超级会员免费看
IKE在自组网IP网络中的应用
1. 响应方认证方法
响应方的认证方法多种多样。例如,在采用可提供相互认证的EAP方法时,发起方甚至可能忽略响应方的CERT和AUTH字段。若发起方基于证书对响应方进行认证,则有多种不同选项。在这些选项中,无需验证证书的原始RSA密钥最符合需求。
2. MANA证书
MANA证书包含使用无条件安全消息认证码(MAC)进行认证的安全相关信息。这种方法最初是为了结合Diffie - Hellman密钥交换,提高蓝牙配对过程的安全性而提出的,后由IST - SHAMAN项目进一步发展,目前正由ISO/IEC进行标准化。
在自组网密钥协商中,MANA证书是即时创建的,使用一次后即被丢弃。因此,它们既不需要人类易于记忆,也不需要具备高计算安全性。不过,在证书从一个设备传输到另一个设备时,较短的长度是一个优势。传输需要通过一个机密且经过认证的通信通道进行,该通道与IKEv2协议消息所使用的开放通信通道是分开的。这些通道通常是基于近距离且带宽受限的物理通信通道,典型的基于以下一种或多种技术:
- 固定连接,如电缆、USB接口、条形码阅读器、智能卡阅读器;
- 人工参与,包括传递密钥、输入密钥;
- 其他基于近距离的技术(低功率通道)
使用物理安全技术需要一定的人工参与。为了提高安全性和用户便利性,应尽量减少人工参与,并使其尽可能简单和可靠。
MANA证书的生成和处理步骤如下:
1. 设备A生成一个随机密钥K,该密钥适用于两个组件共享的MAC生成函数。设备A使用K计算数据D的MAC码C。MANA证书由K||C对组成。然后,证书通过设备A的输出接口提供给用户,用户
订阅专栏 解锁全文
扫一扫
5827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
