„Проектиране на корпоративна vpn мрежа
Протокол Internet Key Exchange (IKE)
Изтегляне 2.17 Mb.
|
| 2.3 Протокол Internet Key Exchange (IKE)
Протоколът IKE е хибрид от протоколите Oakley и SKEME и действа в рамките, определени от Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP определя формата на пакетите, таймерите за препредаване и изискванията за конструиране на съобщенията. Oakley и SKEME определят стъпките, които двете страни трябва да предприемат за установяване на споделен, удостоверен ключ. Освен това IKE протоколът се грижи да променя периодично ключовете (rekeying), за да осигури тяхната поверителност. IKE използва концепцията на SA, но физическата конструкция на IKE SA е различна от IPSec SA. IKE SA определя начина, по който се осъществява комуникацията между две страни, например кой алгоритъм да се използва за криптиране на трафика на IKE, как да се удостоверят двете страни и т.н. IKE SA се използва,за да установи необходимите IPSec SA между страните. Oakley определя “режимите”, а ISAKMP – “фазите”. Връзката между двете е пряка и IKE представя различните начини на размяна, като режими, които действат в една от двете фази. Във фаза 1 двете страни в ISAKMP установяват сигурен и удостоверен канал, по който да комуникират. Това е т. нар. ISAKMP Security Association. Двата режима, чрез които се осъществява обмяна във Фаза 1, са “Main Mode” и “Aggressive Mode” и се използват само в тази фаза. Във Фаза 2 съществуват два режима – “Quick Mode” и “New Group Mode”. “Quick Mode” се използва за установяване на SA на базата на основния протокол за сигурност. “New Group Mode” е режим от Фаза 2, но услугите, които предоставя, ползват операциите във Фаза 1. Във Фаза 2 SA се договарят за услуги като IPsec например, за които е необходим ключ и/или договаряне на параметри. “Quick Mode” завършва обмяната във Фаза 2 и се използва само в тази фаза. “New Group Mode” следва Фаза 1 и служи за установяване на нова група, която може да бъде използвана при бъдещо договаряне. ISAKMP SA е двупосочна. Поради това веднъж установена, всяка страна може да инициира Quick Mode, Informational и New Group Mode обмен. ISAKMP SA се идентифицира чрез “бисквитките” на инициатора, следвани от тези на отсрещната страна в комуникацията. Основната разлика между режимите във Фаза 1 е броят на обменените съобщения за установяване на SA. В Main Mode те са шест, а в Aggressive Mode - три. ISAKMP хедър Всички операции във Фаза 1 и 2 изискват ISAKMP хедър, който може да бъде следван от различни като дължина payload (товар с данни). ISAKMP хедърът е необходим на ISAKMP протокола, за да поддържа връзката по време на комуникацията. Съществуват 13 дефинирани payload-и, които могат ясно да се разграничат в един ISAKMP хедър. Всеки от тях може да бъде използван за генериране на информация за създаване, управление или изтриване на SA. Както е показано на схемата ISAKMP хедърът е 28-байтов и съдържа основната информация за връзката. “Бисквитките” на инициатора и отсрещната страна са 8-байтови случайни числа, които се използват, за да идентифицират SA. “Бисквитките” са необходми на системите за бързо идентифициране на валидността на комуникациите. Това намалява излагането на атаки от типа “отказ от услуга”(denial-of-service), като позволява на получателя да провери основния номер, споделен в рамките на предходна комуникация, преди обработването на цялостния пакет. .
Полетата “Major” и “Minor” определят версията на ISAKMP, която се използва. “Еxchange type” определя типа на предаваното съобщение. Съществуват няколко съобщения, които могат да се използват в ISAKMP: NONE 0
Identity Protection 2 Authentication Only 3 Aggressive 4 Informational 5 ISAKMP Future Use 6–31 DOI Specific Use 32–239 Private Use 240–255 Полето “Flag” позволява комбинация от три състояния на съобщения. Полето “Message ID” се използва, за да идентифицира уникално състоянието на протокола във Фаза 2. Полето “Length” определя дължината на payloads и на ISAKMP хедъра в байтове. Изтегляне 2.17 Mb. Сподели с приятели:
|