Internet Key Exchange (IKE)

Video: Internet Key Exchange (IKE) - Phases

Obsah

Definice - Co znamená Internet Key Exchange (IKE)?
Úvod do Microsoft Azure a Microsoft Cloud | V této příručce se dozvíte, o čem cloud computing je a jak vám může Microsoft Azure pomoci migrovat a řídit podnikání z cloudu.
Techopedia vysvětluje Internet Key Exchange (IKE)

Definice - Co znamená Internet Key Exchange (IKE)?

Internet Key Exchange (IKE) je standard protokolu správy klíčů používaný ve spojení se standardním protokolem IPSec (Internet Protocol Security). Poskytuje zabezpečení pro vyjednávání virtuálních soukromých sítí (VPN) a přístup k síti náhodným hostitelům. Může být také popsán jako způsob výměny klíčů pro šifrování a ověřování na nezajištěném médiu, jako je internet.

IKE je hybridní protokol založený na:

ISAKMP (RFC2408): Protokoly přidružení k Internetu a protokoly správy klíčů se používají k vyjednávání a zakládání asociací zabezpečení. Tento protokol vytváří zabezpečené spojení mezi dvěma kolegy IPSec.
Oakley (RFC2412): Tento protokol se používá pro dohodu klíčů nebo výměnu klíčů. Oakley definuje mechanismus, který se používá pro výměnu klíčů během relace IKE. Výchozí algoritmus pro výměnu klíčů používaný tímto protokolem je algoritmus Diffie-Hellman.
SKEME: Tento protokol je další verzí pro výměnu klíčů.

IKE vylepšuje IPsec poskytováním dalších funkcí spolu s flexibilitou. IPsec však lze konfigurovat bez IKE.

IKE má mnoho výhod. To eliminuje potřebu ručně zadat všechny bezpečnostní parametry IPSec u obou vrstevníků. Umožňuje uživateli určit konkrétní dobu životnosti přidružení zabezpečení IPsec. Kromě toho lze během relací IPsec změnit šifrování. Navíc umožňuje certifikační autoritu. Nakonec to umožňuje dynamickou autentizaci vrstevníků.

Úvod do Microsoft Azure a Microsoft Cloud | V této příručce se dozvíte, o čem cloud computing je a jak vám může Microsoft Azure pomoci migrovat a řídit podnikání z cloudu.

Techopedia vysvětluje Internet Key Exchange (IKE)

IKE pracuje ve dvou krocích. Prvním krokem je vytvoření autentizovaného komunikačního kanálu mezi kolegy pomocí algoritmů, jako je výměna klíčů Diffie-Hellman, která generuje sdílený klíč pro další šifrování komunikace IKE. Komunikační kanál vytvořený v důsledku algoritmu je obousměrný kanál. Autentizace kanálu je dosažena pomocí sdíleného klíče, podpisů nebo šifrování veřejného klíče.

Pro první krok existují dva režimy provozu: hlavní režim, který se používá k ochraně identity vrstevníků, a agresivní režim, který se používá, když bezpečnost identity vrstevníků není důležitým problémem. Během druhého kroku peers používají zabezpečený komunikační kanál k zahájení vyjednávání o bezpečnosti jménem jiných služeb, jako je IPSec. Tyto vyjednávací postupy vedou ke vzniku dvou jednosměrných kanálů, z nichž jeden je příchozí a druhý odchozí. Druhým krokem je režim Rychlý.

IKE poskytuje tři různé metody pro peer autentizaci: autentizace pomocí předem sdíleného tajemství, autentizace pomocí RSA šifrovaných nonces a autentizace pomocí RSA podpisů. IKE používá funkce HMAC k zajištění integrity relace IKE. Když vyprší doba trvání relace IKE, provede se nová výměna Diffie-Hellman a obnoví se IKE SA.