インターネットキーエクスチェンジとは何ですか?
インターネットキーエクスチェンジ(IKE)は、インターネットエンジニアリングタスクフォース(IETF)によって作成されたサポートプロトコルのセットであり、インターネットプロトコルセキュリティ(IPSEC)標準で使用され、ネットワークを介して2つのデバイスまたはピア間の安全な通信を提供します。プロトコルとして、IKEは多くのソフトウェアアプリケーションで使用できます。一般的な例の1つは、安全な仮想プライベートネットワーク(VPN)をセットアップすることです。ほぼすべての最新のコンピューターオペレーティングシステムとネットワーキング機器の標準ですが、インターネットキーエクスチェンジが行うことの多くは平均的なユーザーの視点から隠されています。
IKEのプロトコルは、IPSECを介した安全な通信に必要なIPSECをめぐる2人以上のピアの間でセキュリティ協会(SA)と呼ばれるものを確立します。 SAは、通信、暗号化キー、およびその有効期限で使用されている暗号化アルゴリズムを定義します。これはすべて、各ピアのセキュリティ協会データベース(SAD)に入ります。 IPSECはSAを手動で構成できますが、インターネットキーエクスチェンジは、独自の作成能力を含め、ピア間のセキュリティ関連を自動的に交渉および確立します。
インターネットキーエクスチェンジは、ハイブリッドプロトコルとして知られています。 IKEは、インターネットセキュリティ協会および主要な管理プロトコル(ISAKMP)として知られるプロトコルフレームワークを利用しています。 ISAKMPは、IKEにSAを確立する機能を提供し、データペイロードの形式を定義し、使用されるキーエクスチェンジプロトコルを決定するジョブを行います。 ISAKMPは、キーを交換するためにいくつかの方法を使用できますが、IKEでの実装では2つの側面を使用します。キー交換プロセスのほとんどは、さまざまなモードを定義するOakley Key Deicination Protocol(Oakley)メソッドを使用しますが、IKEはソースキー交換メカニズム(SKEME)メソッドの一部も使用します。/p>
仲間が安全にコミュニケーションを希望するとき、彼らは「興味深いトラフィック」と呼ばれるものを互いに送ります。興味深いトラフィックとは、ピアに確立されたIPSECポリシーを順守するメッセージです。ファイアウォールとルーターにあるこのポリシーの1つの例は、アクセスリストと呼ばれます。アクセスリストには、ポリシー内の特定のステートメントが接続で送信された特定のデータを暗号化するかどうかを決定する暗号化ポリシーが与えられます。安全なコミュニケーションに関心のあるピアがIPSECセキュリティポリシーを互いに一致させると、インターネットキー交換プロセスが始まります。
IKEプロセスはフェーズで行われます。多くの安全な接続が無担保状態で始まるため、最初のフェーズは、2人のピアが安全なコミュニケーションのプロセスを継続する方法を交渉します。 Ikeは最初にピアのアイデンティティを認証し、次に両方のピアが使用するセキュリティアルゴリズムを決定することにより、アイデンティティを確保します。 diffie-hellman pUBLICキー暗号化プロトコルは、保護されていないネットワークを介してマッチングキーを作成できるため、インターネットキーエクスチェンジがセッションキーを作成します。 IKEは、フェーズ2で使用されるピア間の安全な接続、トンネルを作成することにより、フェーズ1を終了します。
IKEがフェーズ2に入ると、ピアは新しいIKE SAを使用して、接続の残りの間に使用するIPSECプロトコルをセットアップします。送信されたメッセージがそのまま受信されていることを確認する認証ヘッダー(AH)が確立されます。パケットも暗号化する必要があるため、IPSECはカプセル化セキュリティプロトコル(ESP)を使用してパケットを暗号化し、貫通目から安全に保ちます。 AHはパケットの内容に基づいて計算され、パケットは暗号化されているため、パケットはパケットを偽物のものに置き換えたり、パケットの内容を読み取ろうとする人から固定されています。
Ikeは、フェーズ2の間に暗号化の非筋も交換します。非CEは、1回しか使用されていない数字または文字列です。NonCEは、新しいシークレットキーを作成する必要がある場合、または攻撃者が偽のSASを生成するのを防ぎ、リプレイ攻撃と呼ばれるものを防ぐ必要がある場合、ピアによって使用されます。
IKEの多面的なアプローチの利点は、フェーズ1 SAを使用することにより、どちらかのピアがいつでもフェーズ2を開始して新しいSAを再交渉して、通信を確実に保つことができることです。インターネットキーエクスチェンジがフェーズを完了した後、情報交換のためにIPSECトンネルが作成されます。トンネルを介して送信されたパケットは、フェーズ2の間に確立されたSASに従って暗号化および復号化されます。終了すると、トンネルは定期的に定期的に期限切れになったか、一定量のデータが転送された後に終了します。もちろん、追加のIKEフェーズ2の交渉は、トンネルを開いたままにするか、新しいフェーズ1とフェーズ2の交渉を開始して、新しい安全なトンネルを確立することができます。