什么是 IPSec 互联网密钥交换 (IKE)? |
您所在的位置:网站首页 › ipsec 协商过程 › 什么是 IPSec 互联网密钥交换 (IKE)? |
来源:网络技术联盟站
链接:https://www.wljslmz.cn/11424.html 你好,这里是网络技术联盟站。 Internet 密钥交换 (IKE) 是一种协议,旨在为需要加密通信的终端创建安全关联。IKE 是一种基于 UDP 的应用层协议,它建立在 Internet 安全协会和密钥管理协议 (ISAKMP) 框架之上。 对于 IPSec VPN,IKE 旨在协商加密密钥和验证密钥以保护私有数据。 为什么我们使用 IKE 协议?为了通信数据的安全,我们经常需要对其进行加密,这样即使第三方截获了这部分数据,在没有密钥的情况下也无法解密,从而保证了通信双方和数据的安全。 在这种加密通信的过程中,我们知道,要对数据进行加密和解密,我们需要密钥,发送数据时使用密钥进行加密,接收数据时使用密钥进行解密。为了安全起见,这对密钥只有通信双方才能知道。 例如,Bob 和 Linda 预先协商使用密钥 123456,这当然是一个不太好的密钥,因为它太容易被猜到。当 Bob 向 Linda 发送消息时,该消息被 123456 加密。当 Linda 收到消息时,它使用 123456 解密来自 Bob 的消息。 如果 Hacker 在 Bob 和 Linda 协商密钥时偷听到了,此时如果 Hacker 获得 Bob 发送给 Linda 的消息,他可以用偷听到的密钥解密该消息。这使得 Bob 和 Linda 之间的通话不再安全。 上面的例子解释了对称密钥是如何工作的,对称密钥易于使用。相应地,一旦密钥泄露,整个通信就变得不再安全。 ![]() 图 1. 对称加密密钥泄露可能导致信息泄露 为此,设计了非对称加密 还是以 Bob 和 Linda 之间的通话为例,Bob 和 Linda 知道 Hacker 无意中听到了他们的钥匙,为了安全起见,Bob 和 Linda 同意使用不同的加密密钥和解密密钥。 例如,Bob 告诉 Linda 她发给 Bob 的所有消息都使用 123456 加密,他将使用只有他知道的密钥对其进行解密。同样,Bob 给 Linda 的消息使用 987654 加密,Linda 使用她知道自己知道的密钥对其进行解密。这样,即使 Hacker 截获了他们的消息,也无法解密,因为 Bob 和 Linda 在与 Linda 协商时并没有提及用于解密的密钥。 ![]() 图 2. 非对称加密不易破解 这就是非对称加密的过程。 虽然非对称加密看起来很安全,但它也有一个缺点,非对称加密和解密非常耗时,这使得非对称加密在交换大量数据时不是最优的。 为此,我们可以结合非对称加密和对称加密的优点,在数据传输时使用对称加密对数据进行加密,在数据传输加密时使用非对称加密协商对称加密密钥的使用,这就是 IKE 协议的目的 IPSec IKE 协议如何工作?IKE 协议包含两个版本,IKEv1 和 IKEv2。 IPSec IKEv1 协议主要包括两个阶段:IKEv1的第一阶段可以分为主模式和激进模式。在主模式的第一阶段,IKE 通过包交换协商一个 IKE SA。该 SA 主要用于加密第 2 阶段用于数据加密的对称密钥协商中使用的对称密钥的消息。在第 2 阶段,IKE 对等体协商用于在传输过程中加密用户数据的对称密钥,即用于加密后续的数据消息。 由于IKEv1阶段1的主模式需要一共3个双向交换和6个ISAKMP消息,协商效率低,aggressive模式对此进行了改进。协商验证信息被集成到一个消息中,从而将协商过程压缩为3个单向交换和3个ISAKMP消息。 第一阶段协商完成后,IKE SA建立,用户对第二阶段协商数据进行加密。 第二阶段只有一种模式,即快速模式,快速模式的整体流程与第一阶段的野蛮模式有些相似,通过在一个消息中包含协商信息和验证信息,三个单向交换和三个 ISAKMP 消息完成第二阶段协商,建立IPSec SA,用于后续数据传输的加密。 ![]() 图 3. IKEv1 协议协商 ![]() 图 4. IKE 提议参数交换消息 ![]() 图 5. 密钥生成信息交换 ![]() 图 6. 身份和认证信息交换 与IKEv1 相比,IKEv2 简化了协商过程,通过两次交换,四个 ISAKMP 消息建立一个 IPSec SA,大大改善了协商过程。 ![]() 图 7. IKEv2 协议协商 IKEv1 和 IKEv2 的区别 简化协商过程IKEv1总共需要9条ISAKMP(IKEv1主模式)或6条消息(IKEv1激进模式)来完成IPSec SA的协商和建立,而IKEv2只需要4条消息就可以完成IPSec SA的协商和建立。 IKEv2 增加了对 EAP 的支持EAP 支持多种身份验证方法,可扩展性是 EAP 的最大优势。可以将新的认证模式添加到类似 EAP 的组件中,无需调整原有的认证系统。目前,EAP认证已广泛应用于拨号上网。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |