什么是互联网密钥交换(Internet Key Exchange)？

Internet密钥交换（IKE）是由Internet工程任务组（IETF）创建的一组支持协议，与Internet协议安全（IPSec）标准一起使用，在网络上提供两个设备或对等设备之间的安全通信。作为一种协议，IKE可用于许多软件应用程序中。一个常见的例子...

Internet密钥交换（IKE）是由Internet工程任务组（IETF）创建的一组支持协议，与Internet协议安全（IPSec）标准一起使用，在网络上提供两个设备或对等设备之间的安全通信。作为一种协议，IKE可用于许多软件应用程序中。一个常见的例子是建立一个安全的虚拟专用网络（VPN）。虽然它是所有现代计算机操作系统和网络设备的标准配置，互联网密钥交换的大部分功能都是隐藏在普通用户的视线之外的。女性与计算机进行倒立，IKE中的协议通过IPSec在两个或多个对等方之间建立所谓的安全关联（SA），这是通过IPSec进行的任何安全通信所必需的。SA定义的加密算法是在通信中使用，加密密钥和它们的过期日期；这些都会进入每个对等方的安全关联数据库（SAD）。虽然IPSec可以手动配置其SA，但Internet密钥交换会自动协商并建立对等方之间的安全关联，包括创建自己的安全关联的能力Internet密钥交换被称为混合协议。IKE使用一种称为Internet安全关联和密钥管理协议（ISAKMP）的协议框架。ISAKMP为IKE提供了建立SA的能力，ISAKMP可以使用多种方法交换密钥，但它在IKE中的实现使用了两种方法。大多数密钥交换过程使用OAKLEY密钥确定协议（OAKLEY key Determination protocol，OAKLEY）方法，它定义了各种模式，但IKE还使用了一些源密钥交换机制（SKEME）方法，该方法允许公钥加密，并具有快速刷新密钥的能力当对等方希望安全通信时，它们互相发送所谓的“有趣的通信量”。有趣的通信量是遵循在对等机上建立的IPSec策略的消息。在防火墙和路由器中找到的一个策略示例称为访问列表。访问列表被赋予一个加密策略，根据该策略中的某些语句确定通过连接发送的特定数据是否应加密。一旦对安全通信感兴趣的对等方彼此匹配了IPSec安全策略，Internet密钥交换过程就开始了。IKE过程分阶段进行。许多安全连接都是在不安全状态下开始的，所以第一阶段协商两个对等方如何继续安全通信过程。IKE首先验证对等方的身份，然后通过确定两个对等方将使用的安全算法来保护其身份。使用Diffie-Hellman公钥加密协议，它能够通过不受保护的网络创建匹配密钥，Internet密钥交换创建会话密钥。IKE通过在将在第2阶段中使用的对等方之间创建安全连接（隧道）来完成第1阶段。当IKE进入第2阶段时，对等方使用新的IKE SA来设置它们将在连接的其余部分。将建立一个身份验证标头（AH），它将验证发送的消息是否完整地接收到。数据包也需要加密，因此IPSec随后使用封装安全协议（ESP）对数据包进行加密，保护它们不被窥视。AH是根据包的内容计算的，并且包是加密的，所以任何人试图用假包替换包或读取包的内容来保护这些包。IKE还在第2阶段交换密码nonce是一个只使用一次的数字或字符串。如果对等方需要创建新的密钥或防止攻击者生成伪造的SA，从而防止所谓的重播攻击，则它会被对等方使用。IKE的多阶段方法的好处是使用阶段1 SA，任何一个对等方都可以在任何时候启动第2阶段，以重新协商新的SA，以确保通信安全。在Internet密钥交换完成其阶段之后，IPSec隧道是为信息交换而创建的。通过隧道发送的数据包根据第2阶段建立的SAs进行加密和解密。完成后，隧道将终止，根据预先确定的时间限制过期，或在传输一定数量的数据后终止。当然，附加的IKE第2阶段协商可以保持隧道的开放，或者，启动新的第1阶段和第2阶段协商，以建立一个新的、安全的隧道

发表于 2020-08-07 16:37
阅读 ( 1094 )
分类：电脑网络

什么是互联网密钥交换(Internet Key Exchange)？

你可能感兴趣的文章

相关问题

0 条评论

作家榜 »

推荐文章