Sisällysluettelo:
- Määritelmä - Mitä Internet Key Exchange (IKE) tarkoittaa?
- Techopedia selittää Internet Key Exchange (IKE)
Määritelmä - Mitä Internet Key Exchange (IKE) tarkoittaa?
Internet Key Exchange (IKE) on avaintenhallintaprotokollastandardi, jota käytetään yhdessä Internet Protocol Security (IPSec) -standardiprotokollan kanssa. Se tarjoaa turvallisuuden virtuaalisten yksityisten verkkojen (VPN) neuvotteluille ja verkon pääsylle satunnaisille isäntille. Sitä voidaan myös kuvata menetelmäksi avainten vaihtamiseksi salausta ja todennusta varten suojaamattomalla välineellä, kuten Internet.
IKE on hybridiyhteyskäytäntö, joka perustuu:
- ISAKMP (RFC2408): Internet Security Association ja Key Management Protocols -sovelluksia käytetään neuvotteluihin ja tietoturvayhdistysten perustamiseen. Tämä protokolla muodostaa turvallisen yhteyden kahden IPSec-vertaiskäyttäjän välillä.
- Oakley (RFC2412): Tätä protokollaa käytetään avainten sopimukseen tai avainten vaihtoon. Oakley määrittelee mekanismin, jota käytetään avainten vaihtoon IKE-istunnon aikana. Tämän protokollan käyttämä avainvaihdon oletusalgoritmi on Diffie-Hellman-algoritmi.
- SKEME: Tämä protokolla on toinen versio avainten vaihtoon.
IKE parantaa IPseciä tarjoamalla lisäominaisuuksia ja joustavuutta. IPsec voidaan kuitenkin konfiguroida ilman IKE: tä.
IKE: llä on monia etuja. Se poistaa tarpeen määrittää manuaalisesti kaikki IPSec-suojausparametrit molemmilla vertaisilla. Sen avulla käyttäjä voi määrittää tietyn käyttöiän IPsec-tietoturvayhdistykselle. Lisäksi salausta voidaan muuttaa IPsec-istuntojen aikana. Lisäksi se sallii sertifiointiviranomaisen. Lopuksi se sallii vertaisten dynaamisen todentamisen.
Techopedia selittää Internet Key Exchange (IKE)
IKE toimii kahdessa vaiheessa. Ensimmäinen vaihe muodostaa todennetun viestintäkanavan vertaisten välille käyttämällä algoritmeja, kuten Diffie-Hellman-avaimenvaihto, joka generoi jaetun avaimen IKE-viestinnän edelleen salaamiseksi. Algoritmin tuloksena muodostettu viestintäkanava on kaksisuuntainen kanava. Kanavan todennus saavutetaan käyttämällä jaettua avainta, allekirjoituksia tai julkisen avaimen salausta.
Ensimmäisessä vaiheessa on kaksi toimintatapaa: päätila, jota käytetään ikäisensä identiteetin suojaamiseen, ja aggressiivinen tila, jota käytetään, kun ikäisensä identiteetin turvallisuus ei ole tärkeä asia. Toisen vaiheen aikana vertaiskäyttäjät käyttävät suojattua viestintäkanavaa turvallisuusneuvottelujen käynnistämiseksi muiden palveluiden, kuten IPSec, puolesta. Nämä neuvottelumenettelyt johtavat kahteen yksisuuntaiseen kanavaan, joista toinen on saapuva ja toinen lähtevä. Toisen vaiheen toimintatila on pikatila.
IKE tarjoaa kolme erilaista vertaistunnistusmenetelmää: todennus ennalta jaettua salaisuutta käyttämällä, todennus RSA-salattuja nonssejä käyttäen ja todennus RSA-allekirjoituksia käyttäen. IKE käyttää HMAC-toimintoja IKE-istunnon eheyden takaamiseen. Kun IKE-istunnon käyttöikä loppuu, suoritetaan uusi Diffie-Hellman-vaihto ja IKE SA perustetaan uudelleen.
