Spisu treści:
Definicja - Co oznacza Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) to standard protokołu zarządzania kluczami używany w połączeniu ze standardowym protokołem Internet Protocol Security (IPSec). Zapewnia bezpieczeństwo negocjacji wirtualnych sieci prywatnych (VPN) i dostęp sieciowy do losowych hostów. Można to również opisać jako metodę wymiany kluczy do szyfrowania i uwierzytelniania na niezabezpieczonym nośniku, takim jak Internet.
IKE to protokół hybrydowy oparty na:
- ISAKMP (RFC2408): Internetowe stowarzyszenie bezpieczeństwa i protokoły zarządzania kluczami są używane do negocjacji i tworzenia stowarzyszeń bezpieczeństwa. Ten protokół ustanawia bezpieczne połączenie między dwoma peerami IPSec.
- Oakley (RFC2412): ten protokół służy do uzgadniania kluczy lub wymiany kluczy. Oakley definiuje mechanizm wymiany kluczy podczas sesji IKE. Domyślnym algorytmem wymiany kluczy używanym przez ten protokół jest algorytm Diffie-Hellmana.
- SKEME: Ten protokół to kolejna wersja wymiany kluczy.
IKE ulepsza IPsec, zapewniając dodatkowe funkcje i elastyczność. Protokół IPsec można jednak skonfigurować bez IKE.
IKE ma wiele zalet. Eliminuje to potrzebę ręcznego określania wszystkich parametrów bezpieczeństwa IPSec na obu komputerach. Pozwala użytkownikowi określić konkretny okres istnienia powiązania bezpieczeństwa IPsec. Ponadto szyfrowanie można zmienić podczas sesji IPsec. Ponadto zezwala na urząd certyfikacji. Wreszcie pozwala na dynamiczne uwierzytelnianie peerów.
Techopedia wyjaśnia Internet Key Exchange (IKE)
IKE działa w dwóch krokach. Pierwszy krok ustanawia uwierzytelniony kanał komunikacji między równorzędnymi użytkownikami, wykorzystując algorytmy takie jak wymiana kluczy Diffie-Hellman, która generuje wspólny klucz w celu dalszego szyfrowania komunikacji IKE. Kanał komunikacyjny utworzony w wyniku algorytmu jest dwukierunkowym kanałem. Uwierzytelnianie kanału odbywa się za pomocą klucza wspólnego, podpisów lub szyfrowania klucza publicznego.
Istnieją dwa tryby działania dla pierwszego kroku: tryb główny, który jest wykorzystywany do ochrony tożsamości peerów, i tryb agresywny, który jest używany, gdy bezpieczeństwo tożsamości peerów nie jest ważnym zagadnieniem. Podczas drugiego kroku uczestnicy korzystają z bezpiecznego kanału komunikacyjnego, aby negocjować bezpieczeństwo w imieniu innych usług, takich jak IPSec. Te procedury negocjacyjne powodują powstanie dwóch kanałów jednokierunkowych, z których jeden jest przychodzący, a drugi wychodzący. Tryb pracy dla drugiego kroku to tryb szybki.
IKE zapewnia trzy różne metody uwierzytelniania równorzędnego: uwierzytelnianie przy użyciu wstępnie współdzielonego klucza tajnego, uwierzytelnianie przy użyciu szyfrowanych elementów jednorazowych RSA oraz uwierzytelnianie przy użyciu podpisów RSA. IKE korzysta z funkcji HMAC, aby zagwarantować integralność sesji IKE. Po upływie okresu ważności sesji IKE wykonywana jest nowa wymiana Diffie-Hellman, a IKE SA zostaje przywrócone.