前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >什么是 IPSec 互联网密钥交换 (IKE)?

什么是 IPSec 互联网密钥交换 (IKE)?

作者头像
网络技术联盟站
发布2023-03-05 09:23:03
2.5K0
发布2023-03-05 09:23:03
举报
文章被收录于专栏:网络技术联盟站
来源:网络技术联盟站 链接:https://www.wljslmz.cn/11424.html

你好,这里是网络技术联盟站。

Internet 密钥交换 (IKE) 是一种协议,旨在为需要加密通信的终端创建安全关联。IKE 是一种基于 UDP应用层协议,它建立在 Internet 安全协会和密钥管理协议 (ISAKMP) 框架之上。

对于 IPSec VPN,IKE 旨在协商加密密钥和验证密钥以保护私有数据。

为什么我们使用 IKE 协议?

为了通信数据的安全,我们经常需要对其进行加密,这样即使第三方截获了这部分数据,在没有密钥的情况下也无法解密,从而保证了通信双方和数据的安全。

在这种加密通信的过程中,我们知道,要对数据进行加密和解密,我们需要密钥,发送数据时使用密钥进行加密,接收数据时使用密钥进行解密。为了安全起见,这对密钥只有通信双方才能知道。

例如,Bob 和 Linda 预先协商使用密钥 123456,这当然是一个不太好的密钥,因为它太容易被猜到。当 Bob 向 Linda 发送消息时,该消息被 123456 加密。当 Linda 收到消息时,它使用 123456 解密来自 Bob 的消息。

如果 Hacker 在 Bob 和 Linda 协商密钥时偷听到了,此时如果 Hacker 获得 Bob 发送给 Linda 的消息,他可以用偷听到的密钥解密该消息。这使得 Bob 和 Linda 之间的通话不再安全。

上面的例子解释了对称密钥是如何工作的,对称密钥易于使用。相应地,一旦密钥泄露,整个通信就变得不再安全。

图 1. 对称加密密钥泄露可能导致信息泄露

为此,设计了非对称加密

还是以 Bob 和 Linda 之间的通话为例,Bob 和 Linda 知道 Hacker 无意中听到了他们的钥匙,为了安全起见,Bob 和 Linda 同意使用不同的加密密钥和解密密钥。

例如,Bob 告诉 Linda 她发给 Bob 的所有消息都使用 123456 加密,他将使用只有他知道的密钥对其进行解密。同样,Bob 给 Linda 的消息使用 987654 加密,Linda 使用她知道自己知道的密钥对其进行解密。这样,即使 Hacker 截获了他们的消息,也无法解密,因为 Bob 和 Linda 在与 Linda 协商时并没有提及用于解密的密钥。

图 2. 非对称加密不易破解

这就是非对称加密的过程。

虽然非对称加密看起来很安全,但它也有一个缺点,非对称加密和解密非常耗时,这使得非对称加密在交换大量数据时不是最优的。

为此,我们可以结合非对称加密和对称加密的优点,在数据传输时使用对称加密对数据进行加密,在数据传输加密时使用非对称加密协商对称加密密钥的使用,这就是 IKE 协议的目的

IPSec IKE 协议如何工作?

IKE 协议包含两个版本,IKEv1IKEv2

IPSec IKEv1 协议主要包括两个阶段:IKEv1的第一阶段可以分为主模式激进模式。在主模式的第一阶段,IKE 通过包交换协商一个 IKE SA。该 SA 主要用于加密第 2 阶段用于数据加密的对称密钥协商中使用的对称密钥的消息。在第 2 阶段,IKE 对等体协商用于在传输过程中加密用户数据的对称密钥,即用于加密后续的数据消息。

由于IKEv1阶段1的主模式需要一共3个双向交换和6个ISAKMP消息,协商效率低,aggressive模式对此进行了改进。协商验证信息被集成到一个消息中,从而将协商过程压缩为3个单向交换和3个ISAKMP消息。

第一阶段协商完成后,IKE SA建立,用户对第二阶段协商数据进行加密。

第二阶段只有一种模式,即快速模式,快速模式的整体流程与第一阶段的野蛮模式有些相似,通过在一个消息中包含协商信息和验证信息,三个单向交换和三个 ISAKMP 消息完成第二阶段协商,建立IPSec SA,用于后续数据传输的加密。

图 3. IKEv1 协议协商

图 4. IKE 提议参数交换消息

图 5. 密钥生成信息交换

图 6. 身份和认证信息交换

与IKEv1 相比,IKEv2 简化了协商过程,通过两次交换,四个 ISAKMP 消息建立一个 IPSec SA,大大改善了协商过程。

图 7. IKEv2 协议协商

IKEv1 和 IKEv2 的区别

简化协商过程

IKEv1总共需要9条ISAKMP(IKEv1主模式)或6条消息(IKEv1激进模式)来完成IPSec SA的协商和建立,而IKEv2只需要4条消息就可以完成IPSec SA的协商和建立。

IKEv2 增加了对 EAP 的支持

EAP 支持多种身份验证方法,可扩展性是 EAP 的最大优势。可以将新的认证模式添加到类似 EAP 的组件中,无需调整原有的认证系统。目前,EAP认证已广泛应用于拨号上网。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-05-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 网络技术联盟站 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 为什么我们使用 IKE 协议?
  • IPSec IKE 协议如何工作?
  • IKEv1 和 IKEv2 的区别
    • 简化协商过程
      • IKEv2 增加了对 EAP 的支持
      相关产品与服务
      VPN 连接
      VPN 连接(VPN Connections)是一种基于网络隧道技术,实现本地数据中心与腾讯云上资源连通的传输服务,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单,云端配置实时生效、可靠性高等特点,其网关可用性达到 99.95%,保证稳定、持续的业务连接,帮您轻松实现异地容灾、混合云部署等复杂业务场景。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档