Inhoudsopgave:
- Definitie - Wat betekent Internet Key Exchange (IKE)?
- Techopedia verklaart Internet Key Exchange (IKE)
Definitie - Wat betekent Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) is een sleutelbeheerprotocolstandaard die wordt gebruikt in combinatie met het standaardprotocol van Internet Protocol Security (IPSec). Het biedt beveiliging voor onderhandelingen over virtuele particuliere netwerken (VPN's) en netwerktoegang tot willekeurige hosts. Het kan ook worden beschreven als een methode voor het uitwisselen van sleutels voor codering en authenticatie via een onbeveiligd medium, zoals internet.
IKE is een hybride protocol gebaseerd op:
- ISAKMP (RFC2408): Internet Security Association en Key Management Protocols worden gebruikt voor onderhandeling en oprichting van beveiligingsverenigingen. Dit protocol brengt een veilige verbinding tot stand tussen twee IPSec-peers.
- Oakley (RFC2412): Dit protocol wordt gebruikt voor sleutelovereenkomst of sleuteluitwisseling. Oakley definieert het mechanisme dat wordt gebruikt voor sleuteluitwisseling tijdens een IKE-sessie. Het standaardalgoritme voor sleuteluitwisseling dat door dit protocol wordt gebruikt, is het Diffie-Hellman-algoritme.
- SKEME: Dit protocol is een andere versie voor sleuteluitwisseling.
IKE verbetert IPsec door extra functies samen met flexibiliteit te bieden. IPsec kan echter worden geconfigureerd zonder IKE.
IKE heeft veel voordelen. Het elimineert de noodzaak om alle IPSec-beveiligingsparameters bij beide peers handmatig op te geven. Hiermee kan de gebruiker een bepaalde levensduur opgeven voor de IPsec-beveiligingskoppeling. Bovendien kan codering worden gewijzigd tijdens IPsec-sessies. Bovendien staat het certificeringsinstantie toe. Ten slotte maakt het dynamische authenticatie van peers mogelijk.
Techopedia verklaart Internet Key Exchange (IKE)
De IKE werkt in twee stappen. De eerste stap brengt een geverifieerd communicatiekanaal tussen de peers tot stand, met behulp van algoritmen zoals de Diffie-Hellman-sleuteluitwisseling, die een gedeelde sleutel genereert om IKE-communicatie verder te coderen. Het communicatiekanaal gevormd als resultaat van het algoritme is een bidirectioneel kanaal. De authenticatie van het kanaal wordt bereikt met behulp van een gedeelde sleutel, handtekeningen of openbare sleutelversleuteling.
Er zijn twee werkingsmodi voor de eerste stap: hoofdmodus, die wordt gebruikt om de identiteit van de peers te beschermen, en agressieve modus, die wordt gebruikt wanneer de beveiliging van de identiteit van de peers geen belangrijk probleem is. Tijdens de tweede stap gebruiken de peers het beveiligde communicatiekanaal om beveiligingsonderhandelingen te starten namens andere services zoals IPSec. Deze onderhandelingsprocedures geven aanleiding tot twee unidirectionele kanalen, waarvan de ene inkomend en de andere uitgaand is. De bedrijfsmodus voor de tweede stap is de snelle modus.
IKE biedt drie verschillende methoden voor peer-authenticatie: authenticatie met een vooraf gedeeld geheim, authenticatie met RSA-gecodeerde nonces en authenticatie met RSA-handtekeningen. IKE gebruikt de HMAC-functies om de integriteit van een IKE-sessie te garanderen. Wanneer de levensduur van een IKE-sessie verloopt, wordt een nieuwe Diffie-Hellman-uitwisseling uitgevoerd en wordt de IKE SA hersteld.
