IP-пакет после применения протокола АН в транспортном и туннельном режимах
Internet Key Exchange (IKE)
IKE v1 RFC 2409
ISAKMP RFC 2408
DOI RFC 2407
Oakley
IKE v2 RFC 4306
Алгоритм Диффи-Хеллмана
A |
|
gx |
|
B |
х |
|
|
|
|
|
gy |
|
y gxy |
|
|
|
|
||
gyx |
|
|
|
|
|
|
|
gx gy, значения Диффи-Хеллмана (KЕA), (KЕв) gxy – ключ Диффи-Хеллмана
Ks= prf(gxy) – сессионный ключ
Атака человек посредине
A |
|
|
|
|
|
|
|
||
gx |
|
Е |
x’ |
|
gx’ |
|
B |
||
х |
|
|
|
|
|
|
|
|
|
gy’ |
y’ |
|
|
gy |
|
|
y |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
gx’y |
|||
y’x |
xy’ |
|
g |
yx’ |
|||||
g |
g |
|
|
|
|
|
|
||
|
Ks |
|
|
|
K’s |
|
|
|
|
K = сессионный ключ |
|
|
K’s= сессионный ключ |
||||||
s |
между А и Е |
|
|
|
между Е и В |
||||
|
|
|
|
||||||
Типы блоков данных
Начальный обмен IKE_UNIT_ SA
Инициатор - i Ответчик- r
HDR, SAi1,KEi,Ni
HDR, SAr1,KEr,Nr, [CERTREQ]
|
|
|
SKEYSEED |
|
SKEYSEED |
||||
|
|
|||
SK_e SK_a |
|
SK_e SK_a |
||
|
SK_d |
|
SK_d |
|
|
|
|||
|
|
|
|
|
IKE_AUTH
Обмен IKE_AUTH
Инициатор - i Ответчик- r
HDR, SK{IDi, [CERT], [CERTREQ], IDr,
AUTH, SAi2, TSi, TSr}
HDR, SK{IDr, [CERT], AUTH, SAr2, TSi, TSr},
IKE_SA, CHILD_SA
Формат заголовка IKE
Формат заголовка блока данных
Блок данных(SA
- Контекст безопасности
Предложение типа преобр. …. Предложение типа преобр.
Протокол |
|
Протокол |
…. |
Протокол |
|
|
|
|
|
Преобразование |
Преобразование …. |
Преобразование |
Атрибут Атрибут …. Атрибут |
|
|
Подструктура Преобразование
