基于Ipsec的IKE協(xié)議研究與實(shí)現(xiàn).pdf

1、移動(dòng)業(yè)務(wù)的不斷增多對(duì)移動(dòng)網(wǎng)絡(luò)的安全性提出更高的要求，為實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)的網(wǎng)絡(luò)漫游，構(gòu)建一個(gè)完善的網(wǎng)絡(luò)體系勢(shì)在必得。移動(dòng)VPN技術(shù)由于自身的優(yōu)良性能能有效的滿足用戶對(duì)移動(dòng)環(huán)境的需求和提供安全的信息服務(wù)。IPSec協(xié)議作為移動(dòng)VPN的網(wǎng)絡(luò)層技術(shù)，且在IPv6中強(qiáng)制使用，其重要性不言而喻。它在IP層對(duì)數(shù)據(jù)包進(jìn)行嚴(yán)格的加密和認(rèn)證，提供了數(shù)據(jù)完整性檢查、機(jī)密性保障以及身份認(rèn)證等功能．IKE協(xié)議作為IPSec的核心，規(guī)定了對(duì)IP報(bào)文的處理方式。

2、　　 本文首先介紹了VPN和IPSec的基本原理，認(rèn)真研究了IKE協(xié)議，包括IKE協(xié)議的組成、載荷、IKE的交換階段、交換過(guò)程以及各種密鑰信息的生成，尤其對(duì)主模式下預(yù)共享密鑰認(rèn)證第一階段IKE的協(xié)商進(jìn)行了重點(diǎn)研究。針對(duì)IKE對(duì)移動(dòng)網(wǎng)絡(luò)中對(duì)動(dòng)態(tài)IP地址的用戶支持有限且對(duì)通信雙方身份的保護(hù)和驗(yàn)證不足等方面，提出了當(dāng)移動(dòng)節(jié)點(diǎn)連入網(wǎng)絡(luò)后應(yīng)積極的向所屬域核心路由器提供其節(jié)點(diǎn)信息，然后將身份標(biāo)識(shí)信息與預(yù)共享密鑰．PSK進(jìn)行關(guān)聯(lián)，完成在移動(dòng)網(wǎng)絡(luò)中安

3、全的IKE SA協(xié)商，最后獲得IPSec SA和一個(gè)虛擬網(wǎng)IP地址真實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)訪問(wèn)企業(yè)內(nèi)部資源的權(quán)限。
　　 最后，將IKEv2與原IKE協(xié)議進(jìn)行比較，指出了IKEv2的一些擴(kuò)展功能如遠(yuǎn)程訪問(wèn)采集、PKI、NAT穿越。IKEv2認(rèn)證方式采用預(yù)共享密鑰認(rèn)證和數(shù)字簽名認(rèn)證兩種。并簡(jiǎn)單介紹了IKEv2的三種交換類(lèi)型和另一種密鑰交換協(xié)議JFK。在linux平臺(tái)下，采用支持IKEv2協(xié)議的strongswan軟件，設(shè)計(jì)了一個(gè)模擬實(shí)驗(yàn)來(lái)驗(yàn)