IPSec中密鑰交換協議IKE的安全性分析與改進

瞿　霞，華建祥

（福建林業職業技術學院，福建 南平 353000）

IPSec中密鑰交換協議IKE的安全性分析與改進

瞿霞，華建祥

（福建林業職業技術學院，福建 南平 353000）

摘要：對IKE協議的交換過程進行了安全性分析，針對Diffie-He11man密鑰交換算法易受“中間人”攻擊的問題，提出了一種使用動態口令對IKE協議進行改進的方案，實驗結果表明，該方案是可行的，有效的。

關鍵詞：動態口令；密鑰交換協議；IPSEC協議；IKE協議

IKE(Internet Key Exchange)協議是在1998年由IETF在RFC2409中制定的標準，主要用于交換和管理在VPN中使用的加密密鑰。Internet密鑰交換協議(IKE)解決了在不安全的網絡環境中安全地建立或更新共享密鑰的問題，其不僅可為IPSEC協商安全關聯，還可為SNMPv3、RIPv2、OSPFv2等任何要求保密的協議協商安全參數，IKE作為IPSEC默認的密鑰交換協議，在主機之間建立密鑰和相關的安全參數，用于保護主機之間數據傳輸的安全，是IPSEC的重要組成部分。IKE協議的交換機制是建立在Diffie-He11man密鑰交換算法的基礎之上，但因D-H交換算法極易受到“中間人”攻擊，本身并不安全，為此，IKE引入了四種認證機制，分別為預共享密鑰認證、數字簽名認證、標準公鑰加密認證和修訂公鑰加密認證。由相關研究表明[2-5]，以上認證方式均存在改進的空間，本文針對IKE使用的D-H交換算法易受“中間人攻擊”的特點提出一種改進方案，將動態口令引入到IKE協議中，在IKE的第一階段交換前添加動態口令認證，實現對VPN通信客戶端身份的有效認證，同時利用動態口令產生保護第一階段Diffie-He11man密鑰交換的隨機串，保證了雙方通信安全，不會帶來額外的開銷。

首先對標準IKE協議中引入的D-H密鑰交換算法進行了分析，然后重點研究了D-H密鑰交換算法遭受“中間人攻擊”的過程，并簡要分析了IKE協議引入的認證機制的安全缺陷，然后給出了基于動態口令認證的IKE協議解決方案，并對該方案進行了安全性分析。

1　Diffie-Hellman密鑰交換過程

基于原根的定義和性質，可以定義兩個全局公開的參數，一個整數a和素數q，a是q的一個原根，假定A和C在公共信息上利用D-H算法建立共享密鑰，其過程如下所述：

(1)A生成隨機數x，計算Pa=aXmod q，A將Pa傳給C，X為Pa的保密數據；

(2)C生成隨機數y，計算PC=aymod q，C將PC傳給A，y為Pc的保密數據；

(3)A計算的共享密鑰為

(4)C計算的共享密鑰為

由于D-H密鑰交換算法的有效性依賴于計算離散對數的難度，而在素數q的范圍內計算離散對數是不可能的，因此竊聽者即使獲取到了Pa、Pc、a和q，也無法計算出雙方共享的密鑰。

2　標準IKE協議安全性分析

2.1D-H算法“中間人攻擊”過程分析

由文中第2部分描述可知，標準IKE協議中引入的密鑰交換算法Diffie-He11man，可以幫助通信雙方快速建立共享密鑰，但該算法本身存在缺陷，容易遭受“中間人”攻擊，其過程如圖1所示。

圖1中間人攻擊圖例

通過以上攻擊流程的分析可知，“中間人”這種攻擊方式之所以會在D-H密鑰交換算法中奏效，最大的原因是通信雙方都沒有驗證對方的身份，當然也就無法辨別消息的真正來源。由于D-H密鑰交換算法這種缺陷，出于安全需要，使用D-H密鑰交換算法的IKE協議中引入了多種身份認證方法，但由于協議設計的缺陷，IKE協議的交換過程中還容易受到變換載荷的攻擊。

IKE協議除了容易受到變換載荷的攻擊之外，還存在一個漏洞就是可能會泄漏通信雙方的身份。在實際網絡環境下，為避免惡意的第三方偽裝成合法用戶發起主動攻擊，隱藏協商雙方或某一方的身份是很有必要的。

對于公鑰加密及其改進版本的認證方式，攻擊者一般都較難獲取通信雙方的身份信息，除非是對應私鑰泄漏，但這種安全保證是以增加協議的復雜性和運算量為代價的。另外兩種認證方式：預共享密鑰認證和數據簽名認證方式，在野蠻模式交換中根本不提供身份保護，即使是主模式也無法避免通信身份的泄漏，從而導致惡意第三方的攻擊發生。

對于數字簽名認證方式，在主模式下，攻擊者可以首先在D-H交換時，發起“中間人”攻擊，從而和協議交互雙方分別生成一個共享密鑰，假設為K1和K2，然后分別產生SKEYID1=prf(Ni_b，K1)和SKEYID2=prf (Ni_b|Nr_b，K2)，從而最后生成了SKEYID_e。發起人發出的第5條消息是受SKEYID_e保護的，因此，攻擊人可以從該消息中獲得發起人的身份信息。不過攻擊人無法再進行“中間人”攻擊，因為攻擊人無法修改該條消息中的數字簽名。

對于預共享密鑰認證方式，雖然第5條和第6條消息中對身份信息進行了加密，但是由于發起者必須根據共享密鑰計算SKEYID，所以必須首先知道對方的身份，因此IKE協議明確指出，此時只能使用IP地址作為身份標識，也就是說，任何攻擊者都可以根據前面的消息交換獲得雙方IP地址，從而獲得雙方的身份信息，導致了信息的泄漏。

2.2基于動態口令認證的IKE協議

為了將動態口令認證機制引入到IKE協議中，本文對IKE協議的兩階段交換進行了擴展，將其密鑰交換過程擴展為三個階段，如圖2所示。

圖2　改進后的IKE協議

在IKE的第一階段交換前添加動態口令認證交換是為了對VPN通信客戶端進行有效的身份認證，同時利用動態口令產生保護第一階段Diffie-He11man密鑰交換的隨機串，動態口令認證的流程如圖3所示。

圖3　動態口令身份認證技術的認證過程

動態口令身份認證過程中，認證雙方共享秘密信息串S1、S2和D0，這里D0是用來產生動態口令DP的密鑰，當用戶通過VPN輸入用戶名和動態口令時，客戶端程序會根據輸入生成Hash(S1+DPC)和Hash(ID)，服務器端收到該認證請求后，通過比較ID的Hash值確認用戶ID，并計算該用戶ID的動態口令DPS，通過計算得到Hash(S1+DPS)，該值若與客戶端傳上來的值相等則認證成功，否則認證失敗，當認證成功時雙方都可通過計算得到Hash(S2+DP)，該值即為隨機保護串RanKey，該串將用于保護IKE第一階段Diffie-He11man的密鑰交換。

2.3改進的IKE第一階段交換

改進的IKE第一階段交換利用了上一階段生成的隨機保護串RanKey對DH的密鑰交換過程進行保護和校驗，同時利用DH密鑰交換得到主模式的SA，經過改進后的IKE第一階段如圖4所示。

圖4 改進后的IKE第一階段交換

與標準的IKE第一階段主模式交換相比，對圖4中的第3、4條消息進行了修改，而刪除了第5、6條消息：

(1)在第三條消息中添加了一個參數HASH_i，該參數的計算公式如下：HASH_i=prf(RanKey,Kei|Ck_i|Ck_R|SAi_b|SAr_b) (2)在第四條消息中同樣添加了一個參數HASH_r，該參數的計算公式如下：

HASH_r=prf(RanKey,Ker|Ck_i|Ck_R|SAr_b)

標準IKE協議中，響應端收到第三條消息之后并不對該消息的來源進行確認，這也就是為何DH會受到中間人攻擊的原因，改進后的協議中，當響應收到第三條消息后，要利用相同的算法計算HASH_i_Check=prf(RanKey,Kei|Ck_I|Ck_R|SAi_b| SAr_b)，若HASH_i與HASH_i_Check一致，則校驗成功，否則說明中間人修改了Kei、SAi或者SAr，響應者中止交換。

當第四步以后，雙方完成D-H交換，產生主密鑰Mastkey，通過該密鑰可衍生出SKEYID_e，下一階段的密鑰交換則在SKEYID_e的保護下進行。

SKEYID_e的計算方式如下：

SKEYID=prf(RanKey,Ck_I|Ck_R) SKEYID_2=prf(SKEYID,MasterKey|Ck_I|Ck_R|0) SKEYID_a=prf(SKEYID,SKEYID_2|MasterKey| Ck_I|Ck_R|1)

SKEYID_e=prf(SKEYID,SKEYID_a|MasterKey| Ck_I|Ck_R|2)

2.4增加的消息和載荷類型

由于IKE協議進行了修改，增加了部分消息以及參數，因此需要增加這部分消息和載荷，下表1中定義了兩種消息類型，主要在動態口令認證交換中使用。

表1　新增消息類型

增加的載荷統一使用圖5的結構，

圖5　增加的載荷結構

本文新增了如表2所示的載荷類型，分別為USERID、DIDAUTH和RESULT，具體意義如下，三者均在動態口令身份認證階段使用：

表2　新增載荷類型

3　改進的IKE協議的安全性分析

引入動態口令身份認證之后，IKE協議實現了一種輕量級認證機制---動態口令認證機制保護下的安全認證和傳輸。由于IKE協議所使用的D-H交換最容易受到“中間人”攻擊，這里以該攻擊方式為例，分析改進后的IKE協議的安全性。

在動態口令認證階段，由2.2節可知，網絡上并未直接傳送用戶ID信息和動態口令，攻擊者若假扮用戶，并不能正確獲取到動態口令DP，因而也不能計算得到正確的AuthC值，沒有正確的AuthC值，服務器則可中斷協議，若攻擊者假冒服務器端，鑒于動態口令是服務器端單向驗證，此時用戶端暫時無法察覺受到了欺騙，但是由于假冒的服務器無法解析出正確的動態口令DP，因而也無法產生正確的隨機保護串RanKey。

在改進后的第一階段D-H的生成過程中，無論攻擊者冒充用戶還是冒充服務器，一旦修改了KEi、KEr、SAi和SAr中的任何一個，由于不知道RanKey或者只知道一個錯誤的RanKey，就無法得到HASH_i 和HASH_r正確的值，借由此客戶端和服務器端均可判斷出是否遭受了“中間人”攻擊，一旦確定受到攻擊，通信任何一方即可中止協商。

由上分析可知，在動態口令認證交換中，原只有服務器端對客戶端的單向身份認證存在，而在改進后的IKE第一階段交換過程中，客戶端和服務器端實現了雙向認證，從分析結果看，該IKE的改進方案是可行的，有效的。

4　結論

通過對標準的IKE協議的安全性進行了分析，研究了D-H算法遭受“中間人”攻擊的過程，通過在IKE協議中引入動態口令認證的方法，有效解決了D-H算法易受“中間人”攻擊的問題，由于IKE協議本身非常復雜，對于IKE協議的安全性和改進方面，仍存在不少問題有待進一步研究，相信隨著對這些問題的逐步解決，IKE協議將更加完善。

參考文獻：

[1]范紅.互聯網密鑰交換協議及其安全性分析[J].軟件學報, 2003,14(3):600-605.

[2] 何偉偉,季新生,劉彩霞.基于數字簽名認證的IKE協議安全性分析及改進[J].計算機應用.2008，28(7)：1808-1815.

[3] 武濤,鄭雪峰,姚宜霞,等.基于預共享密鑰認證的IKE協議分析與改進[J].計算機工程,2008，34(8)：147-149.

[4] 付小青,丁俊民.基于公鑰簽名的IKE分析與改進[J].華中科技大學學報:自然科學版.2003，31(10)：51-53.

[5] 韓秀玲，王行愚.IPSEC中密鑰交換協議認證過程的研究及協議的改進[J].計算機工程與應用,2002,38(18):29-32.

（責任編輯：葉麗娜）

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1674-2109(2015)12-0065-04

收稿日期：2015-06-19

作者簡介：瞿霞（1982-）女，漢族，講師，主要從事網絡安全研究。

Security Analysis and Improvements on IKE in IPSEC

QU Xia，HUA Jianxiang

（Fujian Forestry Vocationa1 Technica1 Co11ege,Nanping,Fujian 353000）

Abstract:The paper ana1yzes the security issue of the exchange process of IKE protoco1,revises IKE protoco1 of the program by dynamic passwords for the vu1nerabi1ity issue of Diffie-He11man key exchange a1gorithm.The program revised proves to be feasib1e and effective by the experiment carried out.

Key words:dynamic passwords;protoco1 of key exchange;IPSEC protoco1;IKE protoco1