密鑰交換協(xié)議主要負責SA的動態(tài)協(xié)商和管理。目前IKE協(xié)議的版本是IKEv2，在IKEv2協(xié)議中使用數(shù)字簽名和預共享密鑰對通信雙方進行身份認證，這使得IPSec的部署需要PKI

2、(PublicKeyInfrastructure，公共基礎設施_)或者進行預先安排。否則，網絡中兩個彼此陌生的主機不能直接使用IPSec進行通信。這一要求嚴重限制了IPSec的廣泛應用。CGA(CryptographicallyGeneratedAddresses，加密生成地址)協(xié)議是IETF針對IPv6鄰居發(fā)現(xiàn)協(xié)議中的偽造IP地址攻擊提出的，它能夠解決由偽造口地址導致的鄰居發(fā)現(xiàn)協(xié)議的安全威脅。CGA可以完成基于IP地址的身份認證，從而

3、解決一些由缺乏可信任的安全體系帶來的安全問題。 本文的研究目標是：通過將CGA應用到IPSec體系中，來解決在沒有完善的PKI或進行預安排的環(huán)境下如何部署IPSec的問題，從而給IKEv2和IPSec的應用帶來更多的靈活性。本文所做工作如下： 1.介紹了IPSec和IKE的基本原理，重點對IKEv2協(xié)議的消息交換過程進行詳細分析。然后對CGA協(xié)議進行介紹，分析了CGA協(xié)議的優(yōu)點、缺陷和可能應用。 2.提出了一種基

4、于CGA認證的IKE擴展方案。并通過實現(xiàn)CGA協(xié)議為內核模塊，在strongSwan開源代碼中添加IKE和CGA模塊通信相關代碼，最終實現(xiàn)該方案。經過測試證明該方案可以成功添加SA。 3.提出了IPv6的CGA擴展頭機制，用以完成數(shù)據(jù)包的源認證和通信雙方身份認證、抵御中間人攻擊和一定程度的DoS攻擊。 4.在IPv6的CGA擴展頭的基礎上提出了IKE_CGA方案，該方案是CGA擴展頭的一種應用，它可以替代IKE來完成IP