因特网密钥交换(IKE)
贡献者:DXY701121 浏览:1888次 创建时间:2009-07-16
-
因特网密钥交换协议”解决了安全通信设备中的大多数突出问题:确认双方并交换双称密钥。它创建“安全联盟”并装入“安全联盟数据库”中。“因特网密钥交换协议”经常需要一个用户空间守护进程并且不在操作系统核心中执行。“因特网密钥交换协议”使用UDP的500端口来进行通信。
“因特网密钥交换协议”功能分两个阶段。第一个阶段建立一个“因特网安全联盟密钥管理安全联盟”(ISAKMP SA:Internet Security Association Key Management Security Association)。第二阶段,“因特网安全联盟密钥管理安全联盟”用来商讨并配置IPsec的“安全联盟”(SA)。
双方的第一阶段认证经常使用基于“预先共享密钥”(PSK:pre-shared keys)、RSA 密钥(RSA keys)和 X.509证书(Racoon甚至支持Kerberos)。
第一阶段通常支持两种不同的模式:主模式和好斗模式。两种模式都鉴别对方并设置ISAKMP SA,但好斗模式只使用一半数量的信息达到这个目。这是它的缺点,因为好斗模块不支持身份保护,因此如果与预共享密钥一起使用,它容易受到“中间人攻击” (man-in-the-middle attack)。另一方面,这只是好斗模式的用途,因为主模式的内部工作形式不支持对未知的一方使用不同的预共享密钥。好斗模式不支持身份保护和用普通文字传送客户的身份,因此在认证发生前,一方知道另一方,并且不同的预共享密钥可以被不同的一方使用。
开放分类
参考资料
贡献者
本词条在以下词条中被提及:
关于本词条的评论共:(0条)