Was ist der Internet -Schlüsselaustausch?

Der Internet Key Exchange (IKE) ist eine Reihe von Support -Protokollen, die von der Internet Engineering Task Force (IETF) erstellt und mit IPSec -Standards (Internet Protocol Security) verwendet werden, um eine sichere Kommunikation zwischen zwei Geräten oder Kollegen über ein Netzwerk bereitzustellen. Als Protokoll kann IKE in einer Reihe von Softwareanwendungen verwendet werden. Ein gemeinsames Beispiel ist das Einrichten eines sicheren virtuellen privaten Netzwerks (VPN). Während der Standard bei praktisch allen modernen Computerbetriebssystemen und Netzwerkgeräten standardmäßig ist, ist ein Großteil des Internet -Schlüsselwechsels vor der Sicht des durchschnittlichen Nutzers versteckt. Die SA definiert den kryptografischen Algorithmus, der in der Kommunikation, den Verschlüsselungsschlüssel und deren Ablaufdaten verwendet wird. Dies alles geht dann in die Sicherheitsverbandsdatenbank eines Peer (SAD). Während IPSec seine SA manuell konfigurieren kann,Der Internet -Schlüsselaustausch verhandelt und stellt die Sicherheitsverbände zwischen Gleichaltrigen automatisch fest, einschließlich der Fähigkeit, seine eigenen zu erstellen.

Der Internet -Schlüsselaustausch wird als Hybridprotokoll bezeichnet. Ike nutzt ein Protokoll -Framework, das als Internet Security Association und Key Management Protocol (ISAKMP) bekannt ist. ISAKMP bietet IKE die Möglichkeit, die SA zu etablieren, und erledigt die Aufgaben, das Format der Datennutzlast zu definieren und sich für das verwendete wichtige Austauschprotokoll zu entscheiden. ISAKMP ist in der Lage, verschiedene Methoden zum Austausch von Schlüssel anzuwenden, aber seine Implementierung in IKE verwendet Aspekte von zwei. Der größte Teil des wichtigsten Austauschprozesses verwendet die OAKLEY -Methode zur Bestimmung Protokoll (OAKLEY), die die verschiedenen Modi definiert. IKE verwendet jedoch auch einige der Skeme -Methoden (Quellschlüsseltauschmechanismus), die die Verschlüsselung der öffentlichen Schlüssel ermöglicht und die Möglichkeit hat, Schlüssel schnell zu aktualisieren. <<

Wenn Gleichaltrige sicher kommunizieren möchten, senden sie einander den so genannten "interessanten Verkehr". Interessanter Datenverkehr sind Nachrichten, die sich an eine IPSec -Richtlinie halten, die bei den Kollegen festgelegt wurde. Ein Beispiel für diese Richtlinie in Firewalls und Routern wird als Zugriffsliste bezeichnet. Die Zugriffsliste erhält eine Kryptographie -Richtlinie, mit der bestimmte Aussagen innerhalb der Richtlinie feststellen, ob bestimmte Daten, die über die Verbindung gesendet werden, verschlüsselt werden sollten oder nicht. Sobald die an sich sicheren Kommunikation interessierten Kollegen miteinander mit einer IPSec -Sicherheitsrichtlinie übereinstimmten, beginnt der Internetschlüssel -Austauschprozess.

Der IKE -Prozess findet in Phasen statt. Viele sichere Verbindungen beginnen in einem ungesicherten Zustand, daher verhandelt die erste Phase darüber, wie die beiden Kollegen den Prozess der sicheren Kommunikation fortsetzen werden. Ike authentifiziert zuerst die Identität der Kollegen und sichert ihre Identität, indem er feststellt, welche Sicherheitsalgorithmen beide Peers verwenden werden. Unter Verwendung des Diffie-Hellman PUBLIC Key Cryptography Protocol, das über ein ungeschütztes Netzwerk übereinstimmende Schlüsseln erstellen kann, erstellt der Austausch von Internet Key Sitzungen. Ike beendet Phase 1 durch Erstellen einer sicheren Verbindung, einem Tunnel zwischen den Kollegen, die in Phase 2 verwendet werden.

Wenn Ike in Phase 2 eintritt, verwenden die Kollegen die neue Ike SA, um die IPSec -Protokolle einzurichten, die sie während des Restes ihrer Verbindung verwenden werden. Es wird ein Authentifizierungs -Header (AH) festgelegt, der überprüft, dass gesendete Nachrichten intakt empfangen werden. Pakete müssen auch verschlüsselt werden, daher verwendet IPSec dann mit dem eingekapselenden Sicherheitsprotokoll (ESP) die Pakete, um sie vor neugierigen Augen zu schützen. Der AH wird basierend auf dem Inhalt des Pakets berechnet, und das Paket wird verschlüsselt, sodass die Pakete von jedem befestigt sind, der versucht, Pakete durch falsche zu ersetzen oder den Inhalt eines Pakets zu lesen.

ike tauscht auch kryptografische Nonces in Phase 2 aus. Ein Nonce ist eine Zahl oder eine Zeichenfolge, die nur einmal verwendet wird.Der Nonce wird dann von einem Peer verwendet, wenn er einen neuen geheimen Schlüssel erstellen muss oder ein Angreifer daran hindert

Die Vorteile eines mehrphasigen Ansatzes für IKE sind, dass durch die Verwendung der Phase-1-SA jederzeit eine Phase 2 initiieren kann, um eine neue SA neu zu negieren, um sicherzustellen, dass die Kommunikation sicher bleibt. Nachdem der Internet -Schlüsselaustausch seine Phasen abgeschlossen hat, wird ein IPSec -Tunnel für den Informationsaustausch erstellt. Die über den Tunnel gesendeten Pakete werden gemäß den in Phase 2 festgelegten SAS verschlüsselt und entschlüsselt. Nach Abschluss des Tunnels endet entweder aus Ablauf einer vorbestimmten Zeitlimit oder nach der Übertragung einer bestimmten Datenmenge. Natürlich können zusätzliche IKE -Phase -2 -Verhandlungen den Tunnel offen halten oder alternativ eine neue Verhandlung in Phase 1 und Phase 2 starten, um einen neuen, sicheren Tunnel zu errichten.

ANDERE SPRACHEN

War dieser Artikel hilfreich? Danke für die Rückmeldung Danke für die Rückmeldung

Wie können wir helfen? Wie können wir helfen?