Cunoaște Intuit, curs, securitate la rețea strat ip sec
8.5. Protocol cheie Internet Exchange (IKE)
Protocol Internet Key Exchange (IKE - Internet Key Exchange) este de a crea atât servicii de securitate intrare și de ieșire. Așa cum am discutat în secțiunea anterioară, atunci când un pachet IP trebuie să fie transmise între nivel egal, apoi rândul său, la datele bazate pe strategia de securitate (SPDB), pentru a vedea dacă are SA pentru acest tip de trafic. Dacă nu există nici SA. numit IKE. să-l instalați.
Protocol Internet Key Exchange creează servicii de securitate SA „s pentru IPSec.
IKE - complex de protocol, pe baza celor trei alte protocoale: OAKLEY. SKEME și ISAKMP. așa cum se arată în Fig. 8,15.
Fig. 8,15. Componentele protocolului de gestionare a cheilor în Internet
protocol Oakley a fost dezvoltat Hillary Orman. Acest protocol de generare de chei, bazat pe metoda de schimbare a Diffie-Hellman, dar cu unele îmbunătățiri. Oakley - minute, cu un format liber, în sensul că aceasta nu definește formatul mesajelor schimbate de către părți. În acest capitol, nu discutăm protocolul Oakley direct, dar ne arata cum IKE foloseste ideile sale.
SKEME. proiectat de Hyugo Kravchikom, acesta este un alt protocol pentru a schimba cheile. Acesta utilizează criptare-cheie publică pentru a stabili autenticitatea obiectului în raport recodificarea. Ne vom uita pe scurt la modul în care una dintre metodele folosite de IKE. bazate pe SKEME.
Securitate și cheie Management Protocol Internet-servicii (ISAKMP) este un protocol dezvoltat de către Agenția Națională de Securitate (ANS), care desfășoară efectiv schimbul de mesaje. definite în IKE. Acesta definește unele dintre pachetele, protocoalele și parametrii, care permit schimbul de mesaje IKE în mesaje standardizate, formatate pentru a crea SA. Vom discuta în următoarea secțiune ISAKMP ca un protocol pentru IKE.
În această secțiune vom vorbi direct despre IKE ca un mecanism de creare a serviciilor de securitate în SA e în IPSec.
protocol de gestionare a cheilor Superior este Diffie-Hellman
Ideea de modificări esențiale în protocolul IKE bazat pe Diffie-Hellman. Acest protocol oferă o cheie de sesiune între cele două egale în ceea ce privește procesele, fără a fi necesară existența unor instrumente de securitate anterioare.
„Managementul cheie“, am discutat despre metoda Diffie-Hellman; acest concept metodă este prezentată pe scurt în fig. 8.16.
Fig. 8.16. schimbul de chei Diffie-Hellman
În metoda originală, schimb Diffie-Hellman, așa cum se arată în capitolul 5 (secțiunea 5.3), cele două părți a crea o cheie de sesiune simetrică. pentru a face schimb de date. În același timp, ei nu trebuie să-și amintească sau stoca cheia pentru o utilizare viitoare. Înainte de a stabili o cheie simetrică, cele două părți trebuie să aleagă două numere: p și g. Primul număr, p. este un număr mare de prim aproximativ 300 de numere zecimale (1024 biți). Al doilea număr, g. - grup generator de.
protocolul Diffie-Hellman are unele puncte slabe care trebuie să fie îndepărtate înainte de a va fi acceptabil pentru schimbul de chei Internet.
Prima problemă cu protocolul Diffie-Hellman - infestează atac sau respingerea atacurilor asupra serviciului. Un atacator poate trece un poluklyuchey lot (g x q mod) mesajul lui Bob, pretinzând că ei erau dintr-o varietate de surse. Apoi, Bob ar trebui să calculeze diferite răspunsuri (g y q mod), și în același timp, pentru a calcula cheia totală (g y q mod); Bob este o sarcină, astfel încât să poată să nu mai răspundă la orice alte mesaje. El va refuza clienților de servicii. Acest lucru se poate întâmpla, deoarece protocolul Diffie-Hellman necesită o mulțime de timp pentru calcule.
Pentru a preveni colmatarea atacului, putem adăuga la minutele de două posturi suplimentare și forța cele două părți pentru a transfera cookie-uri
Fig. 8.17. Metoda Diffie - Hellman cookie-uri
Pentru protecția împotriva contamineze atacului. IKE folosește cookie-uri.
atac de redare
Ca și alte protocoale pe care le-am uitat la până în prezent, protocolul Diffie-Hellman este rezistent la redare atac; Informațiile de la o sesiune pot fi înregistrate și redate fără decodificarea într-un viitor atacator sesiune. Pentru a preveni acest atac, putem adăuga un nonce la al treilea și al patrulea raport, pentru a păstra prospețimea mesajului.
Pentru a proteja împotriva atacurilor de reluare. IKE utilizează nonce.
Al treilea și cel mai periculos tip de protocol de atac Diffie-Hellman - atac „intermediar“, a discutat anterior în „cheie de management“. Eve poate ajunge în mijlocul dialogului și de a crea o singură cheie între Alice și cu mine și o altă cheie între Bob și cu mine. Zădărnici acest atac nu este la fel de ușor ca și primele două. Noi trebuie să autentifice fiecare parte.
Alice și Bob trebuie să se asigure că integritatea mesajelor stocate, și că ambele sunt autentificate unul de altul.
mesaje de autentificare (integritatea mesajelor) și autentificarea părților (obiect de autentificare) impune ca fiecare parte să facă dovada că are codul de identificare necesar. Pentru a face acest lucru, trebuie să demonstreze că are secretul.
Pentru a proteja împotriva atacului „intermediar“. IKE impune ca fiecare parte a demonstrat că are secretul.
Secretomania IKE poate fi într-una din următoarele combinații de taste:
- a. o clasificare preliminară a cheii publice;
- b. vapori cunoscute anterior de criptare cu cheie publica / decriptare. Obiectivul este de a arăta că mesajul este criptat cu cheia publică anunțată poate fi decriptat-o folosind cheia privată corespunzătoare;
- în. vapori cunoscute anterior semnătura digitală cheie publică. Obiectivul este de a arăta că el poate semna mesajul cu cheia sa privată, care poate fi verificată prin cheia sa publică declarată.
IKE creeaza protocol de mesagerie SA e, cum ar fi IPSec. IKE. Cu toate acestea, trebuie să împartă comunicări confidențiale și autentificate. Ce protocol IKE SA e prevede în sine? Se poate ghici că este nevoie de un lanț infinit de SA 's: IKE ar trebui să stabilească SA pentru IPSec. Protocolul X este de a crea SA pentru IKE. protocolul Y ar trebui să creeze SA pentru protocolul X, și așa mai departe. Pentru a rezolva această dilemă, și în același timp, lăsați un IKE independent de protocolul IPSec. Dezvoltatorii IKE IKE împărțit în două faze. În faza I IKE creează SA pentru faza II. In faza a II-IKE creează SA pentru IPSec sau un alt protocol.
Faza I este o bază; Faza II este setat pentru protocolul.
IKE este împărțit în două faze: Faza I și Faza II. Faza I creeaza SA pentru Faza II; Faza II creează protocol SA pentru schimbul de date, de exemplu, cum ar fi IPSec.
Cu toate acestea, întrebarea rămâne: modul în care este protejat de Faza 1? În secțiunea următoare vom arăta modul de utilizare a fazei 1 SA. care se formează treptat. posturi mai vechi sunt înlocuite în textul original; mai târziu înlocuit cu posturi create din primele rapoarte.
Faze și modurile
Pentru a ține seama de diversitatea metodelor de schimb, IKE determinate pentru fazele moduri. În prezent, există două moduri pentru faza I: modul principal și modul energetic. Modul Numai pentru Faza II - cel mai rapid mod. Fig. 8.18 arată relația dintre fazele și modurile.
Fig. 8.18. faza IKE
În funcție de natura secretului preliminar între cele două părți, regimuri de faza I pot folosi una din cele patru metode de autentificare diferite: o metodă de cheie de clasificare de pre-deschidere, metoda cheii publice inițiale, cheia publică a metodei revizuite sau semnătura metodei, așa cum se arată în Fig. 8.19.
Fig. 8.19. Metode de mod primar sau energetic
Bine ai venit! Aș dori să clarifice următoarea întrebare: oprit la acreditare de stat MIT, și când va vosstanovlena- profperepodgotovke necunoscută și diplomă emisă în MTI (așa cum am înțeles). Așa cum va fi cazul cu o diplomă?
Întrebarea este un important și relevant, deoarece aceasta este o nevoie urgentă de un curs de formare și de a obține un grad și nu doresc să-și petreacă timp și bani pentru a plăti pentru nimic (în cazul în care certificatul nu este valabil, etc.). Vă rugăm să explicați mai mult situația.
Bună ziua, aș dori să clarifice în viitor pe care doriți să se alinieze acest program cu autoritățile de reglementare și dacă certificatul în sine va avea loc într-un moment în care standardele sunt introduse prof?