新一代IPSec密钥交换规范IKEv2的研究

对IPSec工作组于2005年12月推出的最新版的IKE(intemet key exchange)协议标准--IKEv2协议(RFC4306)的协商过程、网络通信、密钥衍生和协议的安全性等关键内容进行了深入的研究,并对IKE协议所存在的缺陷及IKEv2在密钥交换的安全性和高效性上所做出的改进进行了深入的分析研究,为IKEv2的实现奠定了可靠的理论基础.     

Linux下IKEv1和IKEv2协议的仿真分析

IETF对IKEv2协议的发布已经使IKEv2成为一个正式的RFC规范,正在逐步地取代IKEv1成为新一代互联网密钥交换标准.IK v2对IKEv1进行了全面的优化和改进.为了对比IKEv2与IKEv1两版协议的密钥协商特性,提出了Linux下IKEv2的一种实现方案,并且基于这种方案对两版IKE协议进行了仿真测试,根据测试结果分析比较了IKEv1和IKEv2的密钥协商效率.     

支持ECC数字证书的IKEv2认证设计

数字证书对因特网密钥交换协议版本2IKEv2（Internet Key Exchange version 2）的初始化交互协商的安全及效率有很大的影响。提出了一种基于ECC数字证书的身份认证机制,并在IPSec VPN系统的IKEv2初始化过程中应用ECC数字证书实现了通信双方的身份认证。在同等测试条件下,相同安全等级的ECC证书与RSA证书对IKEv2协商效率的对比结果表明,采用基于ECC的X.509证书进行身份认证,能够有效地提高IKEv2初始化过程的效率和安全强度。     

Internet密钥交换协议IKEv2研究

2005年12月发布的Internet密钥交换协议IKE(Internet Key Exchange)第二版IKEv2在安全性和实现效率上得到提高,同时简化了原版本的复杂性.对IKEv2协议的密钥协商机制进行了分析.     

新一代动态密钥协商协议IKEv2的研究与分析

IKE协议作为IPSec体系中动态密钥协商机制,极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者,对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议,然后重点分析了IKEv2具体协商过程,最后阐述了IKEv2的发展趋势。     

基于扩展Spi演算的IKEv2协议形式化分析与改进

安全性是新一代密钥交换协议的关键,而Spi演算是研究协议安全性的一种形式化方法,文中采用Spi演算研究了IKEv2协议的安全属性。针对Spi演算不能形式化定义Diffie-Hellman密钥交换和密钥生成的问题,扩展了Spi演算的语法和语义。基于扩展的Spi演算形式化分析了IKEv2协议,分析结果表明协议满足认证性和私密性,但不能保护相对重要的发起方身份。针对IKEv2协议的不足,提出了一种基于Weil对签名算法的改进方案。改进后的协议解决了发起方身份保护问题,具有更好的安全性。     

一种基于签密的改进IKEv2协议*

针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议.新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与响应者之间的双向认证;并且协议的响应者先主动证明自己的身份,确保了对发起者进行主动身份保护.基于认证测试方法对该协议进行形式化分析表明:新协议具有很好的秘密性和双向认证性;同时,该协议只需三条消息,具有简单、高效的特点.     

基于格的非交互式密钥交换协议

当前网络中广泛使用的交互式密钥交换协议,如SSL协议和TLS协议,由于密钥建立过程的通信量较大,不适合物联网中传感器等资源有限的轻型网络设备使用,因此提出一种基于格的非交互式密钥交换协议.文章基于格理论的环上带误差学习困难性问题,使用Freire等人给出的非交互式密钥交换协议形式化定义和安全模型对协议的安全性进行分析,通过攻击者与挑战者之间的博弈证明了协议的安全性.该协议具有抗量子攻击安全性,能够有效地提升物联网的通信安全.     

基于密钥封装机制的RLWE型认证密钥交换协议

当前,基于格理论构造密钥交换协议已成为密钥交换领域的研究前沿,设计安全性更强、密钥和密文规模以及通信开销更小的高效密钥交换协议,是格基密钥交换领域的重难点问题.文章基于紧凑型RLWE公钥加密方案与NewHope-Simple中的密文压缩和NTT转换技术,结合FO转换机制,提出一种主动安全的KEM方案,采用隐性认证和身份...     

下一代密钥交换协议分析

介绍了第一代密钥交换协议,并分析了它的缺点。同时介绍了第二代交换协议IKEv2 和JFK,并做了对比。     

基于增强型IKEv2的IPSec VPN网关设计

IKE(Internet Key Exchange)协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsec VPN安全传输的先决条件和保证。在研究IKEv2协议的基础上,将公钥基础设施PKI体系引入其中,对在IKEv2中使用PKI身份认证进行研究。并针对IKEv2中数据通信的特点,将在线证书状态协议OCSP(Online Certificate Status Protocol)与IKEv2协议结合起来,设计了一个基于PKI身份认证的增强型IKEv2协议,从而有效提高系统的效率和部署的可扩展性。最后给出了一个基于Linux2.6内核的IPSec-VPN设计方案。     

IKEv2 authentication exchange model and performance analysis in mobile IPv6 networks

Internet Key Exchange version 2 (IKEv2) is taking the responsibility for distribution and management of reliable authentication key. IKEv2 can secure fast hand off, confidentiality of data, safe transmission, and multihoming to transmission node. In this paper, we designed and constructed the network based on real mobile node and experimented the modeling of IKEv2 protocol through the simulation. We analyzed the resetting of authentication key and re-exchange problem. And we experimented the effect that key exchange is affected by a limited bandwidth based on data analysis. To overcome delay time, we proposed multi-interface of node and analyzed performance and latency for authentication setting and exchange process. The simulation results show that re-authentication of key is impossible to reset because of limited bandwidth of network. Also, the use of proposed multi-interface can minimize key exchange latency that happened by hand off for IPSec transmission.     

动态IP环境下IKEv2扩展设计与改进

IKEv2作为IKE的替代者极大地增强了IPSecVPN网关之间隧道建立过程的安全性。但IKEv2和IKE一样都不能在动态IP环境下进行密钥交换。介绍了IKEv2的协商过程,在此基础上讨论了文中提出的动态IP环境下IKEv2扩展方案的设计与改进。经过改进的扩展方案可以很好地适应动态IP环境下的协商过程,扩大了IKEv2的应用范围。     

VPN安全网关IKEv2-EAP/SIM扩展研究与设计

以往安全网关的实现偏重于单一功能,且认证方式不够灵活。该文对最新IKEv2动态密钥协商机制进行研究和分析,结合EAP可扩展认证机制的优点,提出将EAP/SIM认证框架引入IKE认证体系的思路,给出实现方案,设计了基于EAP/SIM的增强型可扩展IKEv2系统。IKEv2-EAP系统以RADIUS为认证服务器实现AAA功能,使用新的IKEv2-EAP/SIM交互建立了安全的IPSec隧道,使VPN网关功能更趋灵活、强大及多样化。     

MIPv6绑定更新机制及验证

MIPv6的绑定更新过程是其主要安全问题,IETF草案对此给出一种新的基于IKEv2/IPSec协议的绑定更新机制,但是IKEv2协议存在不适合直接应用于移动环境的缺陷。为此,基于Weil对数字签名算法改进了IKEv2协议的缺陷,并在新协议的基础上改进了绑定更新过程。基于应用π演算验证了改进绑定更新机制的认证性。     

IKE协议及其安全性分析

Intemet密钥交换协议（IKE）是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势：JFK和IKEv2.