Isi kandungan:
- Takrif - Apakah yang dimaksudkan dengan Internet Key Exchange (IKE)?
- Techopedia menerangkan Internet Key Exchange (IKE)
Takrif - Apakah yang dimaksudkan dengan Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) adalah standard protokol pengurusan utama yang digunakan bersamaan dengan protokol standard Internet Protocol Security (IPSec). Ia menyediakan keselamatan untuk rundingan rangkaian peribadi maya '(VPN) dan akses rangkaian kepada tuan rumah rawak. Ia juga boleh digambarkan sebagai kaedah untuk menukar kunci untuk penyulitan dan pengesahan ke atas medium tidak bercagar, seperti Internet.
IKE adalah protokol hibrid berdasarkan:
- ISAKMP (RFC2408): Persatuan Keselamatan Internet dan Protokol Pengurusan Utama digunakan untuk perundingan dan penubuhan persatuan keselamatan. Protokol ini menetapkan sambungan selamat antara dua rakan IPSec.
- Oakley (RFC2412): Protokol ini digunakan untuk perjanjian utama atau pertukaran utama. Oakley mentakrifkan mekanisme yang digunakan untuk pertukaran utama dalam sesi IKE. Algoritma lalai untuk pertukaran utama yang digunakan oleh protokol ini ialah algoritma Diffie-Hellman.
- SKEME: Protokol ini merupakan versi lain untuk pertukaran utama.
IKE meningkatkan IPsec dengan menyediakan ciri tambahan bersama dengan kelenturan. IPsec, bagaimanapun, boleh dikonfigurasi tanpa IKE.
IKE mempunyai banyak faedah. Ia menghapuskan keperluan untuk menentukan semua parameter keselamatan IPSec secara manual pada kedua-dua rakan sebaya. Ia membolehkan pengguna untuk menetapkan jangka hayat tertentu untuk persatuan keselamatan IPsec. Selain itu, penyulitan boleh diubah semasa sesi IPsec. Selain itu, ia membenarkan pihak berkuasa pemerakuan. Akhirnya, ia membenarkan pengesahan dinamik rakan sebaya.
Techopedia menerangkan Internet Key Exchange (IKE)
IKE berfungsi dalam dua langkah. Langkah pertama menetapkan saluran komunikasi yang disahkan antara rakan sebaya, dengan menggunakan algoritma seperti bursa utama Diffie-Hellman, yang menghasilkan kunci bersama untuk menyulitkan lagi komunikasi IKE. Saluran komunikasi yang terbentuk sebagai hasil daripada algoritma adalah saluran bi-arah. Pengesahan saluran dicapai dengan menggunakan kunci kongsi, tandatangan, atau penyulitan kunci awam.
Terdapat dua mod operasi untuk langkah pertama: mod utama, yang digunakan untuk melindungi identiti rakan sebaya, dan mod yang agresif, yang digunakan apabila keselamatan identiti rakan sebaya bukan merupakan isu penting. Semasa langkah kedua, rakan-rakan menggunakan saluran komunikasi yang selamat untuk menubuhkan rundingan keselamatan bagi pihak perkhidmatan lain seperti IPSec. Prosedur perundingan ini menimbulkan dua saluran satu arah yang mana satu masuk dan keluar yang lain. Mod operasi untuk langkah kedua ialah mod Pantas.
IKE menyediakan tiga kaedah yang berbeza untuk pengesahan rakan sebaya: pengesahan menggunakan rahsia pra-kongsi, pengesahan menggunakan bukan disulitkan RSA, dan pengesahan menggunakan tandatangan RSA. IKE menggunakan fungsi HMAC untuk menjamin integriti sesi IKE. Apabila sesi IKE seumur hidup tamat, pertukaran Diffie-Hellman baru dilakukan dan IKE SA ditubuhkan semula.