基于IPv6的IPSec端到端自動(dòng)配置方案研究.pdf

1、終端主機(jī)之間的安全服務(wù)可以在網(wǎng)絡(luò)中的任一層實(shí)現(xiàn)，如在傳輸層、應(yīng)用層使用SSL/TLS，在網(wǎng)絡(luò)層使用IPSec。在這些安全措施中，IPSec最適合為終端主機(jī)之間的雙向通信提供安全服務(wù)。IPSec實(shí)際上是一個(gè)端到端模式，而不是基于客戶機(jī)——服務(wù)器模式設(shè)計(jì)的，因此所有的IP應(yīng)用都可以使用IPSec來保護(hù)通信。另外，下一代網(wǎng)絡(luò)層協(xié)議IPv6強(qiáng)制使用IPSec來提供安全服務(wù)，故IPSec應(yīng)用將主要在IPv6網(wǎng)絡(luò)中展開。 IKE作為IPS

2、ec的密鑰交換協(xié)議，IPSec/IKE的很多參數(shù)都需要在建立安全信道的兩端事先協(xié)商好，要求主機(jī)兩端配置建立安全信道時(shí)所需的參數(shù)，因此，IPSec安全信道建立過程比較復(fù)雜。目前，大多數(shù)主機(jī)之間的端到端IPSec信道仍需通信雙方手動(dòng)配置共享密鑰和安全策略文件，這大大限制了主機(jī)之間端到端訪問在實(shí)際中的應(yīng)用。 雖然已有研究方案提出了主機(jī)之間建立端到端IPSec安全信道的IPSec/IKE策略自動(dòng)配置方法，然而這些解決方案都不完善，沒能很

3、好的解決IPSec/IKE策略自動(dòng)協(xié)商配置方法的靈活性和效率問題，給系統(tǒng)引入了一些不必要的管理開銷，所以需要對(duì)原有解決方案進(jìn)行改進(jìn)。新的方案既要能夠?qū)崿F(xiàn)IPSec策略的自動(dòng)配置，同時(shí)還可以適應(yīng)節(jié)點(diǎn)不同的分布特性，減少因管理網(wǎng)絡(luò)節(jié)點(diǎn)帶來的開銷。 本文在對(duì)現(xiàn)有方案分析研究的基礎(chǔ)上，提出了一種改進(jìn)的、狀態(tài)管理開銷更小、適用于移動(dòng)IPv6網(wǎng)絡(luò)的端到端IPSec策略自動(dòng)配置方案。新方案沿用了原有方案的IPSec策略自動(dòng)配置思想，基于組播對(duì)