Was ist der Internet-Schlüssel-Austausch?

Der Internet-Schlüssel-Austausch (IKE) ist ein Satz Stützprotokolle, die durch das Internet Engineering Task Force und (IETF) mit verursacht werden verwendet sind Standards der Internet Protocolsicherheit (IPSec), um sichere Kommunikationen zwischen zwei Vorrichtungen oder Gleichen, über einem Netz zur Verfügung zu stellen. Als Protokoll kann IKE in einigen Software-Anwendungen verwendet werden. Ein allgemeines Beispiel gründet ein sicheres virtuelles privates Netz (VPN). Wenn Standard auf praktisch allen modernen Rechnerbetriebssystemen und Netzwerkausstattung, viel von, was der Internet-Schlüssel-Austausch tut, wird von der Ansicht des durchschnittlichen Benutzers versteckt.

Die Protokolle in IKE stellen her, was eine Sicherheitsverbindung zwischen zwei (SA) genannt wird oder mehr Gleichen über IPSec, das für alle sicheren Kommunikationen über IPSec angefordert wird. Der SA definiert den Verschlüsselungsalgorithmus, der in der Kommunikation, in den Verschlüsselungschlüsseln und in ihren Verfalldaten verwendet wird; dieses alles steigt dann in Sicherheits-Verbindungsdatenbank jedes Gleichen (SAD) ein. Während IPSec seinen SA haben kann, der manuell zusammengebaut wird, verhandelt der Internet-Schlüssel-Austausch und stellt über die Sicherheitsverbindungen unter Gleichen automatisch, einschließlich die Fähigkeit, seine Selbst zu verursachen her.

Der Internet-Schlüssel-Austausch bekannt als hybrides Protokoll. IKE gebraucht einen Protokollrahmen, der als das Internet-Sicherheits-Verbindungs-und Schlüsselmanagement-Protokoll (ISAKMP) bekannt ist. ISAKMP befähigt IKE, den SA herzustellen und erledigt die Arbeiten des Definierens des Formats der Datennutzlast und der Entscheidung auf dem Schlüsselaustauschprotokoll, das verwendet wird. ISAKMP ist zur Anwendung einiger Methoden für den Austausch von Schlüsseln, aber zu seiner Implementierung in den IKE Gebrauchaspekten von zwei fähig. Die meisten des Schlüsselaustauschprozesses wendet die OAKLEY Schlüsselmethode des ermittlungs-Protokolls (OAKLEY) an, die die verschiedenen Modi definiert, aber IKE verwendet auch etwas von der Quellschlüssel-Austausch-Mechanismus (SKEME)methode, die Verschlüsselung des allgemeinen Schlüssels zulässt und die Fähigkeit hat, Schlüssel schnell zu erneuern.

Wenn Gleiche sicher in Verbindung stehen möchten, senden sie, was „interessanten Verkehr“ zu gegenseitig genannt wird. Interessanter Verkehr ist Mitteilungen, die eine IPSec Politik befolgen, die auf den Gleichen hergestellt worden ist. Ein Beispiel dieser Politik fand in den Brandmauern und Fräser wird eine Zugangsliste genannt. Die Zugangsliste wird eine Kriptographiepolitik gegeben, durch die bestimmte Aussagen innerhalb der Politik feststellen, ob die spezifischen Daten, die über den Anschluss gesendet werden, verschlüsselt werden sollten oder nicht. Sobald die Gleichen, die an sicherer Kommunikation interessiert werden, eine IPSec Sicherheitspolitik mit einander zusammengebracht haben, fängt der Internet-Schlüssel-Austauschprozeß an.

Der IKE Prozess findet in den Phasen statt. Viele sicheren Anschlüsse fangen in einem ungesicherten Zustand an, also verhandelt die erste Phase, über wie die zwei Gleichen den Prozess der sicheren Kommunikation fortsetzen werden. IKE beglaubigt zuerst die Identität der Gleichen und sichert dann ihre Identitäten, indem es feststellt, welche Sicherheitsalgorithmen beide Gleichen verwenden. Using das Diffie-Hellman Kriptographieprotokoll des allgemeinen Schlüssels das zur Schaffung der zusammenpassenden Schlüssel über ein ungeschütztes Netz fähig ist, verursacht der Internet-Schlüssel-Austausch Lernabschnittschlüssel. IKE beendet Phase 1, indem es einen sicheren Anschluss, einen Tunnel, zwischen den Gleichen verursacht, die in Phase 2. verwendet werden.

Wenn IKE Phase 2 erreicht, verwenden die Gleichen neuen IKE SA für das Gründen der IPSec Protokolle, die sie während des Restes ihres Anschlußes verwenden. Eine Authentisierungsüberschrift (AH) wird hergestellt, die überprüft, dass die gesendeten Mitteilungen empfangenes intaktes sind. Pakete müssen auch verschlüsselt werden, also verwendet IPSec dann das einkapselnsicherheitsprotokoll (ESP), um die Pakete zu verschlüsseln und hält sie sicher von einmischenden Augen. AH wird gründete auf dem Inhalt des Pakets berechnet, und das Paket wird verschlüsselt, also werden die Pakete von jedermann gesichert, das versucht, Pakete durch Phony zu ersetzen eine oder den Inhalt eines Pakets liest.

IKE tauscht auch Verschlüsselungsnonces während Phase 2. aus. Ein Nonce ist eine Zahl oder eine Schnur, die nur einmal benutzt wird. Der Nonce wird dann von einem Gleichen verwendet, wenn es einen neuen geheimen Schlüssel verursachen oder verhindern muss, dass ein Angreifer Fälschung Dämpfungsregler erzeugt und verhindert, was einen Wiedergabeenangriff genannt wird.

Der Nutzen einer multi-phasenweisen Annäherung für IKE ist der, indem sie den Phase 1 SA verwenden, jeder Gleiche, kann eine Phase 2 jederzeit einleiten, um einen neuen SA neu auszuhandeln, um die sicheren Kommunikationsaufenthalte sicherzustellen. Nachdem der Internet-Schlüssel-Austausch seine Phasen abschließt, wird ein IPSec Tunnel für den Nachrichtenaustausch hergestellt. Die Pakete, die über den Tunnel gesendet werden, werden entsprechend dem Dämpfungsregler verschlüsselt und entschlüsselt, der während Phase 2. hergestellt wird. Wenn er beendet wird, beendet der Tunnel, indem er entweder basiert auf einer vorbestimmten Grenzzeit abläuft oder, nachdem ein bestimmter Betrag Daten geübertragen worden ist. Selbstverständlich können zusätzliche Vermittlungen der IKE Phase 2 den Tunnel geöffnet halten, oder wechselweise zu beginnen sichern eine neue Vermittlung der Phase 1 und der Phase 2, zum ein neues herzustellen, Tunnel.