網路金鑰交換協定之分析與設計－針對阻絕服務式攻擊

Abstract

IPSec(IP安全協定)對封包進行加密與認證的處理，保障了資料在公眾網路傳送時免於被窺視、修改。然而，在套用IPSec之前，通訊的雙方必須先擁有共享的鑰匙，除了最基本的預先共享金鑰外，透過網路金鑰交換(Internet Key Exchange,IKE)協定來進行金鑰與安全關聯協商，可以讓雙方共享的金鑰更具變化，藉以增強資料在網路傳送時的安全度。IKE是由IETF所制定，但是由於協定太過複雜並且容易遭受阻絕服務式(Denial-of-Service, DoS)攻擊，因此有許多學者紛紛提出不同的解決方案要來取代原本的IKE。在本論文裡，我們分析了現有的IKE協定，針對其所不足的地方加以改進，提出了一個更安全且更具效率的網路金鑰交換協定，並透過實驗來驗證，我們的協定在抵擋阻絕服務式攻擊，以及在協商金鑰與安全關聯的效率上有更好的表現。