因特網密鑰交換(IKE)是什么意思?
因特網密鑰交換(IKE)是什么意思?
因特網密鑰交換協議(IKE),用作分配這些對話用密鑰的一種方法,而且在VPN端點間,規定了如何保護數據的方法。IKE主要有三項任務:為端點間的認證提供方法;建立新的IPsec連接(創建一對SA);管理現有連接。IKE跟蹤連接的方法是給每個連接分配一組安全聯盟(SA)。SA描述與特殊連接相關的所有參數,包括使用的Ipsec協議(ESP/AH/二者兼有),加密/解密和認證/確認傳輸數據使用的對話密鑰。SA本身是單向的,每個連接需要一個以上的SA。大多數情況下,只使用ESP或AH,每個連接要創建2個SA,一個描述入站數據流,另一個描述出站數據流。同時使用ESP和AH的情況中就要創建4個SA。
因特網密鑰交換協議”解決了安全通信設備中的大多數突出問題:確認雙方并交換雙稱密鑰。它創建“安全聯盟”并裝入“安全聯盟數據庫”中。“因特網密鑰交換協議”經常需要一個用戶空間守護進程并且不在操作系統核心中執行。“因特網密鑰交換協議”使用UDP的500端口來進行通信。
“因特網密鑰交換協議”功能分兩個階段。第一個階段建立一個“因特網安全聯盟密鑰管理安全聯盟”(ISAKMP SA:Internet Security Association Key Management Security Association)。第二階段,“因特網安全聯盟密鑰管理安全聯盟”用來商討并配置IPsec的“安全聯盟”(SA)。
雙方的第一階段認證經常使用基于“預先共享密鑰”(PSK:pre-shared keys)、RSA 密鑰(RSA keys)和 X.509證書(Racoon甚至支持Kerberos)。
第一階段通常支持兩種不同的模式:主模式和好斗模式。兩種模式都鑒別對方并設置ISAKMP SA,但好斗模式只使用一半數量的信息達到這個目。這是它的缺點,因為好斗模塊不支持身份保護,因此如果與預共享密鑰一起使用,它容易受到“中間人攻擊” (man-in-the-middle attack)。另一方面,這只是好斗模式的用途,因為主模式的內部工作形式不支持對未知的一方使用不同的預共享密鑰。好斗模式不支持身份保護和用普通文字傳送客戶的身份,因此在認證發生前,一方知道另一方,并且不同的預共享密鑰可以被不同的一方使用。
非常好我支持^.^
(17) 100%
不好我反對
(0) 0%
相關閱讀:
( 發表人:admin )