文章横幅PC版
文章横幅iPad版
文章横幅手机版

密钥交换协议

TIME:2018-11-15 16:13  click: 627 次 来源: 未知

Internet密钥交换协议是IPSec默认的安全密钥协商方法。INTERNET密钥交换协议由一系列报文交换成2个实体实施安全通信派生会话密钥。INTERNET密钥交换协议建立在Internet安全关联与密钥管理协议(ISAKMP)定义的框架之上。INTERNET密钥交换协议为IPSec现在正式定了的密钥交换协议,INTERNET密钥交换协议为IPSec的AH与ESP协议给出密钥交换管理与SA管理,同时也向ISAKMP给出密钥与安全管理。INTERNET密钥交换协议有2种密钥管理协议的部分功能,并结合了OAkLEY与SKEME的密钥交换方案,构成了独特的被鉴别保护的加密材料生成技术。

INTERNET密钥交换协议协议主要是管理密钥交换,它主要有3个功能:协商用的协议、加密算法与密钥;便捷的密钥交换机制;追踪实施如上约定。

INTERNET密钥交换协议使用了两个阶段的ISAKMP:第一阶段,协商构建1个通信信道(INTERNET密钥交换协议 SA),且验证此信道,为两方进一步的INTERNET密钥交换协议通信给出机密性、消息完整性与源验证服务;第二阶段,用已建立的INTERNET密钥交换协议 SA构建IPSec SA。INTERNET密钥交换协议总共规定了五种交换。阶段一有2种模式的交换:保护身份的“主模式”交换及由基本ISAKMP文档定的“野蛮模式”交换。阶段二用“快速模式”交换。INTERNET密钥交换协议定义了2种交换:通信各方间协商新的Diffie-Hellman组类型的“新组模式”交换;在INTERNET密钥交换协议通信两方间传错误与状态消息的ISAKMP信息交换。

(1)主模式交换给出了身份保护机制,经3个步骤共交换了6条消息。3个步骤分别是策略协商交换、Diffie-Hellman共享值、Nonce交换及身份验证交换。

(2)野蛮模式交换也分成3步,不过仅交换3条消息:前2条消息协商策略,交换Diffie-Hellman公开值一定要的辅助数据与身份信息;第2条消息认证响应方;第3条消息认证发起方,且给发起方给出在场的证据。

(3)快速模式交换由3条消息构建IPSec SA:前2条消息协商IPSec SA的各个参数值,且产生IPSec用的密钥;第2条消息还给响应方给出在场的证据;第3条消息给发起方给出在场的证据。

(4)新组模式交换通信两方通过新组模式交换协商新的Diffie-Hellman组。新组模式交换是请求/响应交换其中的一种。发送方发送提出的组的标识符及它的特征,若响应方可以接收提议,则用全部相同的消息应答。

(5)ISAKMP信息交换参与INTERNET密钥交换协议通信的两方都可以对对方发送错误与状态提示消息。这实际上并不是真实意义上的交换,而仅为发单独一条消息,无需确认。

INTERNET密钥交换协议协议的基础是Diffie-Hellman密钥交换算法,且引入了实体身份认证与消息验证机制,来实现经认证的可靠的密钥交换。INTERNET密钥交换协议可符合4种身份认证方法,均能用在主模式交换与激进模式交换。

INTERNET密钥交换协议交换的最后结果为经过验证的密钥和建立在双方愿意基础上的安全服务,一个实例即为IPSEC的安全关联,随着交换模式与身份认证方式的不一样,INTERNET密钥交换协议详细规定了具体的交换过程。

上一篇:密钥托管体制的构成 下一篇:pki由几部分组成