مخفف IKE
Internet Key Exchange
21
IKE پروتکلی است که چندین مسئله مهم در ارتباط امن را تنظیم میکند. احراز هویت نقاط نظیر و کلید تبادلی متقارن. این پروتکل مجمع امنیت (SA) را ایجاد کرده و درSAD یا پایگاه مجمع امنیت (Security Association data base ) قرار میدهد. IKE پروتکلی است که عموماً نیازمند فضای کاربر فوق العادهای است و روی سیستمهای عامل پیاده سازی نمیشود. پروتکل IKE، از پورت شماره UDP/500 استفاده میکنند. IKE از دو مرحله تشکیل شده است. اولین مرحله همان تشکیل مجمع امنیت مدیریت کلید (Internet Security Association and key) یا (ISAKMP SA) میباشد. در مرحله دوم ISAKMPSA، برای مذاکره و تنظیم IPSec , SA بکار میرود. احراز هویت مرحله اول نقاط نظیر معمولاً بر مبنای کلیدهای پیش اشتراک شده (Per shared Keys )، کلیدهای RSA و گواهینامه X509 بوجود میآید. مرحله اول از دوحالت پشتیبانی مینماید. حالت اصلی (main mode) و حالت تهاجمی (aggressive mode) این دو حالت نقاط نظیر را احراز هویت کرده و ISAKMP SA را تنظیم می نمایند. در حالت تهاجمی تنها نصف تعداد پیامها در این مورد تحت پوشش قرار میگیرد. به هر حال این خود یک اشکال محسوب میشود، زیرا این حالت نمیتواند از هویت نقاط نظیر پشتیبانی حفاظت نماید و از این جهت است که این حالت با داشتن کلید پیش اشتراکی (PSK) مستعد حملات میان راهی (man-in-the-middle) خواهد بود. از طرف دیگر تنها منظور از حالت تهاجمی همین است. در حالت اصلی نه تنهااز کلید پیش شرط مختلف نمیتواند پشتیبانی نمایدبلکه نقاط نظیر به نظیر را نیز نمیشناسد. در حالت تهاجمی که از حفاظت هویت افراد / نقاط حمایت نمیکند و هویت کاربران انتهایی را چنین شفاف انتقال میدهد. بنابراین نقاط نظیر هر چیز را خواهد دانست پیش از آنکه احراز هویتی در مورد جا و کلیدهای پیش شرط بتواند بکار برد. در مرحله دوم پروتکل IKE که SAهای پیشنهادی تبادل میشوند و توافقاتی بر پایه ISAKMP SA برای SA انجام خواهد شد. ISAKMP SA احراز هویت برای حفاظت از تهاجمات میان راهی را تهیه می بیند. دومین مرحله از حالت سریع استفاده میکند. معمولاً دو نقطه نظیر روی SAKMP SA با هم مذاکره و توافق میکنند که هر دو طرف معمولاً روی چندین مذاکره (حداقل 2 تا) بطور غیر مستقیم توافق کنند.
ارسال نظر