JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Sécurisation du réseau dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

1.  Utilisation de la protection des liens dans des environnements virtualisés

2.  Réglage du réseau (tâches)

3.  Serveurs Web et protocole SSL (Secure Sockets Layer)

4.  IP Filter dans Oracle Solaris (présentation)

5.  IP Filter (tâches)

6.  Architecture IPsec (présentation)

7.  Configuration d'IPsec (tâches)

8.  Architecture IPsec (référence)

9.  Protocole IKE (présentation)

Gestion des clés avec IKE

Négociation des clés IKE

Terminologie relative aux clés IKE

Phase 1 d'IKE

Phase 2 d'IKE

Choix de configuration IKE

IKE avec l'authentification des clés prépartagées

IKE avec certificats de clés publiques

Utilitaires et fichiers IKE

10.  Configuration du protocole IKE (tâches)

11.  Protocole IKE (référence)

Glossaire

Index

Négociation des clés IKE

Le démon IKE, in.iked, négocie et authentifie de manière sécurisée le matériel de génération de clés pour les SA IPsec. Il utilise des valeurs de départ aléatoires pour les clés des fonctions internes fournies par le SE. Le protocole IKE assure une confidentialité de transmission parfaite (PFS, perfect forward secrecy). En mode PFS, les clés qui protègent la transmission des données ne sont pas utilisées pour générer des clés complémentaires. De même, les valeurs de départ utilisées pour créer des clés de transmission de données ne sont pas réutilisées. Reportez-vous à la page de manuel in.iked(1M).

Terminologie relative aux clés IKE

Le tableau ci-dessous répertorie les termes utilisés dans la négociation des clés et les acronymes les plus couramment employés. Vous y trouverez également une définition de chacun de ces termes ainsi que leur contexte d'utilisation.

Tableau 9-1 Terminologie de négociation des clés, acronymes et utilisation

Terminologie de négociation des clés
Acronyme
Définition et utilisation
Echange de clés
Processus de génération de clés pour les algorithmes cryptographiques asymétriques. Les principales méthodes utilisées sont les protocoles RSA et Diffie-Hellman.
Algorithme Diffie-Hellman
DH
Algorithme d'échange de clés permettant la génération et l'authentification de clés. souvent appelé échange de clés authentifiées.
Protocole RSA
RSA
Algorithme d'échange de clés permettant la génération et le transport de clés. Ce protocole porte le nom de ses trois créateurs : Rivest, Shamir et Adleman.
Confidentialité de transmission parfaite
PFS
Ne s'applique qu'à l'échange de clés authentifiées. Perfect Forward Secrecy, secret rigoureux des transmission .Avec la fonction PFS, la clé visant à protéger la transmission des données n'est pas utilisée pour dériver d'autres clés. Il en est de même pour la source de la clé.
Groupe Oakley
Méthode de création sécurisée de clés pour la phase 2. Le groupe Oakley s'emploie pour négocier des PFS. Reportez-vous à la section 6 de The Internet Key Exchange (IKE).

Phase 1 d'IKE

La phase 1 est connue sous le nom de Main Mode (mode principal). Pendant la phase 1, IKE utilise des méthodes de chiffrement de clé publique pour s'authentifier auprès d'entités IKE homologues. Il en résulte une association de sécurité (SA, security association) ISAKMP (Internet Security Association and Key Management Protocol). Une SA ISAKMP est un canal sécurisé sur lequel IKE négocie les numéros de clé des datagrammes IP. Contrairement aux SA IPsec, les SA ISAKMP sont bidirectionnelles. Il n'est donc pas nécessaire de disposer de plus d'une association de sécurité.

La façon dont IKE négocie les numéros de clé lors de la phase 1 peut être configurée. IKE lit les informations concernant la configuration dans le fichier /etc/inet/ike/config. Ces informations incluent :

Les deux méthodes d'authentification utilisent respectivement les clés prépartagées et les certificats de clés publiques. Les certificats de clés publiques peuvent être autosignés ou émis par l'autorité de certification (CA) d'un fournisseur d'infrastructures de clés publiques (PKI).

Phase 2 d'IKE

La phase 2 est connue sous le nom de Quick Mode (mode rapide). Lors de la phase 2, IKE crée et gère les SA IPsec entre les systèmes qui exécutent le démon IKE. IKE utilise le canal sécurisé qui a été créé lors de la phase 1 pour protéger la transmission des numéros de clé. Le démon IKE crée les clés à partir d'un générateur de nombres aléatoires à l'aide du périphérique /dev/random. Le démon actualise les clés à une fréquence qui peut être configurée. Les numéros de clé sont accessibles aux algorithmes spécifiés dans le fichier de configuration ipsecinit.conf de la stratégie IPsec.

Copyright © 1999, 2013, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant