EAP-IKEv2
EAP-IKEv2 (Extensible Authentication Protocol-Internet Key Exchange v2; RFC 5106 ↓) – metoda oparta jest na protokole IKEv2 (RFC 4306 ↓). Protokół IKEv2 został zaprojektowany z myślą o bezpiecznym ustanawianiu parametrów połączenia (takich jak algorytm szyfrowania, algorytm uwierzytelniania, metoda wymiany klucza, klucze sesji, czas ważności kluczy, kolejność protokołów itp.) pomiędzy węzłami sieciowymi korzystającymi z protokołu IPsec. W protokole IKEv2 obydwie strony połączenia są względem siebie równorzędne. Oznacza to, że podczas jednej wymiany komunikatów jedna ze stron pełni rolę inicjatora, druga zaś respondenta, a podczas kolejnej wymiany komunikatów możliwa jest wymiana ról. W metodzie EAP opartej na protokole IKEv2 zawsze tylko jedna strona pełni rolę inicjatora (serwer), a druga respondenta (użytkownik).
Protokół EAP-IKEv2 jest nową i bezpieczną metodą uwierzytelniania protokołu EAP. Protokół ten umożliwia stronom wzajemne uwierzytelnianie[1] oraz ustanowienie klucza sesji wykorzystywanego do zabezpieczania późniejszej komunikacji pomiędzy użytkownikiem a urządzeniem dostępowym.
Protokół EAP-IKEv2 umożliwia zastosowanie technik uwierzytelniania bazujących na hasłach, kluczach współdzielonych oraz certyfikatach kluczy publicznych. Ponadto protokół ten pozwala na negocjację używanych algorytmów kryptograficznych, utrzymanie w sekrecie danych identyfikujące strony biorące udział w procesie uwierzytelniania oraz fragmentacje danych.
Protokół ten daje możliwość zastosowania różnych technik uwierzytelniania w różnych kierunkach. Oznacza to, że serwer może używać do uwierzytelniania kluczy asymetrycznych (prywatny/publiczny), podczas gdy użytkownik w tym samym przebiegu protokołu uwierzytelniany jest za pomocą klucza symetrycznego.
| serwer EAP | suplikant EAP |
|---|---|
| klucze asymetryczne | klucze asymetryczne |
| klucze asymetryczne | klucz symetryczny |
| klucze asymetryczne | hasło |
| klucz symetryczny | klucz symetryczny |
Zobacz też
[edytuj | edytuj kod]Przypisy
[edytuj | edytuj kod]- ↑ Oznacza to, że podczas jednego pełnego przebiegu wymiany komunikatów obie strony biorące udział w komunikacji (użytkownik oraz serwer) mogą potwierdzić swoją tożsamość.
Linki zewnętrzne
[edytuj | edytuj kod]- http://eap-ikev2.sourceforge.net – strona projektu implementacji protokołu EAP-IKEv2
- S. Sangli, D. Tappan, Y. Rekhter, BGP Extended Communities Attribute, RFC 4360, IETF, luty 2006, DOI: 10.17487/RFC4360, ISSN 2070-1721, OCLC 943595667 (ang.).
- H. Tschofenig i inni, The Extensible Authentication Protocol-Internet Key Exchange Protocol version 2 (EAP-IKEv2) Method, RFC 5106, IETF, luty 2008, DOI: 10.17487/RFC5106, ISSN 2070-1721, OCLC 943595667 (ang.).