Лекция
Протокол управления ключами IKE в стеке протоколов IPSec
Протокол SSL, распределение ключей
Протоколы защиты информации на различных уровнях протокола TCP/IP
1.Основные сведения о протоколе IPSec
IKE
Базы данных: SAD, SPD
Security Association (SA) Безопасная ассоциация Контекст безопасности
SA однонаправленное логическое соединение, создаваемое для обеспечения безопасности обмена информацией.
SA задается совокупностью параметров соединения.
SA однозначно определяется тройкой:
-Security Parameter Index (SPI);
-IP Destination Address (Адрес назначения); -Типом протокола безопасности: AH или ESP.
Установление безопасных ассоциации
|
|
Начальный обмен 1. Создание IKE SA |
|
|
|
|
Согласование параметров: |
|
|
|
|
(протокол, алгоритм, режим),выработка |
|
|
|
|
шифрключей для алгоритмов, |
Хост 2 |
|
|
|
аутентификация сторон |
||
|
|
|||
|
|
|
|
|
Хост 1 |
|
|||
|
|
2. Создание дочерней SA |
|
|
|
|
(CREATE CHILD SA) |
|
|
3. Информационный обмен. Передача трафика в защищенном режиме, передача управляющих сообщений
IP-пакет до и после применения протокола ESP
IP-пакет после применения протокола АН в транспортном и туннельном режимах
Internet Key Exchange (IKE)
IKE v1 RFC 2409
ISAKMP RFC 2408
DOI RFC 2407
Oakley
IKE v2 RFC 4306
Алгоритм Диффи-Хеллмана
A |
|
gx |
|
B |
х |
|
|
|
|
|
gy |
|
y gxy |
|
|
|
|
||
gyx |
|
|
|
|
|
|
|
gx gy, значения Диффи-Хеллмана (KЕA), (KЕв) gxy – ключ Диффи-Хеллмана
Ks= prf(gxy) – сессионный ключ
Атака человек посредине
A |
|
|
|
|
|
|
|
||
gx |
|
Е |
x’ |
|
gx’ |
|
B |
||
х |
|
|
|
|
|
|
|
|
|
gy’ |
y’ |
|
|
gy |
|
|
y |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
gx’y |
|||
y’x |
xy’ |
|
g |
yx’ |
|||||
g |
g |
|
|
|
|
|
|
||
|
Ks |
|
|
|
K’s |
|
|
|
|
K = сессионный ключ |
|
|
K’s= сессионный ключ |
||||||
s |
между А и Е |
|
|
|
между Е и В |
||||
|
|
|
|
||||||