您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費(fèi)注冊(cè)]

您的位置:電子發(fā)燒友網(wǎng)>電子百科>通信技術(shù)>傳輸網(wǎng)/接入網(wǎng)/交換網(wǎng)>

因特網(wǎng)密鑰交換(IKE)是什么意思?

2010年03月20日 15:14 srfitnesspt.com 作者:佚名 用戶評(píng)論(0
關(guān)鍵字:

因特網(wǎng)密鑰交換(IKE)是什么意思?

因特網(wǎng)密鑰交換協(xié)議(IKE),用作分配這些對(duì)話用密鑰的一種方法,而且在VPN端點(diǎn)間,規(guī)定了如何保護(hù)數(shù)據(jù)的方法。IKE主要有三項(xiàng)任務(wù):為端點(diǎn)間的認(rèn)證提供方法;建立新的IPsec連接(創(chuàng)建一對(duì)SA);管理現(xiàn)有連接。IKE跟蹤連接的方法是給每個(gè)連接分配一組安全聯(lián)盟(SA)。SA描述與特殊連接相關(guān)的所有參數(shù),包括使用的Ipsec協(xié)議(ESP/AH/二者兼有),加密/解密和認(rèn)證/確認(rèn)傳輸數(shù)據(jù)使用的對(duì)話密鑰。SA本身是單向的,每個(gè)連接需要一個(gè)以上的SA。大多數(shù)情況下,只使用ESP或AH,每個(gè)連接要?jiǎng)?chuàng)建2個(gè)SA,一個(gè)描述入站數(shù)據(jù)流,另一個(gè)描述出站數(shù)據(jù)流。同時(shí)使用ESP和AH的情況中就要?jiǎng)?chuàng)建4個(gè)SA。


因特網(wǎng)密鑰交換協(xié)議”解決了安全通信設(shè)備中的大多數(shù)突出問題:確認(rèn)雙方并交換雙稱密鑰。它創(chuàng)建“安全聯(lián)盟”并裝入“安全聯(lián)盟數(shù)據(jù)庫”中。“因特網(wǎng)密鑰交換協(xié)議”經(jīng)常需要一個(gè)用戶空間守護(hù)進(jìn)程并且不在操作系統(tǒng)核心中執(zhí)行?!耙蛱鼐W(wǎng)密鑰交換協(xié)議”使用UDP的500端口來進(jìn)行通信。


“因特網(wǎng)密鑰交換協(xié)議”功能分兩個(gè)階段。第一個(gè)階段建立一個(gè)“因特網(wǎng)安全聯(lián)盟密鑰管理安全聯(lián)盟”(ISAKMP SA:Internet Security Association Key Management Security Association)。第二階段,“因特網(wǎng)安全聯(lián)盟密鑰管理安全聯(lián)盟”用來商討并配置IPsec的“安全聯(lián)盟”(SA)。


雙方的第一階段認(rèn)證經(jīng)常使用基于“預(yù)先共享密鑰”(PSK:pre-shared keys)、RSA 密鑰(RSA keys)和 X.509證書(Racoon甚至支持Kerberos)。


第一階段通常支持兩種不同的模式:主模式和好斗模式。兩種模式都鑒別對(duì)方并設(shè)置ISAKMP SA,但好斗模式只使用一半數(shù)量的信息達(dá)到這個(gè)目。這是它的缺點(diǎn),因?yàn)楹枚纺K不支持身份保護(hù),因此如果與預(yù)共享密鑰一起使用,它容易受到“中間人攻擊” (man-in-the-middle attack)。另一方面,這只是好斗模式的用途,因?yàn)橹髂J降膬?nèi)部工作形式不支持對(duì)未知的一方使用不同的預(yù)共享密鑰。好斗模式不支持身份保護(hù)和用普通文字傳送客戶的身份,因此在認(rèn)證發(fā)生前,一方知道另一方,并且不同的預(yù)共享密鑰可以被不同的一方使用。

非常好我支持^.^

(17) 100%

不好我反對(duì)

(0) 0%

相關(guān)閱讀:

( 發(fā)表人:admin )

      發(fā)表評(píng)論

      用戶評(píng)論
      評(píng)價(jià):好評(píng)中評(píng)差評(píng)

      發(fā)表評(píng)論,獲取積分! 請(qǐng)遵守相關(guān)規(guī)定!

      ?