Internet密鑰交換(IKE)是由Internet工程任務組(IETF)創建的一組支持協議,與Internet協議安全(IPSec)標準一起使用,在網絡上提供兩個設備或對等設備之間的安全通信。作為一種協議,IKE可用于許多軟件應用程序中。一個常見的例子...
Internet密鑰交換(IKE)是由Internet工程任務組(IETF)創建的一組支持協議,與Internet協議安全(IPSec)標準一起使用,在網絡上提供兩個設備或對等設備之間的安全通信。作為一種協議,IKE可用于許多軟件應用程序中。一個常見的例子是建立一個安全的虛擬專用網絡(VPN)。雖然它是所有現代計算機操作系統和網絡設備的標準配置,互聯網密鑰交換的大部分功能都是隱藏在普通用戶的視線之外的。女性與計算機進行倒立,IKE中的協議通過IPSec在兩個或多個對等方之間建立所謂的安全關聯(SA),這是通過IPSec進行的任何安全通信所必需的。SA定義的加密算法是在通信中使用,加密密鑰和它們的過期日期;這些都會進入每個對等方的安全關聯數據庫(SAD)。雖然IPSec可以手動配置其SA,但Internet密鑰交換會自動協商并建立對等方之間的安全關聯,包括創建自己的安全關聯的能力Internet密鑰交換被稱為混合協議。IKE使用一種稱為Internet安全關聯和密鑰管理協議(ISAKMP)的協議框架。ISAKMP為IKE提供了建立SA的能力,ISAKMP可以使用多種方法交換密鑰,但它在IKE中的實現使用了兩種方法。大多數密鑰交換過程使用OAKLEY密鑰確定協議(OAKLEY key Determination protocol,OAKLEY)方法,它定義了各種模式,但IKE還使用了一些源密鑰交換機制(SKEME)方法,該方法允許公鑰加密,并具有快速刷新密鑰的能力當對等方希望安全通信時,它們互相發送所謂的“有趣的通信量”。有趣的通信量是遵循在對等機上建立的IPSec策略的消息。在防火墻和路由器中找到的一個策略示例稱為訪問列表。訪問列表被賦予一個加密策略,根據該策略中的某些語句確定通過連接發送的特定數據是否應加密。一旦對安全通信感興趣的對等方彼此匹配了IPSec安全策略,Internet密鑰交換過程就開始了。IKE過程分階段進行。許多安全連接都是在不安全狀態下開始的,所以第一階段協商兩個對等方如何繼續安全通信過程。IKE首先驗證對等方的身份,然后通過確定兩個對等方將使用的安全算法來保護其身份。使用Diffie-Hellman公鑰加密協議,它能夠通過不受保護的網絡創建匹配密鑰,Internet密鑰交換創建會話密鑰。IKE通過在將在第2階段中使用的對等方之間創建安全連接(隧道)來完成第1階段。當IKE進入第2階段時,對等方使用新的IKE SA來設置它們將在連接的其余部分。將建立一個身份驗證標頭(AH),它將驗證發送的消息是否完整地接收到。數據包也需要加密,因此IPSec隨后使用封裝安全協議(ESP)對數據包進行加密,保護它們不被窺視。AH是根據包的內容計算的,并且包是加密的,所以任何人試圖用假包替換包或讀取包的內容來保護這些包。IKE還在第2階段交換密碼nonce是一個只使用一次的數字或字符串。如果對等方需要創建新的密鑰或防止攻擊者生成偽造的SA,從而防止所謂的重播攻擊,則它會被對等方使用。IKE的多階段方法的好處是使用階段1 SA,任何一個對等方都可以在任何時候啟動第2階段,以重新協商新的SA,以確保通信安全。在Internet密鑰交換完成其階段之后,IPSec隧道是為信息交換而創建的。通過隧道發送的數據包根據第2階段建立的SAs進行加密和解密。完成后,隧道將終止,根據預先確定的時間限制過期,或在傳輸一定數量的數據后終止。當然,附加的IKE第2階段協商可以保持隧道的開放,或者,啟動新的第1階段和第2階段協商,以建立一個新的、安全的隧道
-
發表于 2020-08-07 16:37
- 閱讀 ( 1006 )
- 分類:電腦網絡