IPSec下IKEv2协议的实现

本文根据IKEv2密钥交换机制的特点,设计了实现IKEv2的框架结构和模块构成;通过建立交换状态与消息操作之间的转换关系,确定了消息处理的步骤和密钥交换的流程;并对各个功能模块的具体实现给出了详细的阐述。     

用密钥封装机制实现IPSec密钥建立

出在网络层的安全协议IPSec中引入密钥封装机制(KEM),通过密钥传输实现IPSec密钥建立.在目前基于密钥交换的IKEv2协议之外,提供了另一种密钥建立的方法.对所给协议的分析表明,在同样需要交换证书进行消息认证的情况下,KEM密钥传输协议与IKEv2协议同样安全,并且更加有效.     

Linux下IKEv1和IKEv2协议的仿真分析

IETF对IKEv2协议的发布已经使IKEv2成为一个正式的RFC规范,正在逐步地取代IKEv1成为新一代互联网密钥交换标准.IK v2对IKEv1进行了全面的优化和改进.为了对比IKEv2与IKEv1两版协议的密钥协商特性,提出了Linux下IKEv2的一种实现方案,并且基于这种方案对两版IKE协议进行了仿真测试,根据测试结果分析比较了IKEv1和IKEv2的密钥协商效率.     

Internet密钥交换协议IKEv2研究

2005年12月发布的Internet密钥交换协议IKE(Internet Key Exchange)第二版IKEv2在安全性和实现效率上得到提高,同时简化了原版本的复杂性.对IKEv2协议的密钥协商机制进行了分析.     

一种基于IKEv2的移动安全接入方案

分析基于IKEvl的移动安全接八方案存在的问题,结合IKEv2所做的改进,提出了使用新一代密钥交换协议IKEv2作为密钥管理协商协议的移动安全接入方案,并给出了移动终端IKE模块的具体实现.     

一种基于签密的改进IKEv2协议*

针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议.新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与响应者之间的双向认证;并且协议的响应者先主动证明自己的身份,确保了对发起者进行主动身份保护.基于认证测试方法对该协议进行形式化分析表明:新协议具有很好的秘密性和双向认证性;同时,该协议只需三条消息,具有简单、高效的特点.     

密钥交换协议的算法研究与协议改进

本文对密钥交换协议(IKE)的结构和算法进行了研究,并提出了基于预共享密钥认证的IKEv1主模式协议的改进思想及基于预共享密钥认证的IKEv2协议的算法改进方案。     

基于串空间模型的Athena方法的改进

Athena分析方法由于没有抽象更多的密码学原语,因此不能分析较复杂的安全协议。该文针对互联网密钥交换协议(IKEv2),对Athena方法进行了扩展：修改消息项结构,扩展密码学原语,使其能分析DH（Diffie-Hellman）密钥协商问题,修改内在项关系,使其能应对更复杂的消息构造情况,并对相关命题和定理进行了证明。根据扩展后的Athena方法,对IKEv2协议的秘密性和认证性等进行了分析,对协议的特点作了进一步讨论。     

IKEv2协议安全性分析与改进

简单介绍了新一版密钥交换协议草案IKEv2,对IKEv2密钥协商机制的安全性进行分析。通过分析,发现其EAP交换过程繁琐且身份信息不易隐藏;证书验证中可能受到假冒证书攻击;为避免安全隧道非授权访问而需要重新认证等几处安全问题。针对这几处安全问题提出了改进建议和解决方法。     

新一代IPSec密钥交换规范IKEv2的研究

对IPSec工作组于2005年12月推出的最新版的IKE(intemet key exchange)协议标准--IKEv2协议(RFC4306)的协商过程、网络通信、密钥衍生和协议的安全性等关键内容进行了深入的研究,并对IKE协议所存在的缺陷及IKEv2在密钥交换的安全性和高效性上所做出的改进进行了深入的分析研究,为IKEv2的实现奠定了可靠的理论基础.     

IKEv2实现方案研究

件利用消息中间件通信,屏蔽了网络复杂性,实现异构平台的互操作,利用持久队列可以确保通信的可靠性,减轻了系统的开发工作和复杂度。     

VPN安全网关IKEv2-EAP/SIM扩展研究与设计

以往安全网关的实现偏重于单一功能,且认证方式不够灵活。该文对最新IKEv2动态密钥协商机制进行研究和分析,结合EAP可扩展认证机制的优点,提出将EAP/SIM认证框架引入IKE认证体系的思路,给出实现方案,设计了基于EAP/SIM的增强型可扩展IKEv2系统。IKEv2-EAP系统以RADIUS为认证服务器实现AAA功能,使用新的IKEv2-EAP/SIM交互建立了安全的IPSec隧道,使VPN网关功能更趋灵活、强大及多样化。     

一种基于IKEv2的IPsec远程访问实现方案

虚拟专用网VPN用于企业间进行安全数据通信的优势日趋凸显,而远程访问是IPsec VPN的典型应用之一。本文分析了目前基于IKEv1的远程访问配置方案的缺陷,提出了一种基于IKEv2协议的改进型配置方案,并给出了具体实现过程。     

一类具有“开端”结构的安全协议分析方法研究

开端协议(Open-ended Protocol)的分析是安全协议领域中一个待解决的重要问题,而IKE则是一个有代表性的具有"开端"结构的安全协议.本文基于串空间的Athena方法,针对IKEv2协议中的"开端"结构涉及的DH(Diffie-Hellman)问题,增加了群、散列函数等原语,给出并证明了一个新的消减规则;针对"开端"结构,引入了集合的数学概念,建立了新的消息类型,重新定义了串空间中的消息项、替换、入侵者模型,以及Athena相应的内在项、目标和目标绑定,给出了一个新的替代关系.应用扩展后的方法,分析了协议,发现一个新的认证性缺陷,给出了解决该缺陷的方法.     

动态IP环境下IKEv2扩展设计与改进

IKEv2作为IKE的替代者极大地增强了IPSecVPN网关之间隧道建立过程的安全性。但IKEv2和IKE一样都不能在动态IP环境下进行密钥交换。介绍了IKEv2的协商过程,在此基础上讨论了文中提出的动态IP环境下IKEv2扩展方案的设计与改进。经过改进的扩展方案可以很好地适应动态IP环境下的协商过程,扩大了IKEv2的应用范围。