ML-IKE: 解决卫星链路分层IPSec安全与TCP加速冲突的协议

ML-IKE是一种针对卫星链路设计的改进型分层密钥分配协议，它是在原有的IKE协议基础上，针对卫星网络中TCP加速技术与IPSec安全性需求之间的冲突进行创新。卫星网络因其独特的优点如高速传输、大范围覆盖，但也存在高延迟和高误码率的问题。为解决这些问题，许多卫星链路采用了PEP（策略执行点）中间节点作为代理网关，使用非标准TCP协议如TCP-Hybla、TCP-Westwood等来提高带宽利用和传输效率。 然而，这些TCP加速技术会涉及到IP封装包中的协议头信息，导致与IPSec端到端加密特性冲突，因为PEP节点需要访问这些信息。为解决这个难题，HRLLaboratories和NASA分别提出了分层IPSec的概念，通过将IP数据包分为多个层次，每个层次使用不同的安全关联SA进行加密，确保了端到端安全的同时，也允许PEP节点仅限于处理其授权的数据段。 哈尔滨工业大学通信实验中心在此基础上进一步发展，推出了CZML-IPSec，支持更广泛的高层协议如HTML。然而，这些研究并未涵盖如何与分层IPSec协议完美集成的问题。ML-IKE协议正是为了解决这一空白，它扩展了IKE的主模式和快速模式，设计出一个专门针对分层安全环境的密钥交换机制。 ML-IKE的核心是将密钥分配任务分解到两端节点和中间节点之间，确保每个节点持有与其职责相符的安全关联SA。这样，既能保持IPSec的端到端加密完整性，又能适应卫星链路中基于PEP的TCP加速需求。这种改进的协议旨在提升卫星网络的安全性和性能，适应卫星通信的特殊挑战，对于构建高效、安全的卫星网络通信环境具有重要意义。