आईपीसेक
| Internet protocol suite |
|---|
| Application layer |
| Transport layer |
| Internet layer |
| Link layer |
कम्प्यूटिंग में, इंटरनेट प्रोटोकॉल प्रतिभूति (आईपीसेक) एक सुरक्षित संजाल प्रोटोकॉल सुइट है जो इंटरनेट प्रोटोकॉल संजाल पर दो संगणको के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए डेटा का प्रमाणीकरण और कूटलेखन वेष्टक (सूचना प्रौद्योगिकी) है। इसका प्रयोग आभासी निजी संजाल (वीपीएन) में किया जाता है।
आईपीसेक में सत्र (कंप्यूटर विज्ञान) के आरंभ में एजेंटों के बीच आपसी प्रमाणीकरण स्थापित करने और सत्र के दौरान प्रयोग करने के लिए कुंजी (क्रिप्टोग्राफी) की वार्ता के लिए प्रोटोकॉल सम्मिलित हैं। आईपीसेक सुरक्षा मार्ग (संजाल-से-संजाल) की एक जोड़ी के बीच, या एक सुरक्षा मार्ग और एक सूत्रधार (संजाल -से-सूत्रधार) के बीच सूत्रधारों (सूत्रधार-से-सूत्रधार) की एक युग्म के बीच डेटा प्रवाह की रक्षा कर सकता है। [1]आईपीसेक इंटरनेट प्रोटोकॉल (आईपी) संजाल पर संचार की सुरक्षा के लिए विन्यास (गुप्तलेखीय) सुरक्षा सेवाओं का प्रयोग करता है। यह संजाल-स्तरीय सहकर्मी प्रमाणीकरण, डेटा उत्पत्ति प्रमाणीकरण, डेटा अखंडता, डेटा गोपनीयता (कूटलेखन), और पुनरावृत्ति संरक्षण (पुनरावृत्ति आक्षेप से सुरक्षा) का समर्थन करता है।
आरंभिक आईपीवी 4 सुइट को कुछ सुरक्षा प्रावधानों के साथ विकसित किया गया था। आईपीवी 4 संवृद्धि के एक भाग के रूप में, आईपीसेक एक परत 3 ओएसआई प्रतिरूप या इंटरनेट परत आरंभ से अंत तक सुरक्षा योजना है। इसके विपरीत, व्यापक प्रयोग में आने वाली कुछ अन्य इंटरनेट सुरक्षा प्रणालियाँ संजाल परत के ऊपर संचालित होती हैं, जैसे ट्रांसपोर्ट परत सुरक्षा (टीएलएस) जो ट्रांसपोर्ट परत के ऊपर संचालित होती है और सुरक्षित आवरण (एसएसएच) जो अनुप्रयोग परत पर संचालित होती है, आईपीसेक स्वचालित रूप से अनुप्रयोगों को सुरक्षित कर सकता है इंटरनेट परत पर।
इतिहास
1970 के दशक की प्रारम्भ में, उन्नत अनुसंधान परियोजना संस्था ने प्रायोगिक ARPANET कूटलेखन उपकरणों की एक श्रृंखला को प्रायोजित किया, पहले निवासी ARPANET वेष्टक कूटलेखन के लिए और बाद में टीसीपी/आईपी वेष्टक कूटलेखन के लिए; इनमें से कुछ प्रमाणित और क्षेत्रबद्ध थे। 1986 से 1991 तक,एनएसए ने अपने सुरक्षित डेटा संजाल व्यवस्था (एसडीएनएस) क्रमानुदेश के तहत इंटरनेट के लिए सुरक्षा प्रोटोकॉल के विकास को प्रायोजित किया।[2] इसने मोटोरोला सहित विभिन्न विक्रेताओं को एक साथ लाया, जिन्होंने 1988 में एक संजाल कूटलेखन उपकरण का उत्पादन किया था। यह कार्य राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा लगभग 1988 से खुले तौर पर प्रकाशित किया गया था और इनमें से परत 3 (एसपी3) पर सुरक्षा प्रोटोकॉल अंततः आईएसओ मानक संजाल परत सुरक्षा प्रोटोकॉल (एनएलएसपी) में बदल जाएगा। में बदल जाएगा।[3]
1992 से 1995 तक, विभिन्न सूत्रधारों ने आईपी-परत कूटलेखन में अनुसंधान किया।
- 1. 1992 में, यूएस नौसेना अनुसंधान प्रयोगशाला (एनआरएल) ने आईपी कूटलेखन पर अनुसंधान करने और उसे परिपालित करने के लिए सामान्य इंटरनेट प्रोटोकॉल प्लस (एसआईपीपी) परियोजना आरंभ किया।
- 2. 1993 में, कोलंबिया विश्व विद्यालय और एटी एंड टी बेल लैब्स में, जॉन आयोनिडिस और अन्य ने SunOS पर प्रक्रिया विषय सूचीप्रायोगिक प्रक्रिया विषय सूची आईपी कूटलेखन प्रोटोकॉल (स्वाइप) पर अनुसंधान किया।
- 3. 1993 में, व्हाइटहाउस इंटरनेट सेवा परियोजना द्वारा प्रायोजित, विश्वसनीय सूचना प्रणाली (टीआईएस) में वेई जू ने प्रक्रिया विषय सूचीआईपी सुरक्षा प्रोटोकॉल पर और अनुसंधान किया और ट्रिपल डेस के लिए यंत्रविषयसूची समर्थन विकसित किया,[4] जिसे बर्कले प्रक्रिया विषय सूचीवितरण 4.1 कर्नेल में कूटबद्ध किया गया था और x86 और SUNOS संरचना दोनों का समर्थन किया था। दिसंबर 1994 तक, टीआईएस ने दरपा-प्रायोजित विवृत-स्रोत गौंटलेट फ़ायरवॉल उत्पाद को टी 1 गति से अधिक एकीकृत 3डीईएस यंत्रविषयसूची कूटलेखन के साथ विमोचित किया। यह पहली बार राज्यों के पूर्वी और पश्चिमी तट के बीच आईपीसेक वीपीएन संपर्क का प्रयोग कर रहा था, जिसे पहले वाणिज्यिक आईपीसेक वीपीएन उत्पाद के रूप में जाना जाता है।
- 4. एनआरएल के डीएआरपीए-वित्तपोषित अनुसंधान प्रयास के तहत, एनआरएल ने आईपीएसईसी के लिए आईईटीएफ मानक-ट्रैक विशेष विवरण (आरएफसी 1825 से आरएफसी1827 तक) को विकसित किया, जिसे बीएसडी 4.4 कर्नेल में कूटबद्ध किया गया था और x86 और स्पार्क सीपीयू संरचना दोनों का समर्थन किया था।[5] 1996 के USENIX सम्मेलन की कार्यवाही में उनके पेपर में एनआरएल के आईपीसेक कार्यान्वयन का वर्णन किया गया था।[6] NRL का विवृत-स्रोत आईपीसेक कार्यान्वयन एमआईटी द्वारा ऑनलाइन उपलब्ध कराया गया था और अधिकांश प्रारंभिक व्यावसायिक कार्यान्वयनों का आधार बन गया।[5]
इंटरनेट अभियांत्रिकी कार्य सेना (आईईटीएफ) ने 1992 में आईपी सुरक्षा कार्य सूत्रधार का गठन किया[7] आईपी के लिए खुले तौर पर निर्दिष्ट सुरक्षा विस्तारण को मानकीकृत करने के लिए, जिसे आईपीसेक कहा जाता है।[8] 1995 में, कार्यकारी सूत्रधार ने पांच कंपनियों (टीआईएस, सिस्को, एफटीपी, चेकप्वाइंट, आदि) के सदस्यों के साथ कुछ कार्यशालाओं का आयोजन किया। आईपीसेक कार्यशालाओं के अवधि में, एनआरएल के मानकों और सिस्को और टीआईएस के प्रक्रिया विषय सूचीको सार्वजनिक संदर्भ के रूप में मानकीकृत किया जाता है, RFC-1825 के माध्यम से RFC-1827 के रूप में प्रकाशित किया जाता है।[9]
सुरक्षा संरचना
आईपीसेक, आईपीवी 4 सुइट के एक भाग के रूप में एक खुला मानक है। आईपीसेक विभिन्न कार्यों को करने के लिए निम्नलिखित प्रोटोकॉल (कंप्यूटिंग) का प्रयोग करता है:[10][11]
- प्रमाणीकरण हेडर्स (एएच) आईपी डेटाग्राम के लिए संयोजन रहित डेटा अखंडता और डेटा मूल प्रमाणीकरण प्रदान करता है और पुनर्प्रदर्शन आक्षेप से सुरक्षा प्रदान करता है।[12][13]
- प्रावरण सुरक्षा प्रदायभार (ईएसपी) गोपनीयता, संपर्क रहित डेटा अखंडता, डेटा मूल प्रमाणीकरण, एक प्रति -पुनर्प्रदर्शन सेवा (आंशिक अनुक्रम अखंडता का एक रूप), और सीमित परियात-प्रवाह गोपनीयता प्रदान करता है।[1]
- इंटरनेट सुरक्षा समिति और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) प्रमाणीकरण और कुंजी विनिमय के लिए एक ढांचा प्रदान करता है,[14] वास्तविक प्रमाणित कुंजीयन विषय सूची के साथ या तो पूर्व-साझा कुंजि के साथ हस्तचालित विन्यास द्वारा प्रदान किया जाता है, इंटरनेट कुंजी विनिमय (आईकेई और आईकेईवी2), कुंजियों का कर्बरीकृत इंटरनेट परक्रामण (किंक)), या डीएनएस अभिलेख प्रकारों की आईपीसेक कुंजी सूची।[15][16][17] उद्देश्य एएच और/या ईएसपी संचालन के लिए आवश्यक एल्गोरिदम और प्राचल के सूत्रधार के साथ सुरक्षा समिति (एसए) को उत्पन्न करना है।
प्रमाणीकरण हेडर्स
सुरक्षा प्रमाणीकरण हैडर (एएच) को 1990 के दशक की आरंभ में अमेरिकी नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था और साधारण संजाल प्रबंधन प्रोटोकॉल (एसएनएमपी) संस्करण 2 के प्रमाणीकरण के लिए पूर्व आईईटीएफ मानकों के काम से लिया गया है। प्रमाणीकरण हेडर (एएच) है आईपीसेक प्रोटोकॉल सुइट का एक सदस्य। एएच एल्गोरिदम में हैश फंकशन और एक गोपनीय साझा कुंजी का प्रयोग करके एएच संपर्क रहित डेटा अखंडता सुनिश्चित करता है। एएच भी आईपी वेष्टक (सूचना प्रौद्योगिकी) को प्रमाणित करके डेटा उत्पत्ति की प्रत्याभूति देता है। वैकल्पिक रूप से एक अनुक्रम संख्या आईपीसेक वेष्टक की अंतर्वस्तु को पुनर्प्रदर्शन आक्षेप से बचा सकती है,[18][19] विसर्पण विंडो संपादन का प्रयोग करना और पुराने वेष्टकों को हटाना।
- आईपीवी 4 में, एएच निवेशन-सम्मिलन अटैक को रोकता है। आईपीवी6 में, एएच हेडर निवेशन अटैक और विकल्प निवेशन अटैक दोनों से बचाता है।
- आईपीवी 4 में, एएच, आईपी पेलोड और आईपी डेटाग्राम के सभी हेडर फ़ील्ड्स की सुरक्षा करता है अतिरिक्त परिवर्तनशील क्षेत्र (अर्थात जिन्हें पारगमन में बदला जा सकता है), और आईपी विकल्पों जैसे आईपी सुरक्षा विकल्प ([rfc:1108 आरएफसी 1108]) को भी। परिवर्तनीय (और इसलिए अपुष्ट) आईपीवी 4 हेडर फ़ील्ड डीएससीपी/टीओएस, ईसीएन, फ्लैग, फ्रैगमेंट ऑफसेट, टीटीएल और हैडर चेकसम।[13]*
- आईपीवी6 में, एच अधिकांश आईपीवी6 आधार हेडर, एएच स्वयं, एएच के बाद गैर-परिवर्तनीय विस्तार हेडर और आईपी पेलोड की सुरक्षा करता है। आईपीवी6 हेडर के लिए सुरक्षा में परिवर्तनशील क्षेत्र सम्मिलित नहीं हैं: डीएससीपी, ईसीएन, प्रवाह लेबल और हॉप सीमा।[13] एएच आईपी प्रोटोकॉल नंबर 51 का प्रयोग करके सीधे आईपी के शीर्ष पर काम करता है।[20]
निम्नलिखित एएच वेष्टक आरेख दिखाता है कि एएच वेष्टक कैसे बनाया और व्याख्या किया जाता है:[12][13]
| ऑफ़सेट्स | अष्टक 16 | 0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| अष्टक 16 | बिट10 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
| 0 | 0 | अगला हैडर | पेलोड लेन | आरक्षित | |||||||||||||||||||||||||||||
| 4 | 32 | सुरक्षा मापदंडअनुक्रमणी (एसपीआई) | |||||||||||||||||||||||||||||||
| 8 | 64 | अनुक्रम संख्या | |||||||||||||||||||||||||||||||
| C | 96 | अखंडता जांच मूल्य (आईसीवी) ... | |||||||||||||||||||||||||||||||
| ... | ... | ||||||||||||||||||||||||||||||||
- अगला हैडर (8 बिट)
- अगला हेडर का प्रकार, यह दर्शाता है कि किस ऊपरी-परत प्रोटोकॉल को सुरक्षित किया गया था। मूल्य आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
- पेलोड लेन (8 बिट्स)
- इस प्रमाणीकरण हैडर की लंबाई 4-ऑक्टेट इकाइयों में, घटाव 2 है। उदाहरण के लिए, 4 का एएच मूल्य 3×(32-बिट निश्चित-लम्बाई एएच क्षेत्र) + 3×(32-बिट) के बराबर होता है। आईसीवी फ़ील्ड) - 2 और इस प्रकार 4 के एएच मान का अर्थ 24 ऑक्टेट है। यद्यपि आकार को 4-ऑक्टेट इकाइयों में मापित किया जाता है, अगर आईपीवी6 वेष्टक में ले जाया जाता है तो इस हेडर की लंबाई 8 ऑक्टेट की एक विविध होनी चाहिए। यह प्रतिबंध आईपीवी 4 वेष्टक में रखे गए प्रमाणीकरण हैडर पर परिपालित नहीं होता है।
- आरक्षित (16 बिट्स)
- भविष्य में प्रयोग के लिए आरक्षित (तब तक सभी शून्य)।
- सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स)
- प्राप्त करने वाले पक्ष के सुरक्षा समिति की पहचान करने के लिए स्वेच्छमूल्य जिसका प्रयोग (गंतव्य आईपी पते के साथ) किया जाता है।
- अनुक्रम संख्या (32 बिट्स)
- रिप्ले आक्षेप को रोकने के लिए एकदिष्ट पूर्णतः से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। जब पुनर्प्रदर्शन संसूचन को सक्षम किया जाता है, तो अनुक्रम संख्या का पुन: प्रयोग नहीं किया जाता है, क्योंकि अनुक्रम संख्या को उसके अधिकतम मूल्य से आगे बढ़ाने के प्रयास से पहले एक नए सुरक्षा समिति पर फिर से विचार किया जाना चाहिए।[13]
संपूर्णता जांच मूल्य (32 बिट्स के विविध)
- चर लंबाई जाँच मूल्य। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।
सुरक्षा पेलोड को प्रावरण करना
आईपी प्रावरणिंग सुरक्षा पेलोड (ईएसपी)[21] 1992 में एक दरपा-प्रायोजित अनुसंधान परियोजना के भाग के रूप में नवल अनुसंधान प्रयोगशाला में विकसित किया गया था, और आईईटीएफ एसआईपीपी द्वारा खुले तौर पर प्रकाशित किया गया था[22] एसआईपीपी के लिए सुरक्षा विस्तार के रूप में दिसंबर 1993 में कार्य सूत्रधार का प्रारूप तैयार किया गया। यह ईएसपी मूल रूप से आईएसओ संजाल-परत सुरक्षा प्रोटोकॉल (एनएलएसपी) से प्राप्त होने के अपेक्षा अमेरिकी रक्षा विभाग एसपी3डी प्रोटोकॉल से प्राप्त हुआ था। एसपी3डी प्रोटोकॉल विनिर्देश एनआईएसटी द्वारा 1980 के दशक के अंत में प्रकाशित किया गया था, लेकिन अमेरिकी रक्षा विभाग के सुरक्षित डेटा संजाल प्रणाली परियोजना द्वारा बनाया गया था।
प्रावरणिंग सुरक्षिति पेलोड (ईएसपी) आईपीसेक प्रोटोकॉल सुइट का एक हिस्सा है। यह आईपी वेष्टक के लिए विन्यास सुरक्षा के माध्यम से स्रोत प्रमाणीकरण, डेटा अखंडता के माध्यम से हैश कार्यों और गोपनीयता के माध्यम से मूल प्रामाणिकता प्रदान करता है। ईएसपी केवल-कूटलेखन और केवल-प्रमाणीकरण विन्यास का भी समर्थन करता है, लेकिन प्रमाणीकरण के बिना कूटलेखन का प्रयोग करने को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह असुरक्षित है।[23][24][25]
प्रमाणीकरण हैडर (एएच) के विपरीत, ट्रांसपोर्ट संचार में ईएसपी संपूर्ण आईपी वेष्टक (बहुविकल्पी) के लिए अखंडता और प्रमाणीकरण प्रदान नहीं करता है। तथापि, टनलिंग संचार में, जहाँ संपूर्ण मूल आईपी वेष्टक एक नए वेष्टक हेडर के साथ संपुटिक किया जाता है, ईएसपी सुरक्षा पूरे आंतरिक आईपी वेष्टक (आंतरिक हेडर सहित) को प्रदान की जाती है, जबकि बाहरी हेडर (किसी भी बाहरी आईपीवी 4 विकल्प या आईपीवी6 सहित) विस्तार हेडर) असुरक्षित रहता है।
ईएसपी, आईपी प्रोटोकॉल नंबर 50 का प्रयोग करके सीधे आईपी के शीर्ष पर कार्य करता है।[20]
निम्नलिखित ईएसपी वेष्टक आरेख दिखाता है कि ईएसपी वेष्टक का निर्माण और व्याख्या कैसे की जाती है:[1][26]
| ऑफ़सेट्स | अष्टक 16 | 0 | 1 | 2 | 3 | |||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| अष्टक 16 | बिट10 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
| 0 | 0 | सुरक्षा मापदंडअनुक्रमणी (एसपीआई) | ||||||||||||||||||||||||||||||||
| 4 | 32 | अनुक्रम संख्या | ||||||||||||||||||||||||||||||||
| 8 | 64 | पेलोड डेटा | ||||||||||||||||||||||||||||||||
| ... | ... | |||||||||||||||||||||||||||||||||
| ... | ... | |||||||||||||||||||||||||||||||||
| ... | ... | प्रसेचन (0-255 ऑक्टेट) | ||||||||||||||||||||||||||||||||
| ... | ... | पैड लंबाई | अगला हैडर | |||||||||||||||||||||||||||||||
| ... | ... | अखंडता जांच मूल्य (आईसीवी) ... |
||||||||||||||||||||||||||||||||
| ... | ... | |||||||||||||||||||||||||||||||||
- सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स)
- प्राप्त करने वाले पक्ष के सुरक्षा समिति की पहचान करने के लिए स्वेच्छ मूल्य (गंतव्य आईपी पते के साथ) का प्रयोग किया जाता है।
- अनुक्रम संख्या (32 बिट्स)
- पुनरावृत्ति आक्षेप से बचाने के लिए एक मोनोटोनिक रूप से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। हर सुरक्षा समिति के लिए अलग प्रतिकूल रखा गया है।
- पेलोड डेटा (परिवर्तनीय)
- मूल आईपी वेष्टक की संरक्षित विषय सूची, विषय सूची की सुरक्षा के लिए प्रयोग किए जाने वाले किसी भी डेटा सहित (उदाहरण के लिए गुप्तलेखीय एल्गोरिदम के लिए प्रारंभिक वेक्टर)। जिस प्रकार की विषय सूची को सुरक्षित किया गया था, उसे अगले हेडर फ़ील्ड द्वारा इंगित किया गया है।
- प्रसेचन (0-255 ऑक्टेट)
- कूटलेखन के लिए प्रसेचन, पेलोड डेटा को उस आकार तक विस्तारित करने के लिए जो कूटलेखन के सिफर ब्लॉक आकार (क्रिप्टोग्राफी) में उपयुक्त बैठता है, और अगले फ़ील्ड को संरेखित करने के लिए।
- पैड की लंबाई (8 बिट)
- प्रसेचन का आकार (अष्टक में)।
- अगला हैडर (8 बिट)
- अगले हैडर का प्रकार। मान आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
- संपूर्णता मूल्य जांचें (32 बिट्स के विविध)
- चर लंबाई चेक मूल्य जांच। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।
सुरक्षा समिति
आईपीसेक प्रोटोकॉल एक सुरक्षा समिति का प्रयोग करते हैं, जहाँ संचार करने वाले पक्ष एल्गोरिदम और कुंजियों जैसी साझा सुरक्षा विशेषताएँ स्थापित करते हैं। इस प्रकार, आईपीसेक विकल्पों की एक श्रृंखला प्रदान करता है जब यह निर्धारित किया जाता है कि एएच या ईएसपी का प्रयोग किया जाता है या नहीं। डेटा का आदान-प्रदान करने से पहले, दो सूत्रधार इस बात पर सहमत होते हैं कि आईपी वेष्टक को गोपित करने के लिए सममित-कुंजी एल्गोरिथ्म का प्रयोग किया जाता है, उदाहरण के लिए उन्नत कूटलेखन मानक या ChaCha20, और किस हैश कार्य का प्रयोग डेटा की अखंडता को सुनिश्चित करने के लिए किया जाता है, जैसे ब्लेक2 या एसएचए-2 ये प्राचल विशेष सत्र के लिए सहमत हैं, जिसके लिए जीवन काल सहमत होना चाहिए और एक सत्र कुंजी।[27]
डेटा स्थानांतरण होने से पहले प्रमाणीकरण के लिए एल्गोरिथ्म भी सहमत है और आईपीसेक कई तरीकों का समर्थन करता है। पूर्व-साझा कुंजी के माध्यम से प्रमाणीकरण संभव है, जहां एक सममित कुंजी पहले से ही दोनों सूत्रधारों के अधिकृत में है, और सूत्रधार साझा कुंजी के एक दूसरे को हैश भेजते हैं ताकि यह सिद्ध हो सके कि वे एक ही कुंजी के अधिकृत में हैं। आईपीसेक सार्वजनिक कुंजी कूटलेखन का भी समर्थन करता है, जहाँ प्रत्येक सूत्रधार के पास एक सार्वजनिक और एक निजी कुंजी होती है, वे अपनी सार्वजनिक कुंजियों का आदान-प्रदान करते हैं और प्रत्येक सूत्रधार को दूसरे सूत्रधार की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक गुप्तलेखीय अस्थायी भेजता है। वैकल्पिक रूप से यदि दोनों सूत्रधार के पास प्रमाणपत्र प्राधिकारी से सार्वजनिक कुंजी प्रमाणपत्र है, तो इसका प्रयोग आईपीसेक प्रमाणीकरण के लिए किया जा सकता है।[28]
आईपीसेक के सुरक्षा समिति इंटरनेट सुरक्षा समिति और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) का प्रयोग करके स्थापित किए गए हैं। आईएसएकेएमपी को पूर्व-साझा रहस्यों, इंटरनेट कुंजी विनिमय (आईकेई और IKEv2),कुंजियों का कर्बरीकृत इंटरनेट परक्रामण (किंक) और डीएनएस अभिलेख प्रकारों की आईपीसेक कुंजी सूची के प्रयोग के साथ हस्तचालित विन्यास द्वारा कार्यान्वित किया जाता है।[17][29][30] RFC 5386 बेटर-दैन-नथिंग सुरक्षितिटी (बीटीएनएस) को विस्तारित आईकेई प्रोटोकॉल का प्रयोग करके आईपीसेक के एक अप्रमाणित संचार के रूप में परिभाषित करता है। सी. मीडोज, सी. क्रेमर्स, और अन्य ने IKEv1 और IKEv2 में अस्तित्व विभिन्न विसंगतियों की पहचान करने के लिए औपचारिक तरीकों का प्रयोग किया है।[31]
एक निर्गमनी वेष्टक के लिए कौन सी सुरक्षा प्रदान की जानी है, यह तय करने के लिए, आईपीसेक सुरक्षा प्राचल सूचकांक (एसपीआई) का प्रयोग करता है, जो सुरक्षा समिति डेटाबेस (एसएडीबी) के लिए एक अनुक्रमणिका है, साथ ही एक वेष्टक हेडर में गंतव्य का पता होता है, जो एक साथ विशिष्ट पहचान करता है। उस वेष्टक के लिए एक सुरक्षा समिति। आने वाले वेष्टक के लिए एक समान प्रक्रिया की जाती है, जहां आईपीसेक सुरक्षा समिति डेटाबेस से विकोडन और सत्यापन कुंजी एकत्र करता है।
आईपी बहुस्त्र्पीय के लिए सूत्रधार के लिए एक सुरक्षा समिति प्रदान किया जाता है, और सूत्रधार के सभी अधिकृत प्रापकता में द्वयावृत्त किया जाता है। विभिन्न एसपीआई का प्रयोग करते हुए एक सूत्रधार के लिए एक से अधिक सुरक्षा समिति हो सकते हैं, जिससे एक सूत्रधार के भीतर कई स्तरों और सुरक्षा के समुच्चय की अनुमति मिलती है। वास्तव में, प्रत्येक प्रेषक के पास कई सुरक्षा समिति हो सकते हैं, प्रमाणीकरण की अनुमति देते हैं, क्योंकि एक प्रापकता केवल यह जान सकता है कि कुंजी जानने वाले ने डेटा भेजा है। ध्यान दें कि प्रासंगिक मानक यह वर्णन नहीं करता है कि कैसे समिति को चुना जाता है और पूरे सूत्रधार में द्वयावृत्त किया जाता है; यह माना जाता है कि एक जिम्मेदार पार्टी ने चुनाव किया होगा।
संचालन के तरीके
आईपीसेक प्रोटोकॉल एएच और ईएसपी को सूत्रधार-से-सूत्रधार ट्रांसपोर्ट संचार के साथ-साथ संजाल टनलिंग संचार में भी परिपालित किया जा सकता है।
ट्रांसपोर्ट संचार
ट्रांसपोर्ट संचार में, केवल आईपी वेष्टक का पेलोड सामान्यतया पर कूट रूप दिया गया या प्रमाणित होता है। रूटिंग अक्षुण्ण है, क्योंकि आईपी हेडर न तो संअनुसंधानित है और न ही एन्क्रिप्ट किया गया है; तथापि, जब प्रमाणीकरण हैडर का प्रयोग किया जाता है, तो आईपी पते को संजाल पता अनुवादन द्वारा संअनुसंधानित नहीं किया जा सकता है, क्योंकि यह हमेशा हैश मान को अमान्य करता है। ट्रांसपोर्ट और अनुप्रयोग परत हमेशा एक हैश द्वारा सुरक्षित होते हैं, इसलिए उन्हें किसी भी तरह से संअनुसंधानित नहीं किया जा सकता है,उदाहरण के लिए पोर्ट नंबरों का अनुवाद करके।
एनएटी ट्रैवर्सल के लिए आईपीसेक संदेशों को प्रावरण करने का एक साधन नेट-टी प्रक्रिया का वर्णन करने वाले टिप्पणियों के लिए अनुरोध दस्तावेज़ द्वारा परिभाषित किया गया है।
टनल मोड
टनल संचार में, पूरे आईपी वेष्टक को एन्क्रिप्ट और प्रमाणित किया जाता है। इसके बाद इसे एक नए आईपी हेडर के साथ एक नए आईपी वेष्टक में प्रावरण किया जाता है। टनल संचार का प्रयोग संजाल-से-संजाल संचार (जैसे राउटर से लिंक साइटों के बीच), सूत्रधार-से-संजाल संचार (जैसे दूरस्थ प्रयोगकर्ता पहुंच) और सूत्रधार-से-सूत्रधार संचार (जैसे निजी बातचीत) के लिए वर्चुअल निजी संजाल बनाने के लिए किया जाता है।[32]
टनल संचार NAT ट्रैवर्सल का समर्थन करता है।
एल्गोरिदम
सममित कूटलेखन एल्गोरिदम
आईपीसेक के साथ प्रयोग के लिए परिभाषित गुप्तलेखीय एल्गोरिदम में सम्मिलित हैं:
- HMAC-SHA1/SHA2 अखंडता संरक्षण और प्रामाणिकता के लिए।
- गोपनीयता के लिए ट्रिपल डीईएस-सीबीसी
- गोपनीयता के लिए एईएस-सीबीसी और एईएस-सीटीआर।
- एईएस-जीसीएम और ChaCha20-पाली1305 कुशलतापूर्वक एक साथ गोपनीयता और प्रमाणीकरण प्रदान करते हैं।
विवरण के लिए आरएफसी 8221 का संदर्भ लें।
कुंजी विनिमय एल्गोरिदम
- डिफी-हेलमैन (RFC 3526)
- ईसीडीएच (RFC 4753)