Ike - l
arhitectură
Protocolul transmite mesaje peste porturile UDP 500 și / sau SA 4500. Instalat include o cheie secretă partajată, și un set de algoritmi de criptare. De asemenea, IKE poate utiliza compresia IP.
Informațiile sunt schimbate prin mesaje pereche „cerere - răspuns“. Aceste perechi se numesc „schimb» ( «schimb»).
Schimbul de date are loc în faza IKE 2. În prima fază este setată SA IKE. In al doilea SA IKE este folosit pentru a negocia protocolul (tipic IPSec).
defini
SKEYID - linie, derivată dintr-o cheie secretă cunoscută doar participanților la schimb.
SKEYID_e - materialul cheie utilizat de ISAKMP SA pentru a proteja confidențialitatea comunicațiilor lor.
SKEYID_a - materialul cheie utilizat de ISAKMP SA pentru a identifica mesajele lor.
SKEYID_d - materialul cheie utilizat în producția de chei pentru SA, non-ISAKMP
Nx - date de timp curent (x i fi r sau în cazul inițiatorului sau al destinatarului, respectiv)
PRF (tasta, msg) - pseudo-aleatoare tastă funcțională (funcție pseudo-aleatoare). Funcția hash este adesea folosit.
g ^ xy - un cod secret partajat Diffie-Hellman.
CKY_x - fursecuri inițiator (dacă x == I) sau receptor (dacă x == R) din titlu ISAKMP
HDR - antet ISAKMP. Domeniul său determină tipul de regim de schimb. În cazul în scris HDR *, datele sunt criptate.
SA - potrivire de date care conțin una sau mai multe propuneri. Inițiatorul poate trimite câteva fraze, dar pârâtul este obligat să răspundă doar o singură propoziție.
IDX - date de identificare pentru x. Dacă x == ii, inițiatorul este de date, în prima fază, dacă x == ir, datele transponderului se află în prima fază, dacă x == ui, inițiatorul este în a doua fază, dacă x == ur , aceste date este pârâtul în a doua fază.
CERT - datele de certificare.
SIG_X - inițiator sau transponder semnătură a datelor în cazul X == I sau, respectiv, X == R.
KE - schimb de date cheie care conține informații transmise deschise în timpul schimbului Diffie-Hellman.
Diez (X) - hash date.
Pentru prima faza 2 moduri sunt posibile: principalele și agresiv.
În modul de bază 3 apar schimb: primele noduri sunt de acord asupra normelor în al doilea schimb deschis valori Diffie-Hellman și datele auxiliare, sunt schimbate în a treia confirmare Diffie-Hellman.
În modul agresiv în primul schimb stabilit regulile, au trecut valorile deschise Diffie-Hellman și informații. Al doilea are loc în care schimbul de mesaje în primul rând identificarea responder (răspuns). Al treilea mesaj identifică inițiatorul și confirmă participarea la schimbul. Ultimul (a patra), mesajul nu poate fi trimis.
Pentru ambele metode, există patru tipuri diferite de metode de autentificare: semnătură digitală. Există două tipuri de criptare cu cheie publică și o cheie partajată (cheie pre-partajată).
În funcție de tipul de identificare de la începutul generat SKEYID.
SKEYID = PRF (Ni_b | Nr_b, g ^ xy) în cazul identificării unei semnături digitale.
SKEYID = PRF (hash (Ni_b | Nr_b), CKY-I | CKY-R) în cazul criptografiei cu chei publice.
SKEYID = PRF (pre-partajată-cheie, Ni_b | Nr_b) în cazul secretului partajat.
Materiale După aceea, tastele laterale calculate SKEYID_d, SKEYID_a, SKEYID_e.
SKEYID_d = PRF (SKEYID, g ^ xy | CKY-I | CKY-R | 0)
SKEYID_a = PRF (SKEYID, SKEYID_d | g ^ xy | CKY-I | CKY-R | 1)
SKEYID_e = PRF (SKEYID, SKEYID_a | g ^ xy | CKY-I | CKY-R | 2)
Identificarea cu o semnătură digitală
În modul de bază în etapele 1 și 2, părțile convin asupra IKE SA și sunt de acord asupra setărilor de partajare. Este esențial ca ambele părți au dat cookie-urile lor. 3 și 4 etape ale părților fac schimb de chei Diffie-Hellman și valorile pseudo-aleatoare. După aceea, părțile pot proteja mesajele. În etapele 5 și 6 există un schimb de informații de identificare criptate.
Și în esență, și rezultatul în modurile agresive sunt semnate de date (SIG_I și SIG_R).
Identificarea folosind criptarea cheii publice
În cazul în care atunci când se lucrează în modul de bază respondent are mai multe chei publice, a 3-a trimis mesajul hash al certificatului (diez (1)), inițiatorul utilizat pentru criptare. Deci, destinatarul va fi capabil de a determina ce mesajele-cheie sunt criptate, ceea ce face un hash al certificatelor lor și le-au comparat cu primite. Trebuie remarcat faptul că datele de identificare și ora curentă criptate cu cealaltă tastă.
Identificarea prin modul de criptare cu cheie publică modificată
Identificarea folosind criptarea cheii publice necesită costul cheilor de operare 2 operațiuni pe operațiunile publice-cheie de criptare și decriptare pe cheia privată 2. Modul Corectat vă permite să reducă la jumătate numărul de operații. În acest mod, datele de timp curent este, de asemenea, criptate folosind cheia publică a celeilalte părți, și de identificare (și, dacă este trimis, certificate) sunt criptate folosind un algoritm de criptare simetrică convenit (pe baza datelor SA). Cheia acestei criptare este obținută pe baza datelor actuale de timp.
Motivul pentru posibila HASH de referință (1) este aceeași ca și în identificarea simplă, folosind criptare cu chei publice. Cheile Ke_i Ke_r și consecvent în timpul schimbului de date SA. Datele sunt criptate și antetele de date sunt transmise în text simplu.
Identificarea folosind cheia partajată
modul rapid
Modul Rapid nu este completa schimbul (deoarece este indisolubil legată de schimburile în faza 1), deși este utilizat ca parte a procesului de aprobare SA, furnizarea de materiale cheie și de coordonare a normelor pentru SA, non-ISAKMP SA. Toate mesajele trebuie să fie protejate ISAKMP SA. Acest lucru înseamnă că toate mesajele, cu excepția antet ISAKMP sunt criptate.
HASH (1) = PRF (SKEYID_a, M-ID | SA | Ni [| KE] [| IDci | IDcr)
HASH (2) = PRF (SKEYID_a, M-ID | Ni_b | SA | Nr [| KE] [| IDci | IDcr)
HASH (3) = PRF (SKEYID_a, 0 | M-ID | Ni_b | Nr_b)
Noul material cheie este definit ca:
= PRF garnitura de taste (SKEYID_d, protocol | SPI | Ni_b | Nr_b) - perfect secretul drept nu este necesară
= PRF garnitura de taste (SKEYID_d, g (qm) ^ xy | protocol | SPI | Ni_b | Nr_b) - secretul perfect drept necesar. În cazul în care g (qm) ^ xy - shared care a fost derivată în timpul schimbului Diffie-Hellman.
Modul grup nou
nu trebuie utilizat în mod nou grup pentru a stabili SA ISAKMP. Descrierea noului grup ar trebui urmat numai după aprobarea fazei 1 (deși modul noului grup nu este o faza 2).
HASH (1) = PRF (SKEYID_a, M-ID | SA)
HASH (2) = PRF (SKEYID_a, M-ID | SA)
grup OAKLEY
În grupuri OAKLEY este de acord cu Diffie-Hellman. În RFC 2409 definit patru grupuri. Pentru prima dată, aceste grupuri au fost descrise în protocolul Oakley, și așa a primit numele său.
- Negru W. „Internet: protocoale de securitate. Curs de instruire "
- RFC 2407 - Domeniu de securitate Internet IP de interpretare pentru ISAKMP
- Asociația Internet Security și Protocol Key Management (ISAKMP) - RFC 2408
- RFC 2409 - Internet Key Exchange (IKE)
Vezi ce „IKE“ în alte dicționare:
Ike - Ike sau se poate referi la: NOTOC Oamenii * Ike, scurtate, sau nume nick pentru Isaac, Isaak, Ikechi sau Ikenna (adică puterea lui Dumnezeu e în Igbo). Isaac este Ebraică (Yiṣḥāq), literalmente tradus ca el va râde. * Dwight D. Eisenhower (una mie nouă sute șaizeci și nouă 1890) 34th SUA ... ... Wikipedia
IKE - Cette pagina d'homonymie répertorie les differents sujets et articole partageant onu Même Nom. Ike semble être le diminutif de Isaac Prenom Ike Barinholtz: acteur Américain Ike Altgens: photographe Américain Ike Gingrich: acteur ... ... Wikipédia en Français
Ike - puede Hacer Referencia o: Personas Dwight D. Eisenhower (1 890 1,969), y Politico estadounidense militar, conocido con Este sobrenombre. Ike Diogu (1983), Jugador de baloncesto estadounidense. Ike Anwhistle, de ficción personaje. Huracanes El ... ... Wikipedia Español
Ike - m Engleză: formă de companie de ISAAC (VEZI Isaac). Cu toate acestea, a fost făcut celebru în secolul 20 ca porecla a generalului american și președintele Dwight D. Eisenhower, (1890-1969), în al cărui caz sa bazat pe numele ... prenumele dicționar
Ike - → ↑ Eisenhower, Dwight David ... Dicționar de engleză contemporane
Ike - Cette pagina d'homonymie répertorie les differents sujets et articole partageant onu Même Nom. Ike peut DESIGNER: Prenom Ike Barinholtz, acteur Américain Ike Altgens, photographe Américain Ike Gingrich, acteur Américain Ike Shorunmu, ... ... Wikipédia en Français