Wat is de internetsleuteluitwisseling?

De Internet Key Exchange (IKE) is een reeks ondersteuningsprotocollen gemaakt door de Internet Engineering Task Force (IETF) en gebruikt met Internet Protocol Security (IPSEC) -standaarden om veilige communicatie tussen twee apparaten of collega's, via een netwerk te bieden. Als protocol kan Ike worden gebruikt in een aantal softwaretoepassingen. Een veel voorkomend voorbeeld is het opzetten van een veilig virtueel privénetwerk (VPN). Hoewel standaard op vrijwel alle moderne computerbesturingssystemen en netwerkapparatuur, is veel van wat de internetsleutelbeurzen doet verborgen voor de weergave van de gemiddelde gebruiker.

De protocollen in Ike vestigen wat een Security Association (SA) wordt genoemd tussen twee of meer collega's over IPSEC, die vereist is voor elke veilige communicatie via IPSEC. De SA definieert het cryptografische algoritme dat wordt gebruikt in de communicatie, de coderingssleutels en hun vervaldatums; Dit gaat dan allemaal in de database van elke peer's Security Association (SAD). Terwijl IPSEC zijn SA handmatig kan configureren,De Internet Key Exchange onderhandelt en vestigt de beveiligingsverenigingen tussen collega's automatisch, inclusief de mogelijkheid om zijn eigen te creëren.

De internetsleuteluitwisseling staat bekend als een hybride protocol. Ike maakt gebruik van een protocolraamwerk dat bekend staat als de Internet Security Association en Key Management Protocol (ISAKMP). ISAKMP biedt Ike de mogelijkheid om de SA te vestigen, en doet de taken van het definiëren van het formaat van de gegevensvergoeding en het beslissen over het belangrijkste uitwisselingsprotocol dat zal worden gebruikt. ISAKMP is in staat om verschillende methoden te gebruiken voor het uitwisselen van toetsen, maar de implementatie ervan in Ike gebruikt aspecten van twee. Het grootste deel van het belangrijkste uitwisselingsproces maakt gebruik van de methode Oakley Key Deportination Protocol (Oakley), die de verschillende modi definieert, maar Ike gebruikt ook een deel van de methode Source Key Exchange Mechanism (SKEME), die de openbare sleutelcodering mogelijk maakt en de mogelijkheid heeft om sleutels snel te vernieuwen. <

Wanneer collega's veilig willen communiceren, sturen ze wat "interessant verkeer" naar elkaar wordt genoemd. Interessant verkeer is berichten die zich houden aan een IPSEC -beleid dat op de collega's is vastgesteld. Een voorbeeld van dit beleid in firewalls en routers wordt een toegangslijst genoemd. De toegangslijst krijgt een cryptografiebeleid waarmee bepaalde verklaringen binnen het beleid bepalen of specifieke gegevens die via de verbinding worden verzonden, al dan niet moeten worden gecodeerd. Zodra de collega's die geïnteresseerd zijn in veilige communicatie een IPSEC -beveiligingsbeleid met elkaar hebben geëvenaard, begint het internetsleuteluitwisselingsproces.

Het Ike -proces vindt plaats in fasen. Veel veilige verbindingen beginnen in een onbeveiligde staat, dus de eerste fase onderhandelt hoe de twee collega's het proces van veilige communicatie zullen voortzetten. Ike authenticeert eerst de identiteit van de collega's en beveiligt vervolgens hun identiteit door te bepalen welke beveiligingsalgoritmen beide collega's zullen gebruiken. Met behulp van de Diffie-Hellman PUBLIC Key Cryptography Protocol, dat in staat is om matchingleutels te maken via een onbeschermd netwerk, maakt de Internet Key Exchange sessietoetsen. Ike eindigt fase 1 door een veilige verbinding te maken, een tunnel, tussen de leeftijdsgenoten die in fase 2 zullen worden gebruikt.

Wanneer Ike fase 2 binnenkomt, gebruiken de collega's de nieuwe Ike SA voor het opzetten van de IPSEC -protocollen die ze tijdens de rest van hun verbinding zullen gebruiken. Er is een authenticatiekop (AH) vastgesteld die zal controleren of verzonden berichten intact worden ontvangen. Pakketten moeten ook worden gecodeerd, dus Ipsec gebruikt vervolgens het Encapsulating Security Protocol (ESP) om de pakketten te coderen, waardoor ze worden beschermen tegen nieuwsgierige ogen. De AH wordt berekend op basis van de inhoud van het pakket en het pakket is gecodeerd, dus de pakketten zijn beveiligd van iedereen die probeert pakketten te vervangen door nep -banen of het lezen van de inhoud van een pakket.

Ike wisselt ook cryptografische nonces uit tijdens fase 2. Een nonce is een getal of tekenreeks die slechts eenmaal wordt gebruikt.De nonce wordt vervolgens door een peer gebruikt als het een nieuwe geheime sleutel moet maken of om te voorkomen dat een aanvaller nep -SAS genereert, waardoor wat een replay -aanval wordt genoemd.

De voordelen van een multi-fase-aanpak voor Ike is dat door de fase 1 SA te gebruiken, Peer een fase 2 op elk moment kan initiëren om een ​​nieuwe SA opnieuw te onderhandelen om ervoor te zorgen dat de communicatie veilig blijft. Nadat de internetsleuteluitwisseling zijn fasen heeft voltooid, wordt een IPSEC -tunnel gemaakt voor de uitwisseling van informatie. De pakketten die via de tunnel worden verzonden, worden gecodeerd en gedecodeerd volgens de SAS die tijdens fase 2 zijn vastgesteld. Wanneer voltooid, beëindigt de tunnel, door te vervallen op basis van een vooraf bepaalde tijdslimiet, of nadat een bepaalde hoeveelheid gegevens is overgedragen. Natuurlijk kunnen aanvullende Ike Fase 2 -onderhandelingen de tunnel open houden of, als alternatief, een nieuwe fase 1- en fase 2 -onderhandeling starten om een ​​nieuwe, beveiligde tunnel op te richten.

ANDERE TALEN