摘要:
在信息化、网络化高度发展的今天,新一代网络技术不断革新,虚拟专用网(VPN)因其具有安全性、可靠性、保密性和虚拟性等诸多优点,得到了越来越广泛的应用.IPSec协议是由IETF提出的一套IP安全标准,它在IP层对数据包进行高强度的加密和认证,从而可以保证VPN通信的完整性和保密性。IKE(Internet密钥交换)协议是IPSec协议族的核心,负责动态协商和管理IPSec安全联盟SA,并对安全关联数据库进行填充。IKE属于一种混合型协议,建立在由Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架上.本文根据IPSec和IKE协议的原理以及具体实现,对其安全性进行了深入的分析,包括IKE协议套件、协商阶段及密钥交换方式,接下来提出Diffie-Hellman算法,它是用来生成IKE密钥材料SKEYID的,其安全性也会直接影响到IKE的安全性,D-H算法具体设计和实现了密钥交换协议。详细讨论了中间人的插入攻击方法,并针对其脆弱性提出了相应的解决方案,该方案对cookie的生成算法进行了改进,减少了中间人cookie值攻击成功的可能性,增强了现有IKE的安全性,最后对方案进行了可行性分析,即增加的计算量由于该算法利用里双方的共享密钥而忽略不计,同时只改进了cookie算法,并未影响到IKE的框架、交换方式等协议的结构.