IPSce的金鑰管理方法

在IP AH和IP ESP中所用到的認(rèn)證與加密金鑰，如何交換與管理呢!一把金鑰是否一直使用呢!這些問題都尚末提及，這些問題對(duì)IPSec而言是非常重要的課題。

如果是幾臺(tái)主機(jī)，可以用人工的方式來交換金鑰，例如打電話或E-mail，但是主機(jī)數(shù)目一多，或者是主機(jī)數(shù)據(jù)常更改，這時(shí)侯就需要一套安全且正式的協(xié)議來做這件事情了。

目前主要的金鑰管理協(xié)議的參考規(guī)范有:(1)SKIP(Simple Key-management for IP)(2)ISAKMP/Oakley(Internet Security Association Key Management Protocol /Oakley )。上述兩種方法都可應(yīng)用在IPv4與IPv6中，SKIP較為簡(jiǎn)單，而ISAKMP/Oakley則可以應(yīng)用于較多的協(xié)議。事實(shí)上，IP層的金鑰交換協(xié)議尚有Photuris和SKEME等。

1.SKIP:

SKIP是由Sun Microsystem所發(fā)展，目有三種版本:Sun， TIK，和ELVIS+SKIP。SKIP金鑰管理的觀念是階層式的金鑰管理，如圖所示。通訊的雙方真正共享的密鑰是Kij(這是利用Diffie Hellman的公開金鑰對(duì)而達(dá)到共享的)。為了安全的考量，公開金鑰應(yīng)至憑證管理中心(Certificate Authority;CA)申請(qǐng)憑證。因此IPSec的使用也需要每一國(guó)家的公開金鑰基礎(chǔ)建設(shè)(Public Key Infrastructure;PKI)來配合。

使用Kij推導(dǎo)而得Kijn=MD5(Kij/n)，其中n是現(xiàn)在時(shí)間距離1995年1月1日零點(diǎn)的時(shí)數(shù)，Kijn是一個(gè)長(zhǎng)期金鑰(每隔1小時(shí)更換一次)，利用Kijn這把金鑰將短期金鑰Kp(每隔2分鐘更換一次)加密后插入SKIP Header送到對(duì)方。接收端收到后利用Kijn解回Kp。接下來雙方使用E_Kp=MD5(Kp/0)及A_Kp=MD5(Kp/2)導(dǎo)出加密金鑰E_Kp和認(rèn)證金鑰A_Kp。由于金鑰推導(dǎo)過程是一層一層的，因SKIP稱之為階層式的金鑰管理架構(gòu)。

我們一樣使用第五節(jié)的例子:"當(dāng)主機(jī)yang.chtti.com.tw欲與主機(jī)yang.csie.ndhu.edu.tw啟動(dòng)通訊"，來討論SKIP協(xié)議，圖是SKIP封包內(nèi)容的描述。

SKIP原欲與ISAKMP整合考量，但失敗了。因?yàn)镮Pv6已決定使用ISAKMP與Oakley金鑰交換的合并協(xié)議，也就是ISAKMP/Oakley(現(xiàn)已稱作IKE;Internet Key Exchange)。所以SKIP并非IPSec強(qiáng)制規(guī)定的金鑰管理方法。

2.ISAKMP/Qakley(IKE):

Oakley金鑰交換協(xié)議是由亞利桑那大學(xué)所提出，它與SEKME有相當(dāng)多的共同部份(注:SEKME則是Photuris的延伸)。

ISAKMP有兩個(gè)操作階段。第一階段中，相關(guān)的一些安全屬性經(jīng)過協(xié)商，并產(chǎn)生一些金鑰，…等。這些內(nèi)容構(gòu)成第一個(gè)SA，一般稱作ISAKMP SA，與IPSec SA不一樣的是它是雙向的。第二階段則是以ISAKMP SA的安全環(huán)境來建立AH或ESP的SA。

IKE則是ISAKMP使用Oakley的一些模式和SKEME快速rekey的觀念合并而成，它有(1)Main Mode (2)Aggressive Mode (3)Quick Mode(4)New group mode等四種模式。

IPSec在VPN上的應(yīng)用

在了解IPSec協(xié)議的工作原理后，我們來看它不同的用場(chǎng)合，值得注意的是在網(wǎng)絡(luò)層提供安全機(jī)制，對(duì)應(yīng)用層而言是完全透通的(trarsparent)。IPSec可以裝設(shè)在gateway或主機(jī)上，或是兩者同時(shí)，若IPSec裝在gateway上，則可在不安全的Internet上提供一個(gè)安全的信道，若是裝在主機(jī)，則能提供主機(jī)端對(duì)端的安全性。分別是gateway對(duì)gateway，主機(jī)對(duì)gateway，主機(jī)對(duì)主機(jī)三種可能的應(yīng)用狀況。