Знайте, Intuit, лекция, сигурността на мрежата слой IP сек на
8.5. ключ Интернет обмен протокол (IKE)
Internet Key Exchange протокол (IKE - Internet Key Exchange) е да се създаде и двете входящи и изходящи услуги за сигурност. Както казахме в предишния раздел, когато IP пакет се предава между еднакво ниво, а след това се обръщат към стратегия за сигурност, базирани на данните за (SPDB), за да види дали има SA за този вид трафик. Ако няма SA. наречен IKE. да я инсталирате.
Internet Key Exchange протокол създава служби за сигурност SA е за IPSec.
IKE - комплекс протокол, въз основа на три други протоколи: OAKLEY. SKEME и ISAKMP. както е показано на фиг. 8.15.
Фиг. 8.15. Компоненти на ключ протокол за управление на в Интернет
Oakley протокол е разработен Хилъри Орман. Този ключ протокол поколение, базиран на метода на смяна на Diffie-Hellman, но с някои подобрения. Oakley - та минута от пряк свободен формат, в смисъл, че той не определя формата на съобщенията, които се обменят между страните. В тази глава, ние не разглеждаме протокола Oakley директно, но ние показваме как IKE използва идеите му.
SKEME. проектирана от Hyugo Kravchikom, това е друг протокол за промяна на ключовете. Той използва публичен ключ за криптиране, за да се установи автентичността на обекта в подмяна на ключа на отчета. Ние ще разгледаме накратко как един от най-използваните от IKE методи. въз основа на SKEME.
Сигурност и Key протокол за управление на интернет-услуги (ISAKMP) е протокол, разработен от Агенцията за национална сигурност (NSA), който всъщност извършва обмен на съобщения. дефинирани в IKE. Той определя някои от пакетите, протоколи и параметри, които позволяват на IKE обмен на съобщения в стандартизирани, форматирани съобщения, за да се създаде SA е. Ще обсъдим в следващия раздел ISAKMP като протокол за IKE.
В този раздел ще говорим директно за IKE като механизъм за създаването на услуги за сигурност в SA е в IPSec.
Superior ключ протокол за управление е Diffie-Hellman
Идеята за ключови промени в протокола IKE основава на Diffie-Hellman. Този протокол дава ключ на сесия между двете равни по отношение на процесите, без да е необходимо за съществуването на всички предишни инструменти за сигурност.
В "Управление на ключовете", обсъдихме метода на Diffie-Hellman; тази концепция метод е обобщен във Фиг. 8.16.
Фиг. 8.16. Ключови обмен Diffie-Hellman
В оригиналния метод, обмяна на Diffie-Hellman, както е показано в глава 5 (точка 5.3), двете страни създават симетричен ключ на сесия. за обмен на данни. В същото време те не трябва да се помни, или съхранете ключа за бъдеща употреба. Преди създаването на симетричен ключ, двете страни трябва да изберат две числа: р и ж. Първият номер, стр. е голямо просто число на около 300 десетични числа (1024 бита). Вторият номер, гр. - генератор група.
Diffie-Hellman протокол има някои слабости, които трябва да бъдат отстранени преди това ще бъде приемливо за обмен на интернет ключове.
Първият проблем с протокола Diffie-Hellman - заразяват атака или отказ на услуга атаки. Един хакер може да премине много poluklyuchey (г х мод р) съобщение на Боб, преструвайки, че те са от различни източници. Тогава Боб трябва да се изчисли различни отговори (ж у мод р), и в същото време да се изчисли общата ключ (ж у мод р); Боб е натоварване, така че да може да спре да отговаря на каквито и да било други съобщения. Той ще откаже да обслужват клиенти. Това може да се случи, защото протоколът Diffie-Hellman изисква много време за изчисления.
За да се предотврати запушване на атаката, можем да добавим към протокола от две допълнителни работни места и принуди двете страни да прехвърлят бисквитки
Фиг. 8.17. Метод Дифи - Хелман бисквитки
За да се предпазят от замърсяване на атаката. IKE използва бисквитки.
атака на възпроизвеждане
Подобно на други протоколи, които сме разглеждали до момента, протокол Diffie-Hellman е устойчив на възпроизвеждане атака; Информация от една сесия може да се записва и възпроизвежда без декодиране в бъдещо заседание на нападателя. За да се предотврати тази атака, ние можем да добавите nВеднага щом до третото и четвъртото доклади, за да се запази свежестта на съобщението.
За да се защити срещу нападения за преиграване. IKE използва дадения случай.
Третият и най-опасния вид атака протокол Diffie-Hellman - атакува "посредник", беше дискутирано в дирекция "Управление на ключ". Ева може да получи в средата на диалога и да се създаде един ключ между Алис и себе си и друг ключов между Боб и себе си. Осуети тази атака не е толкова лесно, колкото и първите две. Ние трябва да удостовери всяка страна.
Алис и Боб трябва да гарантира, че целостта на съхраняваните съобщения, както и че и двете са заверени един до друг.
Authentication съобщения (цялост) и удостоверяване на страните (удостоверяване обект) изисква всяка страна да докаже, че притежава необходимата идентификационен код. За да направите това, трябва да се докаже, че има в тайна.
За да се предпази от нападение "посредник". IKE изисква всяка страна е показала, че има тайна.
Секретността IKE може да бъде в една от следните комбинации от клавиши:
- а. предварителна класификация на публичния ключ;
- б. пари по-рано известен ключ за шифриране обществена / декриптиране. Целта е да се покаже, че съобщението е криптирана с обявената публичния ключ може да бъде разшифрован го използвате съответния частен ключ;
- инча пари по-рано известен публичен ключ цифров подпис. Целта е да се покаже, че той може да подпише съобщението в личния му ключ, който може да бъде проверен от декларираните му публичен ключ.
IKE създава протокол съобщения SA е като IPSec. IKE. Въпреки това, той трябва да споделят поверителни и се заверяват комуникации. Какво SA е IKE протокол предвижда самата? Човек може да предполагам, че изисква безкрайна верига от SA е: IKE трябва да установи SA е за IPSec. X протокол е да се създаде SA е за IKE. Y протокол трябва да създаде SA е за протокол X, и така нататък. За решаването на този проблем, и в същото време да напусне IKE независимо от IPSec протокол. IKE IKE разработчиците разделени в две фази. Във фаза I IKE създава SA е за фаза II. Във фаза II IKE създава SA е за IPSec или друг протокол.
Фаза I е база; Фаза II е настроен за протокола.
IKE се разделя на две фази: Фаза I и Фаза II. Фаза I създава SA е за Фаза II; Фаза II създава протокол SA е за обмен на данни, например, като IPSec.
Въпреки това, остава въпросът: как е защитена от Фаза 1? В следващия раздел ще покажем как да използвате фаза 1 SA. която се образува постепенно. По-стари публикации са заменени в оригиналния текст; по-късно заменен от създадените от началото на докладите.
Фази и режими
За да се вземе предвид разнообразието от методи за обмяна на валута, IKE определя за режима фази. В момента има два режима за фаза I: основен начин и енергичен режим. Само режим за Фаза II - най-бързия начин. Фиг. 8.18 показва връзката между фазите и режими.
Фиг. 8.18. IKE фаза
В зависимост от характера на предварителния тайна между двете страни, режими на фаза I могат да използват един от четири различни методи за удостоверяване: метод за ключов предварително въвеждане в класирането, като методът за първично публично ключ, публичния ключ на преразгледания метод или подписът на метод, както е показано на фиг. 8.19.
Фиг. 8.19. Методи първичен или енергичен режим
Добре дошли! Бих искал да се изясни следния въпрос: спря в Масачузетския технологичен институт държавна акредитация, както и кога ще vosstanovlena- неизвестен и диплома, издадена в profperepodgotovke MTI (както разбирам). Както ще бъде случаят с диплома?
Въпросът е важен и от значение, тъй като е необходимо спешно да се премине обучение и да получат диплома и не искам да губя време и пари, за да плащат за нищо (ако сертификатът е невалиден, и т.н.). Моля, обяснете ситуацията повече.
Добър ден, бих искал да се изясни в бъдеще искате да се приведе в съответствие с тази програма регулатори и дали самото удостоверение ще се проведе в момент, когато стандартите се вписват проф?