新一代動態密鑰協商協議IKEv2的研究與分析

摘要:IKE協議作為IPSec體系中動態密鑰協商機制，極大地增強了IPSec體系的安全性。而IEKv2作為IKE的替代者，對原有的IKE協議進行了諸多方面的改進。本文首先簡單介紹了IKE協議，然后重點分析了IKEv2具體協商過程，最后闡述了IKEv2的發展趨勢。

關鍵詞:IP安全(IPSec);Internet動態密鑰交換(IKE);IKE第二版本(IKEv2);動態密鑰協商

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3657-02

Research and Analysis about the New Generation Dynamic Key Negotiation Protocol IKEv2

ZHOU Yao-peng1，2， LI Zhi-hua1

(1.Jiangnan University， School of Information Technology， Wuxi 214122， China; 2.Wuxi Professional College of Science and Technology， Wuxi 214028， China)

Abstract: As the dynamic key negotiation mechanism in the IPSec system，IKE improves the safety of the IPSec system greatly. Being a substitute，IKEv2 makes IKE be improved in many aspects.This paper introduces the IKE protocol in brief， and emphatically analyzes the concrete negotiation process of IKEv2，finally elaborates the IKEv2 trend of development.

Key words: IP Security(IPSec); Internet Key Exchange(IKE); version 2 of Internet Key Exchange(IKEv2); dynamic key negotiation

1 引言

目前網絡安全的重要性日益突出，IKE協議作為IPSec體系的組成部分，極大地增強了網絡通訊的安全性。但是IKE協議具有很多缺陷，為此新的IKEv2協議在IKE的基礎之上進行了大量的改進，從而進一步增強IPSec體系的安全性，為上層網絡的安全性提供了保障。

2 IKE簡介

IKE協議屬于整個IPSec體系結構中的動態密鑰協商部分，它是多種動態密鑰交換機制之一，也是目前事實上的工業標準。IKE協議主要用于進行虛擬專用網VPN的認證與SA會話密鑰的協商。它可以動態地建立安全關聯，為通信雙方提供IPSec安全通信所需的相關信息，例如加密算法、會話密鑰、通信雙方身份認證等。

IKE機制協商的目的是產生一個通過驗證的密鑰和提供雙方同意的安全服務，即最終提供IPSec 安全關聯(IPSec SA)，使進行通訊的IPSec VPN之間能夠建立安全的數據通訊隧道。IKE主要通過兩個階段的協商過程來建立IPSec安全關聯(IPSec SA)。第一階段建立ISAKMP SA，第二階段利用第一階段得到的ISAKMP SA進一步協商從而建立IPSec SA。

IKE是一種混合型協議，其復雜性一直受到業界廣泛的批評。另外，IKE還存在很多問題。

3 IKEv2簡介

為了解決原有IKE的諸多缺點，IKE的第二版本IKEv2主要對IKE進行了以下改進:1)克服了原先IKE協議分散在各個文檔的缺點，例如原有的RFC2407(IPSec DOI)、RFC2408(ISAKMP)、RFC2409(IKE)以及隨后補充的關于NAT穿透、擴展認證和獲取遠程訪問地址等分散的文檔。采用了統一的文檔定義了IKEv2;2)IKEv2采用了4條消息交換取代了原有的9條消息，提高了協商效率;3)IKEv2刪除了原有IKE協議中功能不強且難以理解、容易混淆的數據結構;4)修復了多處公認的安全缺陷和漏洞;5)定義了新的通訊量選擇載荷，增加了協議靈活性。

IKEv2主要協商過程主要分為初始交換、協商子SA交換、信息交換三部分。

3.1 初始交換

IKEv2將初始階段的IKE_SA_INIT和IKE_AUTH兩個消息交換取代原有IKE第一階段的3次消息交換。IKE_SA_INIT交換中的消息沒有進行加密處理，它協商了IKE_SA中包含的各種安全參數，其中包括密碼學相關算法，并且進行Nonce值以及Diffle-Hellman交換，最后建立IKE_SA。

IKE_SA_INIT交換過程如圖1所示。第一條消息中的HDR表示IKEv2消息頭，SAi1包含了發起者針對IKE_SA的提案建議，提案中包括加密算法、認證算法、DH組等內容。KEi包含了發起者的Diffle-Hellman公開值，Ni則表示發起者的Nonce值。由此可以看出，IKEv2將IKE第一階段前兩次交互過程精簡為一次IKE_SA_INIT交換，從而提高了協商的效率。

協商響應者接收到發起者發送的消息后在SAi1中選擇某種提案形成反饋提案SAr1，并且將KEr和Nr分別作為響應者的Diffle-Hellman公開值以及Nonce值反饋給發起者。在響應消息中，響應者還可以發送可選的證書請求載荷CERTREQ。

IKE_SA_INIT交換過程完成之后，協商雙方可以計算種子密鑰SKEYSEED以得到其他7個秘密:SK_d、SK_ai、SK_ar、SK_ei、SK_er、SK_pi和SK_pr。

1)SK_d是建立在該IKE_SA基礎上的各個CHILD_SA派生新的密鑰材料。

2)SK_ai和SK_ar分別應用于發起者和響應者方向的認證算法。

3)SK_ei和SK_er分別用于發起者和響應者方向后繼消息的加密。

4)SK_pi和SK_pr分別用于發起者和響應者方向認證載荷的計算。

以上密鑰材料的計算公式如下:

SKEYSEED = prf(Ni | Nr，gir)

SK_d = prf(SKEYSEED ，Ni | Nr | SPIi | SPIr | 0x01)

SK_ai = prf(SKEYSEED ，SK_d | Ni | Nr | SPIi | SPIr | 0x02)

SK_ar = prf(SKEYSEED ，SK_ai | Ni | Nr | SPIi | SPIr | 0x03)

SK_ei = prf(SKEYSEED ，SK_ar | Ni | Nr | SPIi | SPIr | 0x04)

SK_er = prf(SKEYSEED ，SK_ei | Ni | Nr | SPIi | SPIr | 0x05)

SK_pi = prf(SKEYSEED ，SK_er | Ni | Nr | SPIi | SPIr | 0x06)

SK_pr = prf(SKEYSEED ，SK_pi | Ni | Nr | SPIi | SPIr | 0x07)

其中prf表示偽隨機函數，gir可由Diffle-Hellman交換得到，Ni和Nr分別表示發起者和響應者的Nonce值，SPIi和SPIr分別代表發起者和響應者的安全關聯索引值。

IKE_SA_INIT交換過程最終協商得到IKE_SA。這個IKE_SA是一種安全關聯，它包含了一些安全參數用于保護隨后進行的IKE_AUTH交換過程。IKE_AUTH交換過程在協商過程中使用認證載荷對已經結束的IKE_SA_INIT交換過程進行認證，并且最終協商得到第一個CHILD_SA，即IPSec SA。如圖2所示，IKE_AUTH交換過程中的2條消息是由IKEv2消息頭HDR和一個加密載荷組成，在這個加密載荷中包含了身份載荷(ID)、可選的證書載荷(CERT)以及證書請求載荷(CERTREQ)、認證載荷(AUTH)、安全關聯載荷(SA)、流量選擇載荷(TS)等。SK{}表示被包含的載荷均被相應方向的SK_e和SK_a加密和認證保護。

3.2 協商子SA交換

初始交換結束之后，協商雙方可以開始協商子SA交換過程，即CREATE_CHILD_SA交換階段。CREATE_CHILD_SA交換過程對應原有IKE的第二階段，它由初始階段建立的安全關聯保護，最終建立起CHILD_SA，即IPSec SA。

這一交換過程作為有額外的IPSec SA或完美向前保密(PFS)需求時的一種交換類型，可由任一協商方在初始交換完成之后發起。如圖3所示，該交換過程包含了兩條消息，第一條消息由協商發起方向協商對方發送SA提案或者建議，并且交換Nonce和流量選擇符TSi和TSr。第二條消息是協商響應方對SA提案和流量選擇符進行選擇并且反饋，同時交換Nonce值，另外可以根據PFS的需要可選地進行Diffie-Hellman交換。

生成CHILD_SA的密鑰材料的計算方法有以下兩種情況:

1)如果交換過程中進行了Diffle-Hellman交換，則CHILD_SA的密鑰材料計算方法如下:

KEYMAT = prf+(SK_d， gir(new) | Ni | Nr )

其中gir(new)是從臨時Diffle-Hellman交換中獲得的共享秘密。

2)如果交換過程中沒有進行Diffle-Hellman交換，那么交換消息中不需要密鑰載荷(KE)，則CHILD_SA的密鑰材料計算方法如下:

KEYMAT = prf+(SK_d， Ni|Nr)

其中prf+含義如下:

prf+(K，S) = T1|T2|T3|T4|...

T1 = prf(K， S|0x01)

T2 = prf(K， T1|S|0x02)

T3 = prf(K， T2|S|0x03)

T4 = prf(K， T3|S|0x04)

一次CHILD_SA協商可以得到多個安全關聯，而ESP和AH安全關聯是成對出現的，而且每個方向都有一個，所以一次CHILD_SA協商可以得到4個安全關聯，即進入ESP SA、進入AH SA、外出ESP SA、外出AH SA。

3.3 信息交換

在IKEv2交換過程中，經常需要在協商雙方之間交換一些控制消息，例如發送一些錯誤或者通知事件的信息。為此，在IKEv2中專門定義了消息交換來滿足這種需求。這種交換過程一定要在IKE_SA_INIT消息交換結束后進行，交換過程同樣受到前面協商得到的安全關聯的保護。如圖4所示，信息交換消息中可以包含零個或者多個通知載荷、刪除載荷和配置載荷。協商雙方可以在消息中攜帶可選的通知載荷(N)、刪除載荷(D)、配置載荷(CP)等攜帶控制信息的載荷數據達到交換控制消息的目的。消息的接收者在收到消息之后必須給發送者發送反饋消息，否則發送者將認為消息丟失而將消息再次發送。在消息交換中，請求消息和反饋消息可以不包含任何載荷，這樣可以確認對方是否當前是否活動。

4 結束語

本文首先簡單介紹了IKE協議，針對IKE的各種缺陷詳細闡述了IKEv2的三個主要協商交換過程。目前，針對IKEv2的各種擴展方案正在陸續提出，例如針對移動地址的IKEv2協商等等。我們有理由相信，在不久的將來IKEv2將應用于越來越多的場合。

參考文獻:

[1] Microsoft，C. Kaufman， Ed. RFC4306 Internet Key Exchange(IKEv2) Protocol[S]，2005

[2] 陳卓，張正文.Internet密鑰交換協議IKEv2研究[J].計算機應用與軟件，2008，25(2):269-270.

[3] 韓旭東，湯雋，郭玉東.新一代IPSec密鑰交換規范IKEv2的研究[J].計算機工程與設計，2007，28(11):2549-2552.

[4] 杜春燕，周曉東，陸建德.一種基于IKEv2的IPsec遠程訪問實現方案[J].電腦與電信，2007(9):4-6.

[5] 武濤，鄭雪蜂，姚宣霞，等.基于預共享密鑰認證的IKE協議分析與改進[J].計算機工程，2008，34(8):147-149.

[6] 陳卓，張正文.Internet密鑰交換協議IKEv2研究[J].計算機應用與軟件，2008，25(2):269-270.