Internet密钥交换协议及安全性分析.docVIP

Internet密钥交换协议及安全性分析 密钥交换协议 及安全性分析 解放军信息工程大学信息安全学院王惠芳郭中黄永忠郭金庚 摘要lnternet密钥交换协议IKE是一个相当复杂的协议,它包含许多子协议,但IKE醴计的相当好本文以 分析一十倒子作为了解IKE的主线,井对IKE的安全性进行r分析 美键词lnternet密钥蹙换协议,安垒关联,服务拒绝 对ISAKMP的安全关联进行管理(注解1),以及通 信双方协商新的群(注解2)但必须在阶段1之后, 才能进行. 注解l:对ISAKMP的安生关联进行管理主要 是幕用发进ISAKMP信息的方式,如通知对方某个 碍AKMP的安垒关联已无效. 挂解2:IKE协议定义了四十群,分别如下: defauh768-bitMODPgroup1 alternate1024-bitMODPgroup2 EC2NgroupOnGP【2155]3 EC2NgroupOnGP[2185]4 IKE协议允许通信双方在阶段1后,可以协商 新的群. 阶段1建立起ISAKMP的安全关联后,通信双 方的任意一方都可以发起快速模式,或发送 ISAKMP信息,或协商新的群.但安全关联的标记 不变,即阶段1发起者的小甜饼(cookie)后接响应 者的cookie. 阶段l建立的ISAKMP的安全关联可以支持多 次阶段2的协商,当然一次阶段2的协商也可以有 多个安全关联.正因为这样,IKE协议的一次实施 可以采用最优化的方法来减少来回交互的次数(不 同的认证机制,提供的保护不同,通信双方交互的 次数也不同). 2.2协议实现的过程 下面我们给出完成以下目的的IKE协议的一次 完整执行.首先,通信双方建立一个安全,认证的 通道;接着,协商Ipsec的安全关联和为Ipsec生成 密钥材料.但为了简化,我们只给出阶段l为采用 签名认证的主模式,阶段2为快速模式的协议过程. 22.1阶段1:采用签名认证的主模式 (1)发起者:HDR,SA HDR是ISAKMP的头,SA是ISAKMP的SA载 荷,里面含有发起者支持的多种提案,每种提案中 又有多个保护套件.即加密算法,签名算法,散列 算法等组台.优先选用的保护套件排在前面.(注: 有关ISAKMP的信息格式,在第三部分介绍) (2)响应者:HDR,SA 这里的SA内容是从发起者的SA中挑选出来 的,即由从每种提案中挑选一种保护套件所组成. (3)发起者:HDR,KE,Ni KE为密钥载荷,含有发起者的DH公开密钥 妇,Ni为随机数载荷,含有发起者的随机数. ot~atSoeurilyTeohnoJogd20D1.7 (4)响应者:HDR,KE,Nr KE含有响应者的DH公开密钥gxr,Nr含有 响应者的随机数. 此时.双方都可以生成密钥材料,生成算法如 下: SKEYID=prf(Ni_bJNr..b.gxy) SKEYIDd=pff(SKEYID,g^yICKY—IICKY-RJo) SKEYIDa=prf(SKEWD.SKEYID_dJgxyJCKY— IJCKY—RJ1 SKEYID_e=prf(SKEVID.SKEYID_aIg*xyICKY- IICKY—RJ2) SKEYID—d为密朝材料,SKEYID—a为认证密钥, SKEYID_ e为加密密钥. 其中: Nib和Nr_b:发起者和响应者的随机数; Prf(key,msg):伪随机数发生器: gxy:DH共享密钥: CKY—I和CKY—R:发起者和响应者的cookie, 它们在ISAKMP的HDR中. 另外,双方为了相互认证,协议的发起者要生 成HASH_I,协议的响应者要生成HASH—R,如下 所示: HASH_ I=psKEym警ig^xrICKY-IJCKY RJSAi_bJIDii_b) HASHR=pff(SKEYID.gKrJgxiICKY-R CKY-IJSAi—bIIDirb) 其中: SAi— b:SA整个载荷的内容,即SA载荷去掉 ISAKMP的通用载荷头; IDii— b和IDir-b:分别为发起者和响应者的身份. (5)发起者:HDR,IDii,[CERT,]SIG—I HDR:表示后面的载荷是加密的,加密算法 为协商好的;CERT:表示证书载荷,此项为可选 项;SIG-J:为发起者用协商的签名算法对HASH—I 签名. (6)发起者:HDR*,IDir,【CERT,】 SIG— RSIG— R:为响应者用协商的签名算{去对 HASH_R签名. 2.2.2阶段2:用快速模式 快速模式不是一个完整的交换,必须与阶段1 相结合,用来生成密钥材料和为非ISAKMP的SA (如Ipsec的SA)协商策略.在快速模式交换的信 息必须在ISAKMPSA保护下.也就是说,除了 ISAKMP头,其他载荷都必须加密