目录:
定义-Internet密钥交换(IKE)是什么意思?
Internet密钥交换(IKE)是与Internet协议安全性(IPSec)标准协议结合使用的密钥管理协议标准。 它为虚拟专用网络(VPN)协商和对随机主机的网络访问提供安全性。 它也可以描述为一种在不安全的介质(例如Internet)上交换用于加密和身份验证的密钥的方法。
IKE是基于以下内容的混合协议:
- ISAKMP(RFC2408):Internet安全关联和密钥管理协议用于协商和建立安全关联。 该协议在两个IPSec对等体之间建立安全连接。
- Oakley(RFC2412):此协议用于密钥协议或密钥交换。 Oakley定义了用于通过IKE会话进行密钥交换的机制。 该协议使用的默认密钥交换算法是Diffie-Hellman算法。
- SKEME:此协议是密钥交换的另一个版本。
IKE通过提供附加功能和灵活性来增强IPsec。 但是,可以在没有IKE的情况下配置IPsec。
IKE有很多好处。 它消除了在两个对等方手动指定所有IPSec安全参数的需要。 它允许用户为IPsec安全关联指定特定的生存期。 此外,可以在IPsec会话期间更改加密。 而且,它允许证书颁发机构。 最后,它允许对等方进行动态身份验证。
Techopedia解释了Internet密钥交换(IKE)
IKE分两步工作。 第一步,通过使用Diffie-Hellman密钥交换之类的算法在对等方之间建立经过身份验证的通信通道,该算法会生成共享密钥以进一步加密IKE通信。 作为算法的结果而形成的通信信道是双向信道。 通过使用共享密钥,签名或公共密钥加密来实现通道的身份验证。
第一步有两种操作模式:主模式(用于保护对等身份)和激进模式(用于积极模式),当对等身份的安全性不是重要问题时使用。 在第二步中,对等方代表其他服务(例如IPSec)使用安全通信通道来建立安全协商。 这些协商过程产生两个单向通道,其中一个是入站通道,另一个是出站通道。 第二步的操作模式是快速模式。
IKE提供了三种不同的对等身份验证方法:使用预共享密钥的身份验证,使用RSA加密随机数的身份验证以及使用RSA签名的身份验证。 IKE使用HMAC功能来保证IKE会话的完整性。 当IKE会话生存期到期时,将执行新的Diffie-Hellman交换,并重新建立IKE SA。
