Vad är Internet Key Exchange?
Internet Key Exchange (IKE) är en uppsättning supportprotokoll skapade av Internet Engineering Task Force (IETF) och används med Internet Protocol Security (IPSec) standarder för att tillhandahålla säker kommunikation mellan två enheter, eller kamrater, över ett nätverk. Som protokoll kan IKE användas i ett antal programapplikationer. Ett vanligt exempel är att sätta upp ett säkert virtuellt privat nätverk (VPN). Även om det är standard för praktiskt taget alla moderna operativsystem för datorer och nätverksutrustning, är mycket av vad Internet Key Exchange gör doldt för den genomsnittliga användaren.
Protokollen i IKE upprättar det som kallas en säkerhetsförening (SA) mellan två eller flera kamrater över IPSec, vilket krävs för säker kommunikation via IPSec. SA definierar den kryptografiska algoritmen som används i kommunikationen, krypteringsnycklarna och deras utgångsdatum; allt detta går sedan in i varje peers säkerhetsassocieringsdatabas (SAD). Medan IPSec kan ha sin SA konfigurerad manuellt, förhandlar och etablerar Internet Key Exchange säkerhetsföreningarna mellan kamrater automatiskt, inklusive möjligheten att skapa sina egna.
Internet Key Exchange är känt som ett hybridprotokoll. IKE använder sig av ett protokollram som kallas Internet Security Association och Key Management Protocol (ISAKMP). ISAKMP ger IKE förmågan att etablera SA och gör jobbet med att definiera formatet för datolastbelastningen och besluta om nyckelutbytesprotokollet som kommer att användas. ISAKMP kan använda flera metoder för att byta nycklar, men dess implementering i IKE använder två aspekter. De flesta av nyckelutbytesprocessen använder OAKLEY Key Determination Protocol (OAKLEY) -metoden, som definierar de olika lägena, men IKE använder också en del av Source Key Exchange Mechanism (SKEME) -metoden, som möjliggör offentlig nyckelkryptering och har förmågan att uppdatera knapparna snabbt.
När kamrater vill kommunicera säkert skickar de det som kallas "intressant trafik" till varandra. Intressant trafik är meddelanden som följer en IPSec-policy som har fastställts på kamraterna. Ett exempel på denna policy som finns i brandväggar och routrar kallas en åtkomstlista. Åtkomstlistan ges en kryptografipolicy genom vilken vissa uttalanden inom policyn avgör om specifika data som skickas via anslutningen ska krypteras eller inte. När de kamrater som är intresserade av säker kommunikation har matchat en IPSec-säkerhetspolicy med varandra, börjar Internet Key Exchange-processen.
IKE-processen sker i faser. Många säkra anslutningar börjar i ett osäkrat tillstånd, så den första fasen förhandlar om hur de två kamraterna kommer att fortsätta processen för säker kommunikation. IKE autentiserar först kamrernas identitet och säkerställer sedan deras identitet genom att bestämma vilka säkerhetsalgoritmer som båda kamraterna kommer att använda. Med hjälp av Diffie-Hellman-kryptografiprotokollet för den allmänna nyckeln, som kan skapa matchande nycklar via ett oskyddat nätverk, skapar Internet Key Exchange sessionstangenter. IKE avslutar fas 1 genom att skapa en säker anslutning, en tunnel, mellan kamraterna som kommer att användas i fas 2.
När IKE går in i fas 2 använder kamraterna den nya IKE SA för att ställa in IPSec-protokollen som de kommer att använda under resten av sin anslutning. En autentiseringshuvud skapas (AH) som kommer att verifiera att meddelanden som skickas tas emot intakt. Paket måste också krypteras, så IPSec använder sedan det kapslande säkerhetsprotokollet (ESP) för att kryptera paketen, så att de skyddas från nyfikna ögon. AH beräknas baserat på innehållet i paketet, och paketet är krypterat, så paketen är säkrade från alla som försöker ersätta paket med falska eller läsa innehållet i ett paket.
IKE utbyter också kryptografiska nonces under fas 2. En nonce är ett nummer eller en sträng som endast används en gång. Nonce används sedan av en kamrat om den behöver skapa en ny hemlig nyckel eller för att förhindra att en angripare genererar falska SA: er och förhindrar det som kallas en replayattack.
Fördelarna med ett flerfasigt tillvägagångssätt för IKE är att genom att använda Fas 1 SA kan endera peer initiera en fas 2 när som helst för att förhandla om en ny SA för att säkerställa att kommunikationen förblir säker. När Internet Key Exchange har slutfört sina faser skapas en IPSec-tunnel för utbyte av information. Paketen som skickas via tunneln är krypterade och dekrypterade i enlighet med de SA som fastställts under fas 2. När den är klar avslutas tunneln, antingen med utgång från en förutbestämd tidsgräns, eller efter att en viss mängd data har överförts. Naturligtvis kan ytterligare IKE-fas 2-förhandlingar hålla tunneln öppen eller, alternativt, starta en ny fas 1 och fas 2-förhandling för att etablera en ny, säker tunnel.