Der Internet Key Exchange (IKE) ist eine Reihe von Support -Protokollen, die von der Internet Engineering Task Force (IETF) erstellt und mit IPSec -Standards (Internet Protocol Security) verwendet werden, um eine sichere Kommunikation zwischen zwei Geräten oder Kollegen über ein Netzwerk bereitzustellen.Als Protokoll kann IKE in einer Reihe von Softwareanwendungen verwendet werden.Ein gemeinsames Beispiel ist das Einrichten eines sicheren virtuellen privaten Netzwerks (VPN).Während der Standard bei praktisch allen modernen Computerbetriebssystemen und Netzwerkgeräten standardmäßig ist, ist ein Großteil des Internet -Schlüsselaustauschs vor der Sicht des durchschnittlichen BenutzerPeers über IPSec, was für jede sichere Kommunikation über IPSec erforderlich ist.Die SA definiert den kryptografischen Algorithmus, der in der Kommunikation, den Verschlüsselungsschlüssel und deren Ablaufdaten verwendet wird.Dies alles geht dann in die Datenbank der Peers Security Association (SAD).Während IPSec seine SA manuell konfigurieren kann, verhandelt der Internet -Schlüsselaustausch die Sicherheitsverbände zwischen Peers automatisch, einschließlich der Fähigkeit, seine eigenen zu erstellen.Ike nutzt ein Protokoll -Framework, das als Internet Security Association und Key Management Protocol (ISAKMP) bekannt ist.ISAKMP bietet IKE die Möglichkeit, die SA zu etablieren, und erledigt die Aufgaben, das Format der Datennutzlast zu definieren und sich für das verwendete Schlüsselaustauschprotokoll zu entscheiden.ISAKMP ist in der Lage, verschiedene Methoden zum Austausch von Schlüssel anzuwenden, aber seine Implementierung in IKE verwendet Aspekte von zwei.Der größte Teil des wichtigsten Austauschprozesses verwendet die Oakley -Methode zur Bestimmung Protokoll (Oakley), die die verschiedenen Modi definiert, aber Ike verwendet auch einige der SKEME -Methoden (Quellschlüsseltauschmechanismus), die die Verschlüsselung der öffentlichen Schlüssel ermöglicht und die Fähigkeit hatTasten schnell aktualisieren.

Wenn Gleichaltrige sicher kommunizieren möchten, senden sie einen interessanten Verkehr aneinander.Interessanter Datenverkehr sind Nachrichten, die sich an eine IPSec -Richtlinie halten, die an den Kollegen festgelegt wurde.Ein Beispiel für diese Richtlinie in Firewalls und Routern wird als Zugangsliste bezeichnet.Die Zugriffsliste erhält eine Kryptographie -Richtlinie, mit der bestimmte Aussagen innerhalb der Richtlinie feststellen, ob bestimmte Daten über die Verbindung verschlüsselt werden sollten oder nicht.Sobald die an sich sicheren Kommunikation interessierten Kollegen miteinander mit einer IPSec -Sicherheitsrichtlinie übereinstimmen, beginnt der Internetschlüssel -Austauschprozess.

Der IKE -Prozess findet in Phasen statt.Viele sichere Verbindungen beginnen in einem ungesicherten Zustand, daher verhandelt die erste Phase darüber, wie die beiden Kollegen den Prozess der sicheren Kommunikation fortsetzen werden.Ike authentifiziert zuerst die Identität der Kollegen und sichert ihre Identität, indem er feststellt, welche Sicherheitsalgorithmen beide Peers verwenden werden.Mit dem Diffie-Hellman Public Key Cryptography Protocol, das über ein ungeschütztes Netzwerk übereinstimmende Schlüsseln erstellen kann, erstellt der Internet Key Exchange Sitzungsschlüssel.Ike beendet Phase 1, indem eine sichere Verbindung, einen Tunnel, zwischen den Kollegen erstellt wird, die in Phase 2 verwendet werden.

Wenn Ike in Phase 2 eintrittRest ihrer Verbindung.Es wird ein Authentifizierungs -Header (AH) festgelegt, der überprüft, dass gesendete Nachrichten intakt empfangen werden.Pakete müssen auch verschlüsselt werden, daher verwendet IPSec dann mit dem eingekapsanten Sicherheitsprotokoll (ESP) die Pakete, um sie vor neugierigen Augen zu schützen.Der AH wird basierend auf dem Inhalt des Pakets berechnet, und das Paket wird verschlüsselt, sodass die Pakete von jedem gesichert sind, der versucht, Pakete durch falsche zu ersetzen oder den Inhalt eines Pakets zu lesen.Ein Nonce ist eine Zahl oder eine Zeichenfolge, die nur einmal verwendet wird.Der Nonce istDann wird von einem Peer verwendet, wenn er einen neuen geheimen Schlüssel erstellen muss oder ein Angreifer daran hindert, gefälschte SAS zu erzeugen, wodurch das, was als Wiederholungsangriff bezeichnet wirdSA, entweder Peer kann jederzeit eine Phase 2 einleiten, um eine neue SA neu zu verhandeln, um sicherzustellen, dass die Kommunikation sicher bleibt.Nachdem der Internet -Schlüsselaustausch seine Phasen abgeschlossen hat, wird ein IPSec -Tunnel für den Informationsaustausch erstellt.Die über den Tunnel gesendeten Pakete werden gemäß den in Phase 2 festgelegten SAS verschlüsselt und entschlüsselt, wenn der Tunnel endet, indem entweder auf der Grundlage einer vorbestimmten Zeitlimit oder nach einer bestimmten Datenmenge abgelaufen ist.Natürlich können zusätzliche IKE -Phase -2 -Verhandlungen den Tunnel offen halten oder alternativ eine neue Verhandlung in Phase 1 und Phase 2 starten, um einen neuen, sicheren Tunnel zu errichten.