IKE協議
一、
+IKE(Internet Key Exchange)因特網密鑰交換協議
+為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務
+通過數據交換來計算密鑰
IKE(Internet Key Exchange)因特網密鑰交換協議是*IPSEC的信令協議_,為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務,能夠簡化IPSec的使用和管理,大大簡化IPSec的配置和維護工作。IKE不是在網絡上直接傳送密鑰,而是通過一系列數據的交換,最終計算出雙方共享的密鑰,並且即使第三者截獲了雙方用於計算密鑰的所有交換數據,也不足以計算出真正的密鑰。IKE具有一套自保護機制,可以在不安全的網絡上安全的分發密鑰,驗證身份,建立IPSEC安全聯盟。
二、IKE的安全機制
+完善的前向安全性
+數據驗證
身份驗證
身份保護
+DH交換和密鑰分發
IKE具有一套自保護機制,可以在不安全的網絡上安全的分發密鑰、認證身份並建立IPSec安全聯盟。
完善的前向安全性(PFS:Perfect Forward Security)
是一種安全特性,指一個密鑰被破解, 並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關系。
數據驗證有兩個方面的概念:
1)保證數據完整性(發送的數據未被第三方修改過)
2)身份保護
身份驗證確認通信雙方的身份。驗證字用來作為一個輸入產生密鑰,驗證字不同是不可能在雙方產生相同的密鑰的。驗證字是驗證雙方身份的關鍵。身份數據在密鑰產生之后加密傳送,實現了對身份數據的保護。
DH交換和密鑰分發:
Diffie-Hellman算法是一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過交換一些數據,計算出共享的密鑰。
PFS特性是由DH算法保障的。
三、IKE的交換過程
IKE協商分為兩個階段
階段一:在網絡上建立IKE SA,為其它協議的協商(階段二)提供保護和快速協商。通過協商創建一個通信信道,並對該信道進行認證,為雙方進一步的IKE通信提供機密性、消息完整性以及消息源認證服務,是主模式;
階段二:快速模式,在IKE SA的保護下完成IPSec的協商。
IKE協商過程中包含三對消息:
第一對叫SA交換,是協商確認有關安全策略的過程;
第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),加密物在這個階段產生;
最后一對消息是ID信息和驗證數據交換,進行身份驗證和對整個SA交換進行驗證。
四、DH交換及密鑰產生
密鑰的產生是通過DH交換技術,DH交換(Diffie-Hellman Exchange)過程如下:
a、須進行DH交換的雙方各自產生一個隨機數,如a和b;
b、使用雙方確認的共享的公開的兩個參數:底數g和模數p各自用隨機數a,b進行冪模運算,得到結果c和d,計算公式如下:
c =g a mod p, d=g b modp;
c、雙方進行交換如上圖所示的信息;
d、進一步計算,得到DH公有值: da mod p = c b mod p = g a b mod p 此公式可以從數學上證明。
若網絡上的第三方截獲了雙方的模c和d,那么要計算出DH公有值gab mod p 還需要獲得a或b,a和b始終沒有直接在網絡上傳輸過,如果想由模c和d計算a或b就需要進行離散對數運算,而p為素數,當p足夠大時(一般為768位以上的二進制數),數學上已經證明,其計算復雜度非常高從而認為是不可實現的。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
五、IKE在IPSec中的作用
+降低手工配置的復雜度
+安全聯盟定時更新
+密鑰定時更新
+允許IPSec提供反重放服務
+允許在端與端之間動態認證
因為有了信令協議,很多參數(如:密鑰)都可以自動建立。
IKE協議中的DH交換過程,每次的計算和產生結果都是毫無關系的。為保證每個安全聯盟所使用的密鑰互不相關,必須每次安全聯盟的建立都運行DH交換過程.
IPSEC使用IP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出后,為實現防重放,安全聯盟需要重新建立,這個過程與要IKE協議的配合。
對安全通信的各方身份的的驗證和管理,將影響到IPSEC的部署。IPSEC的大規模使用,必須有CA-Certification Authority(認證中心)或其他集中管理身份數據的機構的參與。
六、IPSec與IKE的關系
IKE是UDP之上的一個應用層協議,是IPSEC的信令協議。
IKE為IPSEC協商建立安全聯盟,並把建立的參數及生成的密鑰交給IPSEC。
IPSEC使用IKE建立的安全聯盟對IP報文加密或驗證處理。
IPSEC處理做為IP層的一部分,在IP層對報文進行處理。AH協議和ESP協議有自己的協議號,分別是51和50。
www.huawei.com