Indholdsfortegnelse:
- Definition - Hvad betyder Internet Key Exchange (IKE)?
- Techopedia forklarer Internet Key Exchange (IKE)
Definition - Hvad betyder Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) er en nøglehåndteringsprotokolstandard, der bruges i forbindelse med Internet Protocol Security (IPSec) standardprotokol. Det giver sikkerhed for virtuelle private netværks (VPN) -forhandlinger og netværksadgang til tilfældige værter. Det kan også beskrives som en metode til udveksling af nøgler til kryptering og autentificering over et usikret medium, såsom Internettet.
IKE er en hybridprotokol baseret på:
- ISAKMP (RFC2408): Internet Security Association og Key Management Protocols bruges til forhandling og oprettelse af sikkerhedsforeninger. Denne protokol opretter en sikker forbindelse mellem to IPSec-peers.
- Oakley (RFC2412): Denne protokol bruges til nøgeaftale eller nøgleudveksling. Oakley definerer den mekanisme, der bruges til nøgleudveksling over en IKE-session. Standardalgoritmen til nøgleudveksling, der bruges af denne protokol, er Diffie-Hellman-algoritmen.
- SKEME: Denne protokol er en anden version til nøgleudveksling.
IKE forbedrer IPsec ved at levere yderligere funktioner sammen med fleksibilitet. IPsec kan imidlertid konfigureres uden IKE.
IKE har mange fordele. Det eliminerer behovet for manuelt at specificere alle IPSec-sikkerhedsparametre hos begge peers. Det giver brugeren mulighed for at specificere en bestemt levetid for IPsec-sikkerhedsforeningen. Desuden kan kryptering ændres under IPsec-sessioner. Desuden tillader det certificeringsmyndighed. Endelig tillader det dynamisk godkendelse af peers.
Techopedia forklarer Internet Key Exchange (IKE)
IKE fungerer i to trin. Det første trin opretter en godkendt kommunikationskanal mellem peers ved hjælp af algoritmer som Diffie-Hellman nøgleudveksling, som genererer en delt nøgle til yderligere at kryptere IKE-kommunikation. Kommunikationskanalen dannet som et resultat af algoritmen er en tovejs kanal. Godkendelsen af kanalen opnås ved hjælp af en delt nøgle, underskrifter eller offentlig nøglekryptering.
Der er to driftsformer til det første trin: Hovedtilstand, der bruges til at beskytte identiteten af peers, og aggressiv tilstand, der bruges, når sikkerheden for peers identitet ikke er et vigtigt spørgsmål. I det andet trin bruger peers den sikre kommunikationskanal til at etablere sikkerhedsforhandlinger på vegne af andre tjenester som IPSec. Disse forhandlingsprocedurer giver anledning til to enkeltvejskanaler, hvoraf den ene er indgående og den anden udgående. Funktionstilstanden for det andet trin er Hurtigtilstand.
IKE leverer tre forskellige metoder til peer-autentificering: godkendelse ved hjælp af en foruddelet hemmelighed, godkendelse ved hjælp af RSA-krypterede nonces og autentificering ved hjælp af RSA-underskrifter. IKE bruger HMAC-funktionerne til at garantere integriteten af en IKE-session. Når en IKE-session levetid udløber, udføres en ny Diffie-Hellman-udveksling, og IKE SA genindføres.
