Hvad er Internet Key Exchange?

Internet Key Exchange (IKE) er et sæt supportprotokoller oprettet af Internet Engineering Task Force (IETF) og bruges med Internet Protocol Security (IPSEC) standarder for at give sikker kommunikation mellem to enheder eller jævnaldrende over et netværk. Som protokol kan IKE bruges i en række softwareapplikationer. Et almindeligt eksempel er at oprette et sikkert virtuelt privat netværk (VPN). Mens standard på stort set alle moderne computeroperativsystemer og netværksudstyr, er meget af det, som Internet Key Exchange gør, skjult for udsigten over den gennemsnitlige bruger.

Protokollerne i Ike fastlægger, hvad der kaldes en sikkerhedsforening (SA) mellem to eller flere peers over IPsec, hvilket kræves for enhver sikker kommunikation via IPsec. SA definerer den kryptografiske algoritme, der bruges i kommunikationen, krypteringsnøglerne og deres udløbsdatoer; Alt dette går derefter ind i hver Peer's Security Association Database (SAD). Mens IPSEC kan have sin SA konfigureret manuelt,Internet Key Exchange forhandler og etablerer sikkerhedsforeningerne blandt kammerater automatisk, herunder muligheden for at skabe sin egen.

Internet Key Exchange er kendt som en hybridprotokol. Ike bruger en protokolramme kendt som Internet Security Association og Key Management Protocol (ISAKMP). ISAKMP giver Ike muligheden for at etablere SA, og udfører jobbet med at definere formatet for databehandlingen og beslutte den nøgleudvekslingsprotokol, der vil blive brugt. ISAKMP er i stand til at bruge flere metoder til udveksling af nøgler, men dens implementering i Ike bruger aspekter af to. Det meste af den vigtigste udvekslingsproces bruger Oakley Key Bestemming Protocol (OAKLEY) -metoden, som definerer de forskellige tilstande, men IKE bruger også nogle af Source Key Exchange Mechanism (SKEME) -metoden, der giver mulighed for at få offentlig nøglekryptering og har evnen til at opdatere nøgler hurtigt.

Når kammerater ønsker at kommunikere sikkert, sender de det, der kaldes "interessant trafik" til hinanden. Interessant trafik er meddelelser, der overholder en IPsec -politik, der er etableret på jævnaldrende. Et eksempel på denne politik, der findes i firewalls og routere, kaldes en adgangsliste. Adgangslisten får en kryptografipolitik, hvorved visse udsagn inden for politikken bestemmer, om specifikke data, der er sendt over forbindelsen, skal krypteres eller ej. Når de kammerater, der er interesseret i sikker kommunikation, har matchet en IPsec -sikkerhedspolitik med hinanden, begynder internet -nøgleudvekslingsprocessen.

IKE -processen finder sted i faser. Mange sikre forbindelser begynder i en usikret tilstand, så den første fase forhandler, hvordan de to jævnaldrende vil fortsætte processen med sikker kommunikation. IKE autentificerer først peers identitet og sikrer derefter deres identitet ved at bestemme, hvilke sikkerhedsalgoritmer begge jævnaldrende vil bruge. Brug af Diffie-Hellman PUblic Key Cryptography Protocol, som er i stand til at oprette matchende nøgler via et ubeskyttet netværk, Internet Key Exchange opretter sessionstaster. Ike afslutter fase 1 ved at oprette en sikker forbindelse, en tunnel, mellem de kammerater, der vil blive brugt i fase 2.

Når Ike går ind i fase 2, bruger peers den nye Ike SA til at oprette IPsec -protokollerne, de vil bruge under resten af ​​deres forbindelse. En godkendelsesoverskrift (AH) er etableret, der vil verificere, at der sendes meddelelser modtages intakt. Pakker skal også krypteres, så IPSec bruger derefter den indkapslende sikkerhedsprotokol (ESP) til at kryptere pakkerne, hvilket holder dem sikre mod nysgerrige øjne. AH beregnes baseret på indholdet af pakken, og pakken er krypteret, så pakkerne er sikret fra enhver, der forsøger at udskifte pakker med falske eller læse indholdet af en pakke.

IKE udveksler også kryptografiske nonces i fase 2. En nonce er et tal eller en streng, der kun bruges én gang.Nonce bruges derefter af en peer, hvis den er nødt til at oprette en ny hemmelig nøgle eller for at forhindre en angriberen i at generere falske SA'er, hvilket forhindrer, hvad der kaldes et gentagelsesangreb.

Fordelene ved en flerfaset tilgang til IKE er, at ved hjælp af fase 1 SA kan enten peer starte en fase 2 når som helst for at genforhandle en ny SA for at sikre, at kommunikationen forbliver sikker. Efter at Internet Key Exchange er afsluttet sine faser, oprettes en IPsec -tunnel til udveksling af information. De pakker, der sendes via tunnelen, er krypteret og dekrypteret i henhold til SAS, der er etableret i fase 2. Når den er færdige, afsluttes tunnelen ved enten at udløbe baseret på en forudbestemt tidsgrænse, eller efter en bestemt mængde data er overført. Naturligvis kan yderligere IKE -fase 2 -forhandlinger holde tunnelen åben eller alternativt starte en ny fase 1 og fase 2 -forhandling for at etablere en ny, sikker tunnel.

ANDRE SPROG

Hjalp denne artikel dig? tak for tilbagemeldingen tak for tilbagemeldingen

Hvordan kan vi hjælpe? Hvordan kan vi hjælpe?