申論題模擬─資訊安全防護技術(2024-02-15)
申論題:
一、試述IPSec的金鑰管理機制
二、請解釋IKE的運作方式
D
43. 關於 IPSec金鑰管理機制,下列敘述何者正確?
(A) IPSec使用 SKIP作為金鑰管理協議
(B) IPSec將 IKE作為候選協議且從未實作
(C) SKIP協議分為兩版本: SKIPv1和 SKIPv2
(D) SKIP為 IKE金鑰管理協議的前身
網際網路金鑰交換(英語:Internet Key Exchange,簡稱IKE或IKEv2)是一種網路協定,歸屬於IPsec協定族,用以建立安全關聯(Security association,SA)。它建立在奧克利協定(Oakley protocol)與ISAKMP協定的基礎之上。
IPSce的金鑰管理方法
在IP AH和IP ESP中所用到的認證與加密金鑰,如何交換與管理呢!一把金鑰是否一直使用呢!這些問題都尚末提及,這些問題對IPSec而言是非常重要的課題。
如果是幾台主機,可以用人工的方式來交換金鑰,例如打電話或E-mail,但是主機數目一多,或者是主機資料常更改,這時侯就需要一套安全且正式的協議來做這件事情了。
目前主要的金鑰管理協定的參考規範有:(1)SKIP(Simple
Key-management for IP)(2)ISAKMP/Oakley(Internet Security Association Key
Management Protocol /Oakley )。上述兩種方法都可應用在IPv4與IPv6中,SKIP較為簡單,而ISAKMP/Oakley則可以應用於較多的協議。事實上,IP層的金鑰切換式通訊協定尚有Photuris和SKEME等。
1.SKIP:
SKIP是由Sun Microsystem所發展,目有三種版本:Sun, TIK,和ELVIS+SKIP。SKIP金鑰管理的觀念是階層式的金鑰管理,如圖所示。通訊的雙方真正共用的金鑰是Kij(這是利用Diffie Hellman的公開金鑰對而達到共用的)。為了安全的考量,公開金鑰應至憑證管理中心(Certificate
Authority;CA)申請憑證。因此IPSec的使用也需要每一國家的公開金鑰基礎建設(Public Key
Infrastructure;PKI)來配合。
使用Kij推導而得Kijn=MD5(Kij/n),其中n是現在時間距離1995年1月1日零點的時數,Kijn是一個長期金鑰(每隔1小時更換一次),利用Kijn這把金鑰將短期金鑰Kp(每隔2分鐘更換一次)加密後插入SKIP Header送到對方。接收端收到後利用Kijn解回Kp。接下來雙方使用E_Kp=MD5(Kp/0)及A_Kp=MD5(Kp/2)匯出加密金鑰E_Kp和認證金鑰A_Kp。由於金鑰推導過程是一層一層的,因SKIP稱之為階層式的金鑰管理架構。
我們一樣使用第五節的例子:"當主機yang.chtti.com.tw欲與主機yang.csie.ndhu.edu.tw啟動通訊",來討論SKIP協定,圖是SKIP封包內容的描述。
SKIP原欲與ISAKMP整合考量,但失敗了。因為IPv6已決定使用ISAKMP與Oakley金鑰交換的合併協議,也就是ISAKMP/Oakley(現已稱作IKE;Internet
Key Exchange)。所以SKIP並非IPSec強制規定的金鑰管理方法。
2.ISAKMP/Qakley(IKE):
Oakley金鑰切換式通訊協定是由亞利桑那大學所提出,它與SEKME有相當多的共同部份(注:SEKME則是Photuris的延伸)。
ISAKMP有兩個操作階段。第一階段中,相關的一些安全屬性經過協商,並產生一些金鑰,…等。這些內容構成第一個SA,一般稱作ISAKMP SA,與IPSec SA不一樣的是它是雙向的。第二階段則是以ISAKMP SA的安全環境來建立AH或ESP的SA。
IKE則是ISAKMP使用Oakley的一些模式和SKEME快速rekey的觀念合併而成,它有(1)Main Mode (2)Aggressive Mode
(3)Quick Mode(4)New group mode等四種模式。
IPSec在VPN上的應用
在瞭解IPSec協議的工作原理後,我們來看它不同的用場合,值得注意的是在網路層提供安全機制,對應用層而言是完全透通的(trarsparent)。IPSec可以裝設在gateway或主機上,或是兩者同時,若IPSec裝在gateway上,則可在不安全的Internet上提供一個安全的通道,若是裝在主機,則能提供主機端對端的安全性。分別是gateway對gateway,主機對gateway,主機對主機三種可能的應用狀況。
沒有留言:
張貼留言