www.ipv6.cz

Postranní lišta

cs:internet_key_exchange_protocol

Internet Key Exchange Protocol

Internet Key Exchange Protocol (IKEv2) slouží ke správě bezpečnostních asociací pro zabezpečení IPv6. Tato činnost vyžaduje koordinaci obou stran - musí se dohodnout na kryptografických algoritmech, jejich parametrech a používaných klíčích. Tato dohoda by samozřejmě pokud možno měla probíhat neveřejně, proto IKEv2 nejprve vytvoří jednu bezpečnostní asociaci pro svou vlastní potřebu (je označována jako IKE_SA). Veškerá jeho další komunikace je pak šifrována podle IKE_SA.

Komunikace IKEv2 probíhá v tak zvaných výměnách (exchange). Jednu výměnu tvoří vždy dvě zprávy – požadavek a odpověď. Základní specifikace protokolu definuje čtyři výměny – dvě se používají při zahájení, jedna ke správě bezpečnostních asociací a jedna pro vzájemnou výměnu informací. IKEv2 využívá Diffie-Hellmanův algoritmus pro vytvoření sdíleného tajemství využívaného pro generování klíčů.

thumb|Zahajovací výměny IKEv2

Zahájení IKEv2 komunikace zahrnuje dvě výměny. První nese označení IKE_SA_INIT a jejím úkolem je vytvořit asociaci IKE_SA pro vnitřní potřeby protokolu. Iniciátor komunikace navrhne její možné parametry a pošle svou hodnotu pro Diffie-Hellmanův algoritmus. Příjemce zprávy vybere parametry IKE_SA, jež z navržených variant považuje za optimální a sdělí svou volbu v odpovědi. Přidá svou hodnotu pro Diffie-Hellmanův algoritmus. Obě zprávy navíc nesou unikátní hodnotu pro ochranu proti kopírování.

Po první výměně jsou nastaveny parametry IKE_SA a oba partneři si vyměnili veřejné hodnoty pro Diffie-Hellmanův algoritmus. Vypočtou si sdílené tajemství a z něj definovaným způsobem odvodí klíče pro IKE_SA. Od tohoto okamžiku jsou veškeré další výměny chráněny IKE_SA.

Druhá výměna (IKE_AUTH) slouží k ověření totožnosti účastníků a zároveň k vytvoření první „užitkové“ asociace pro výměnu dat. Účastníci si v ní vymění autentizační data s doprovodnými certifikáty a zároveň obvyklým postupem návrh-potvrzení volby dohodnou parametry první datové asociace.

Pro pozdější navazování dalších asociací slouží výměna CREATE_CHILD_SA, opět postavená na principu, kdy jedna strana navrhne možné parametry zabezpečení, druhá si z nich vybere a svou volbu oznámí protějšku.

Odkazy

  • RFC 5996 - specifikace IKEv2
  • RFC 4307 - kryptografické algoritmy pro IKEv2
Poslední úprava:: 24.09.2019 13:01

Rychlé odkazy

Kontakt

CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz

Stálá služba

Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz

© 1996–2024 CESNET, z. s. p. o.