Tudd Intuíció, előadás, a biztonság a hálózati réteg IP sec

8.5. kulcsfontosságú internetes adatcsere protokoll (IKE)

Internet Key Exchange protokollt (IKE - Internet Key Exchange), hogy hozzon létre a bejövő és kimenő biztonsági szolgálatok. Ahogy megbeszéltük az előző részben, amikor egy IP csomag közötti átvitelét azonos szinten, majd kapcsolja be a biztonsági stratégia alapú adatok (SPDB), hogy ha a SA rendelkezik az ilyen típusú forgalmat. Ha nincs SA. úgynevezett IKE. e telepíteni.

Internet Key Exchange protokoll teremt őrszolgálatok SA „s IPSec.

IKE - komplex protokoll alapján a három másik protokollok: OAKLEY. SKEME és ISAKMP. ábrán látható. 8.15.

Ábra. 8.15. Összetevői közül a kulcs kezelésére protokoll az interneten

Oakley protokollt fejlesztettek Hillary Orman. Ez a kulcs generációs protokoll alapján eljárás változása DiffieHellman-, de némi javulás. Oakley - percig szabad formátumú, abban az értelemben, hogy nem határozza meg az üzenetek formátuma váltott a felek. Ebben a fejezetben nem foglalkozunk a Oakley protokoll közvetlenül, hanem megmutatjuk, hogyan IKE használja elképzeléseit.

SKEME. által tervezett Hyugo Kravchikom, ez egy másik protokoll megváltoztatni a kulcsokat. Ez használ a nyilvános kulcsú titkosítás valódiságát a tárgy a jelentésben kulcsismétlése. Mi röviden áttekintjük, hogyan az egyik módszer által használt IKE. alapuló SKEME.

Biztonság és Key Management Protocol Internet-szolgáltatások (ISAKMP) fejlesztett protokoll szerint a Nemzetbiztonsági Ügynökség (NSA), amely tulajdonképpen elvégzi az üzenetek cseréje. meghatározott IKE. Ez határozza meg néhány, a csomagok, protokollokat és paramétereket, amelyek lehetővé teszik IKE üzenetváltás standardizált, formázott üzenetek létrehozásához SA „s. Megbeszéljük a következő részben ISAKMP a protokoll IKE.

Ebben a részben fogunk beszélni közvetlenül a Ike, mint egy mechanizmust a biztonság megteremtése szolgáltatások SA „s IPSec.

Superior kulcs menedzsment protokoll DiffieHellman-

Az ötlet a legfontosabb változások az IKE protokoll alapján DiffieHellman-. Ez a protokoll egy session key között két egyenlő, mind az eljárások, anélkül, hogy létezik-e bármilyen korábbi biztonsági eszközöket.

A „Key Management”, megbeszéltük a módszer DiffieHellman-; ezt a módszert a koncepció ábrán foglaljuk össze. 8.16.

Ábra. 8.16. Kulcs csere DiffieHellman-

Az eredeti módszer, csere Diffie-Hellman, amint azt az 5. fejezetben (5.3), a két fél létre szimmetrikus ülésszak kulcsként. hogy adatokat cseréljenek. Ugyanakkor nem kell emlékezni, vagy tárolja a kulcsot a későbbi felhasználáshoz. Mielőtt létrehozásáról szimmetrikus kulcsot, a két fél kell választani a két szám: p és g. Az első szám, p. egy nagy prímszám mintegy 300 decimális szám (1024 bit). A második szám, g. - generátor-csoport.

. Alice kiválaszt egy véletlenszerű nagyszámú i és kiszámítja KE-I = g i mod p. Ő küld Bob KE-én. Bob úgy dönt, egy másik nagy R véletlen szám és kiszámítja KE-R = g i mod p. Ez továbbítja KE-I = g i mod p Alice. Ne feledje, hogy a KE-I és a KE-R. poluklyuchi a Diffie-Hellman módszerrel, keletkezett a megegyező szintű folyamatok. Ezeket kombinálni kell együtt egy komplett kulcsot, K = G IR mod p y. K - a szimmetrikus kulcs az ülésen.

DiffieHellman-protokoll van néhány gyenge pontja, hogy el kell távolítani, mielőtt elfogadható lesz a csere az Internet segítségével.

Az első probléma a DiffieHellman-protokoll - infests támadás vagy szolgáltatásmegtagadási támadások. A támadó képes átadni egy csomó poluklyuchey (g x mod q) üzenetet Bob, az ürüggyel, hogy a különböző forrásokból. Aztán Bob kell számítani különböző válaszokat (g y mod q), és ugyanabban az időben, hogy kiszámítja a teljes kulcsot (g y mod q); Bob a terhelés úgy, hogy nem reagál az egyéb üzeneteket. Ő nem fogja a szolgáltatás az ügyfelek. Ez akkor történhet meg, mert a DiffieHellman-protokoll igényel sok időt a számításokhoz.

Eltömődés megakadályozására a támadás, akkor adjunk a perc két új állást, és arra kényszeríti a két felet, hogy át a cookie-kat

Ábra. 8.17. Módszer Diffie - Hellman a cookie-kat

Megtéve szennyezik a támadást. IKE cookie-kat használ.

lejátszás támadás

Mint más protokollok, már néztem eddig, a DiffieHellman-protokoll ellenálló támadás lejátszás; Információk az egyik ülésen lehet rögzíteni és lejátszani dekódolás nélkül egy későbbi ülésen támadó. Annak érdekében, hogy ezt a támadást, akkor adjunk hozzá egy nonce a harmadik és a negyedik jelentést, hogy megőrizze frissességét az üzenetet.

Hogy megvédje az ismétléses támadásokat. IKE használja az egyszer.

A harmadik és legveszélyesebb fajta támadás protokoll DiffieHellman-- támadás „közvetítő”, a korábban tárgyalt a „Key Management”. Eve kaphat a közepén a párbeszéd, és hozzon létre egy kulcsot között Alice és én és a másik kulcs között Bob és én. Megakadályozzuk ezt a támadást nem olyan egyszerű, mint az első kettő. Meg kell hitelesíteni minden oldalon.

Alice és Bob biztosítaniuk kell, hogy az integritás a tárolt üzeneteket, és hogy mindkét hitelesített egymással.

Authentication üzenetküldés (üzenet sértetlenségét) és hitelesítése a felek (hitelesítés objektum) előírja, hogy minden félnek kell bizonyítania, hogy rendelkezik a szükséges azonosító kódot. Ehhez az egyik, hogy bizonyítani, hogy a titok.

Megtéve támadás „közvetítő”. IKE megköveteli, hogy minden fél azt mutatják, hogy az a titok.

Az IKE titok lehet az alábbi billentyűkombinációkat:

• a. előzetes besorolását a nyilvános kulcs;
• b. gőz korábban ismert nyilvános kódoló / dekódoló kulcsot. A cél az, hogy megmutassa, hogy az üzenet titkosítva van a meghirdetett nyilvános kulcs lehet visszafejteni használatával a megfelelő privát kulcsot;
• a. gőz korábban ismert nyilvános kulcsú digitális aláírás. A cél az, hogy megmutassa, hogy ő is aláírja az üzenetet saját privát kulcsával, ami lehet ellenőrizni a bejelentett nyilvános kulcsot.

IKE teremt SA „s üzenetküldő protokoll, például az IPSec. IKE. Ugyanakkor meg kell osztani a bizalmas és hivatalos kommunikáció. Mi SA „s IKE protokoll biztosítja magát? Lehet kitalálni, hogy szükség van egy végtelen lánc SA „s: IKE kell létrehoznia SA” s IPSec. X protokoll létrehozása SA „s az IKE. Y protokollt kell létrehozni SA „s protokoll X, és így tovább. Ennek a dilemmának, és ezzel egy időben elhagyják IKE független IPSec protokollt. IKE IKE fejlesztők két szakaszra oszlik. Az I. szakaszban IKE teremt SA „s a fázis II. Fázis II IKE teremt SA „s az IPSec vagy más protokollt.

Fázis I egy bázis; Fázis II van beállítva a protokollt.

Ike két fázisra osztják: fázis I és fázis II. I. fázis teremt SA „s fázis II; Fázis II teremt SA „s protokoll adatcsere, például mint például az IPSec.

A kérdés azonban továbbra is fennáll: hogyan védi 1. fázis? A következő részben bemutatjuk, hogyan kell használni a fázis 1 SA. ami képződik fokozatosan. Régebbi bejegyzések helyébe az eredeti szövegben; helyébe később létrehozott bejegyzéseket a korai jelentések.

Fázisok és módok

Ahhoz, hogy figyelembe vegyék a sokszínűség módszerek cseréjét, IKE meghatározott módok fázisban. Jelenleg két üzemmód fázis I: a fő mód és energikus módban. Csak üzemmód Fázis II - a leggyorsabb módban. Ábra. 8.18 közötti kapcsolatot mutatja a fázisok és módok.

Ábra. 8.18. IKE fázis

Jellegétől függően az előzetes titok a két fél között, rezsimek I. fázis lehetőségek közül négy különböző hitelesítési módszerek: egy eljárás a megnyitás előtti besorolás kulcsot, az eljárás kezdeti nyilvános kulcs, a nyilvános kulcs a felülvizsgált módszer vagy eljárás aláírás, ábrán látható. 8.19.

Ábra. 8.19. Módszerek primer vagy energetikai módban

Üdvözlünk! Szeretném tisztázni, a következő kérdést: megállt MIT állami elismerése, és mikor vosstanovlena- ismeretlen és diploma profperepodgotovke kiadott MTI (ha jól értem). Amint lesz a helyzet a diploma?

A kérdés fontos és lényeges, mert sürgősen a képzést és diplomát szerezni, és nem akarja, hogy időt és pénzt a semmiért (ha a tanúsítvány érvénytelen, stb.) Kérjük, fejtse ki a helyzetet.

Jó napot, szeretném tisztázni a jövőben igazítani kívánt ezt a programot a szabályozók és hogy maga a tanúsítvány kerül sor, amikor szabványokat írt prof?