قبل تبادل البيانات المؤمنة، يجب تأسيس عقد بين جهازي الكمبيوتر. في هذا العقد، والذي يطلق عليه اقتران الأمان (SA)، يوافق كلا الجهازين على كيفية تبادل المعلومات وحمايتها.

يعد المفتاح أحد الرموز السرية أو الأرقام المطلوبة لقراءة البيانات الآمنة أو تعديلها أو التحقق منها. يتم استخدام المفاتيح مقترنة بالخوارزميات (إحدى العمليات الرياضية) لتأمين البيانات. في أمان بروتوكول إنترنت (IPsec)، توجد مرحلتان أو وضعان يستخدمان المفاتيح. يحدث الوضع الرئيسي أولاً ويؤدي إلى إنشاء مفتاح رئيسي مشترك يمكن للطرفين استخدامه لتبادل المعلومات الخاصة بالمفاتيح بطريقة آمنة. يستخدم الوضع السريع المفتاح الرئيسي لتأمين إنشاء مفتاح جلسة عمل أو أكثر التي يتم استخدامها في تكامل البيانات أو تشفيرها.

يقوم Windows بمعالجة إنشاء المفاتيح تلقائياً وتطبيق خصائص المفاتيح التالية التي توفر أعلى درجات الحماية:

هام

يمكن استخدام الأداة الإضافية 'نهج أمان IP' ‏(IP Security Policy) لإنشاء نُهج IPsec التي يمكن تطبيقها على أجهزة الكمبيوتر التي تعمل باستخدام Windows Vista والإصدارات الحديثة من Windows، إلا أن هذه الأداة الإضافية لا تستخدم خوارزميات الأمان الجديدة والميزات الجديدة الأخرى المتوفرة في أجهزة الكمبيوتر التي تعمل باستخدام تلك الإصدارات الحديثة من Windows. لإنشاء نُهج IPsec الخاصة بأجهزة الكمبيوتر هذه، استخدم الأداة الإضافية جدار حماية Windows مع أمان متقدم. لا تقوم الأداة الإضافية جدار حماية Windows مع أمان متقدم بإنشاء نُهج يمكن تطبيقها على الإصدارات السابقة من Windows.

إعادة الإنشاء الديناميكي للمفاتيح

يعتمد نهج IPSec على استخدام أحد الأساليب التي تسمى إعادة الإنشاء الديناميكي للمفاتيح للتحكم في عدد مرات إنشاء أحد المفاتيح الجديدة أثناء الاتصال. يتم إرسال الاتصال في شكل كتل, حيث يتم تأمين كل كتلة من البيانات باستخدام مفتاح مختلف. يؤدي ذلك إلى منع أحد المهاجمين ممن تمكنوا من الحصول على جزء من الاتصال ومفاتيح جلسة العمل المقابلة له من الحصول على باقي الاتصال. يتم توفير خدمة تفاوض الأمان وإدارة المفاتيح التلقائية هذه عند الطلب، وذلك باستخدام مفتاح إنترنت التبادلي (IKE), ويتم ذلك وفقاً لما هو محدد في RFC 2409.

يتيح نهج IPSec إمكانية في عدد مرات إنشاء مفتاح جديد. في حالة عدم تكوين أية قيم, يتم إعادة إنشاء المفاتيح تلقائياً خلال فواصل زمنية افتراضية.

أطوال المفاتيح

كلما ازداد طول المفتاح بمقدار بت واحد, تضاعف عدد المفاتيح التي يمكن تكوينها, مما يزيد من صعوبة تحديد المفتاح استناداً إلى النظام الأسي. يوفر IPSec خوارزميات متعددة، مما يتيح إمكانية توفر أطوال مفاتيح قصيرة أو طويلة.

إنشاء مادة المفاتيح: خوارزمية Diffie-Hellman

لتمكين الاتصال الآمن، يجب أن يتوفر لديك جهازي كمبيوتر يمكنهما الحصول على نفس المفتاح المشترك (الوضع السريع أو مفتاح جلسة العمل)، دون إرسال المفتاح عبر الشبكة وخرق السر.

تعد خوارزمية Diffie-Hellman واحدة من أقدم الخوارزميات وأكثرها أماناً، والتي يتم استخدامها في تبادل المفاتيح. يتبادل الطرفان بشكل عام معلومات المفاتيح التي يحميها Windows بشكل إضافي باستخدام توقيع دالة التجزئة. لا يتبادل أي من الطرفين المفتاح الفعلي أبداً; ومع ذلك, فبعد تبادل مادة المفتاح, يمكن لكل فريق إنشاء المفتاح المشترك المتطابق.

يمكن أن تستند مادة مفتاح DH المتبادلة بين الطرفين إلى مادة مفتاح ذات 768 بت أو 1024 بت أو 2048 بت تُعرف بمجموعات DH. تتناسب قوة مجموعة DH مع قوة المفتاح المحسوب من خلال تبادل DH. يزيد جمع مجموعات DH القوية مع أطوال المفاتيح الطويلة من درجة الصعوبة الحسابية المستخدمة لتحديد المفتاح.

ملاحظة

في مربع الحوار خوارزميات أمان IEK ، تتقابل القيمة 768 بت مع الإعداد منخفض (1) والقيمة 1024 مع الإعداد متوسط (2).

يستخدم IPSec خوارزمية DH لتوفير مادة المفتاح لكافة مفاتيح التشفير الأخرى. لا يوفر DH المصادقة. يقوم تطبيق Microsoft Windows لـ IPSec بالمصادقة على الهويات بعد حدوث تبادل DH, مما يوفر الحماية ضد man-in-the-middle attack.

حماية المفاتيح

تحسِّن الميزات التالية الأعداد الأولية الأساسية (مادة إنشاء المفاتيح) وقوة المفاتيح لمفاتيح جلسة العمل والمفاتيح الرئيسية.

أعمار المفاتيح

تحدد أعمار المفاتيح الوقت، بشكل يفوق الكيفية من حيث الأهمية، الذي يتم فيه إنشاء مفتاح جديد. وفيما يُعرف أيضًا بإعادة الإنشاء الديناميكي للمفاتيح أو إعادة إنشاء المفاتيح، يمكنك من خلال عمر المفتاح فرض إعادة إنشاء أحد المفاتيح عقب مرور فاصل زمني محدد. على سبيل المثال, إذا استغرق اتصال مدة 10000 ثانية وكنت قد حددت عمر المفتاح بـ 1000 ثانية, يتم إنشاء 10 مفاتيح لإكمال الاتصال. ويضمن ذلك أنه حتى في حالة تمكن أحد المهاجمين من فك تشفير جزء من الاتصال, تتم حماية باقي الاتصال. يمكن تحديد أعمار المفاتيح لكل من المفاتيح الرئيسية ومفاتيح جلسة العمل. حين يتم الوصول إلى نهاية عمر مفتاح, تتم إعادة تفاوض SA أيضاً. بالإضافة إلى ذلك, يتم تحديث المفتاح أو إعادة إنشائه. ينبغي ألا يتجاوز مقدار البيانات المعالجة بواسطة مفتاح واحد 100 ميغا بايت.

حد تحديث مفتاح جلسة العمل

يتم استخدام حد تحديث مفتاح جلسة العمل للوضع السريع لأنه يمكن أن تؤدي إعادة إنشاء المفاتيح المتكررة من أحد مفاتيح جلسة العمل للوضع السريع إلى خرق سر Diffie-Hellman المشترك.

على سبيل المثال, ترسل سعاد من على الكمبيوتر"أ" رسالة إلى هادي على الكمبيوتر"ب", ثم ترسل إليه رسالة أخرى بعد عدة دقائق. يمكن إعادة استخدام مادة مفتاح جلسة العمل نفسها، وذلك نتيجة لتأسيس SA مؤخراً. إذا أردت تقليص عدد مرات حدوث هذا الأمر, فعين رقماً منخفضاً لحد تحديث مفتاح جلسة.

في حالة تمكين 'السرية التامة لإعادة توجيه المفتاح الرئيسي' (PFS)، لن يتم استخدام حد لتحديث مفتاح جلسة العمل للوضع السريع. يتطابق تعيين حد تحديث مفتاح جلسة عمل إلى 1 مع تمكين السرية التامة لإعادة توجيه المفتاح الرئيسي. إذا تم تحديد كل من مدة بقاء المفتاح الرئيسي للوضع الرئيسي وحد تحديث مفتاح جلسة العمل للوضع السريع، فإن أي حد يتم الوصول إليه أولاً يؤدي إلى عملية إعادة تعيين المفتاح التالية. افتراضياً, لا يحدد نهج IPSec حد تحديث مفتاح جلسة العمل.

مجموعات Diffie-Hellman

يتم استخدام مجموعات Diffie-Hellman (DH)‎ لتحديد طول الأعداد الأولية الرئيسية (مادة المفتاح) لتبادل DH. تعتمد قوة أي مفتاح يتم اشتقاقه من تبادل DH، بشكل جزئي، على قوة مجموعة DH التي تعتمد عليها الأعداد الأولية.

تعرف كل مجموعة DH طول مادة المفتاح التي سيتم استخدامها. تحمي المجموعة 1 ما مقداره 768 بت من مادة إنشاء المفاتيح؛ وتحمي المجموعة 2 ما مقداره 1024 بت؛ أما المجموعة 3 فتحمي 2048 بت. عند استخدام مجموعة أكبر, فإن المفتاح الناتج الذي تم تحديده من تبادل DH يكون أكبر حجماً وأكثر صعوبة من أن يتمكن أحد المهاجمين من تحديده.

يتفاوض مفتاح إنترنت التبادلي (IKE) بشأن المجموعة التي سيتم استخدامها، استنادًا إلى الإعدادات التي تقوم بتكوينها في مربع الحوار خوارزميات أمان IEK، للتأكد من عدم وجود أية إخفاقات في التفاوض ناشئة عن عدم تطابق بين النظيرين في إحدى مجموعات DH.

في حالة تمكين السرية التامة لإعادة توجيه مفتاح جلسة العمل, يتم التفاوض على مفتاح DH جديد أثناء مفاوضة اقتران أمان الوضع السريع الأول. يزيل مفتاح DH الجديد تبعية مفتاح جلسة العمل على تبادل DH الذي يتم تنفيذه للمفتاح الرئيسي.

إذا كان البادئ يستخدم السرية التامة لإعادة توجيه مفتاح جلسة العمل, فلن يكون مطلوباً من المستجيب أيضاً استخدام السرية التامة لإعادة توجيه مفتاح جلسة العمل. في حين, إذا كان البادئ لا يستخدم السرية التامة لإعادة توجيه جلسة العمل وكان المستجيب يستخدمها, فإن التفاوض يفشل.

تكون المجموعة DH هي نفسها لمفاوضات SA الخاصة بكل من الوضع الرئيسي والوضع السريع. عند تمكين PFS الخاص بمفتاح جلسة العمل، وعلى الرغم من تعيين مجموعة DH كجزء من مفاوضة SA للوضع الرئيسي، فإنها تؤثر على أية عمليات إعادة إنشاء المفاتيح للوضع السريع أثناء إنشاء مفتاح جلسة العمل للوضع السريع.

السرية التامة لإعادة التوجيه

على عكس أعمار المفاتيح، فإن السرية التامة لإعادة التوجيه ( PFS) تحدد الكيفية - بشكل يفوق الوقت من حيث الأهمية - التي يتم من خلالها إنشاء مفتاح جديد. بشكل أكثر تحديداً, تضمن PFS أن إفشاء مفتاح واحد فقط يسمح بالوصول إلى البيانات المحمية به فقط, وليس بالضرورة للاتصال بالكامل. لإجراء ذلك هذا الأمر, تضمن PFS عدم إمكانية استخدام المفتاح المستخدم لحماية الإرسال، في أي وضع، لإنشاء مفاتيح إضافية. بالإضافة إلى ذلك, إذا تم اشتقاق المفتاح المستخدم من مادة مفتاح محددة, فيتعذر استخدام تلك المادة لإنشاء مفاتيح أخرى.

تتطلب PFS الخاصة بالمفتاح الرئيسي للوضع الرئيسي إجراء إعادة المصادقة، كما أنها تعتمد على الموارد بشكل كبير. عند تمكينها، يجب أن يعيد IKE مصادقة الهويات، مما يؤدي إلى زيادة الحمل الخاص بوحدات التحكم بالمجال عند استخدام بروتوكول المصادقة Kerberos V5 للمصادقة. وهي تتطلب توفر مفاوضة وضع رئيسي جديدة لكل مفاوضة وضع سريع تحدث.

يمكن استخدام PFS الخاصة بمفتاح جلسة عمل الوضع السريع دون إعادة المصادقة، كما أنها لا تعتمد على الموارد بشكل كبير. تؤدي السرية التامة لإعادة توجيه مفتاح جلسة العمل إلى تبادل DH لإنشاء مادة مفتاح جديدة. وهذا يتطلب توفر أربعة رسائل فقط مع عدم المصادقة.

لا يلزم تمكين PFS على النظيرين معاً، لأنه لا يعد جزءاً من تفاوض SA. إذا كان المستجيب يتطلب PFS، مع انتهاء مدة صلاحية SA الخاص بالوضع الرئيسي للمرسل، فإنه ببساطة يقوم برفض رسالة المرسل ويطلب وجود مفاوضة جديدة. يتسبب المرسل في انتهاء مدة صلاحية SA الخاص بالوضع الرئيسي ثم يعيد التفاوض. يمكن تعيين PFS لكل من المفاتيح الرئيسية (الوضع الرئيسي) ومفاتيح جلسة العمل (الوضع السريع) بشكل مستقل.

تبادل المفاتيح

قبل توفر إمكانية تبادل البيانات الآمنة، يجب إعداد عقد بين جهازي الكمبيوتر. في هذا العقد (SA) يوافق الطرفان على كيفية تبادل المعلومات وحمايتها.

لإعداد هذا العقد بين جهازي الكمبيوتر، قام فريق مهام هندسة الإنترنت (IETF) بإنشاء أسلوب مفتاح إنترنت التبادلي (IKE) لتحليل اقتران الأمان وتبادل المفاتيح، ، ويتم من خلال هذا الأسلوب:

  • تركيز إدارة اقتران الأمان, مما يقلل من زمن الاتصال.

  • إنشاء المفاتيح السرية المستخدمة لتأمين المعلومات وإدارتها.

ولا توفر هذه العملية الحماية للاتصال بين أجهزة الكمبيوتر فقط، بل تحمي أيضاً أجهزة الكمبيوتر عن بعد التي تتطلب وصولاً آمناً إلى شبكة الشركة. بالإضافة إلى ذلك، تنشط هذه العملية حينما يتم إجراء التفاوض لكمبيوتر الوجهة النهائية بواسطة بوابة أمان.

اقتران الأمان المعرَّف

اقتران الأمان (SA) عبارة عن تركيبة تضم مفتاحاً تم التفاوض عليه وبروتوكول أمان وفهرس معلمات أمان (SPI), وهذه التركيبة في مجملها تعرّف الأمان المستخدم لحماية الاتصال من المرسل إلى المتلقي. يعتبر SPI قيمة فريدة, معرفة في اقتران الأمان المستخدم للتمييز بين اقترانات أمان متعددة موجودة في الكمبيوتر المتلقي. على سبيل المثال, قد توجد اقترانات متعددة في حالة أحد أجهزة الكمبيوتر بطريقة آمنة بأجهزة كمبيوتر متعددة في نفس الوقت. وهذا حدث شائع عندما يكون الكمبيوتر خادم ملفات أو خادم وصول عن بعد يخدم عملاء متعددين. في هذه الحالات, يستخدم الكمبيوتر المتلقي SPI لتحديد اقتران الأمان المستخدم لمعالجة الحزم الواردة.

اقتران أمان (SA) الوضع الرئيسي

لتوفير اتصالات آمنة وناجحة, يقوم IKE بإجراء تتكون من مرحلتين. يتم ضمان السرية والمصادقة أثناء كل مرحلة باستخدام خوارزميات التشفير والمصادقة التي تمت الموافقة عليها بواسطة جهازي الكمبيوتر أثناء مفاوضات الأمان. مع تقسيم الواجبات على مرحلتين, يمكن الانتهاء من إنشاء المفتاح بسرعة.

أثناء المرحلة الأولى, يؤسس جهازا الكمبيوتر قناة آمنة ومصادقة. ويسمى هذا باقتران أمان الوضع الرئيسي. يوفر IKE تلقائياً حماية الهوية المطلوبة أثناء إجراء هذا التبادل.

توفر الخطوات التالية وصفاً لإحدى مفاوضات الوضع الرئيسي.

  1. مفاوضة النهج. يتم التفاوض على المعلمات الأربع الإلزامية التالية كجزء من اقتران أمان الوضع الرئيسي:

    • خوارزمية التشفير (DES أو 3DES).

    • خوارزمية التجزئة (MD5 أو SHA1).

    • أسلوب المصادقة (الإصدار الخامس من بروتوكول المصادقة Kerberos أو الشهادة أو مصادقة المفتاح الذي تمت مشاركته مسبقاً).

    • مجموعة Diffie-Hellman (DH)‎ المراد استخدامها لمادة المفتاح الرئيسية (768 بت، المنخفض (المجموعة 1) أو 1024 بت، المتوسط (المجموعة 2) أو 2048 بت، العالي (المجموعة 3)).

    • إذا كانت الشهادات أو المفاتيح التي تمت مشاركتها مسبقاً مستخدمة للمصادقة, فستتم حماية هوية الكمبيوتر. في حين, إذا تم استخدام الإصدار الخامس من بروتوكول المصادقة Kerberos, يتم فك تشفير هوية الكمبيوتر لحين إجراء تشفير حمولة الهوية كاملة أثناء المصادقة.

  2. تبادل DH (للقيم العمومية). لا يتم تبادل المفاتيح الفعلية قط. يتم فقط تبادل المعلومات المطلوبة من قبل خوارزمية تحديد المفتاح DH لإنشاء المفتاح السري المشترك. بعد إجراء هذا التبادل, تنشئ الخدمة IKE في كل كمبيوتر المفتاح الرئيسي الذي يتم استخدامه لحماية المصادقة.

  3. المصادقة. تحاول أجهزة الكمبيوتر مصادقة تبادل مفتاح DH. بدون مصادقة تبادل مفتاح DH, يكون الاتصال عرضة لـ man-in-the-middle attack. يتعذر متابعة الاتصال بدون المصادقة الناجحة. يتم استخدام المفتاح الرئيسي, بالاقتران مع خوارزميات التفاوض وأساليبه, لمصادقة الهويات. تتم تجزئة حمولة الهوية كاملة (بما في ذلك نوع الهوية والمنفذ والبروتوكول) وتشفيرها باستخدام المفاتيح التي تم إنشاؤها في الخطوة الثانية من تبادل DH. تتم حماية حمولة الهوية, بغض النظر عن أسلوب المصادقة المستخدم, محمية ضد التعديل والترجمة.

    يقدم المرسل عرضاً باقتران أمان محتمل إلى المتلقي. ويتعذر على المستجيب تعديل العرض. إذا تطلب الأمر تعديل العرض، يرفض البادئ رسالة المستجيب. يرسل المستجيب إما رداً بقبول العرض أو رداً بالبدائل.

    يتوفر للرسائل المرسلة أثناء هذه المرحلة دورة إعادة محاولة تلقائية يتم تكرارها خمس مرات. إذا تم تلقي استجابة قبل انتهاء دورة إعادة المحاولة, يبدأ تفاوض SA القياسي. إذا تم السماح للاتصالات غير الآمنة من قبل نهج IPSec, فإنها ستبدأ بعد فاصل زمني قصير. يُعرف هذا السلوك بـ "العودة للإيضاح". حتى في حالة عودة الاتصال للإيضاح, تتم محاولة مفاوضة اتصال آمن كل 5 دقائق.

    ليس هناك حد لعدد التبادلات التي يمكن تطبيقها. يكون عدد اقترانات الأمان التي يتم تأسيسها يكون محدوداً فقط بموارد النظام.

اقتران أمان (SA) الوضع السريع

في هذه المرحلة, يتم تفاوض اقترانات الأمان بالنيابة عن برنامج تشغيل أمان IP.

توفر الخطوات التالية وصفاً لإحدى مفاوضات الوضع السريع.

  1. يحدث تفاوض النهج. تتبادل أجهزة كمبيوتر IPSec المتطلبات التالية لتأمين نقل البيانات:

    • بروتوكول IPsec (AH أو ESP)

    • خوارزمية التجزئة للتكامل والمصادقة (MD5 أو SHA1)

    • خوارزمية التشفير, في حالة طلبها (3DES أو DES)

    يتم الوصول إلى اتفاق مشترك, ويتم تأسيس اقتراني أمان. يخصص أحد إقتراني الأمان للاتصال الوارد، والآخر للاتصال الصادر.

  2. يتم تحديث مادة مفتاح جلسة العمل أو تبادلها. يقوم IKE بتحديث مادة إنشاء المفتاح ويتم إنشاء مفاتيح مشتركة جديدة لتكامل الحزمة والمصادقة والتشفير (إذا تم التفاوض على ذلك). إذا تطلب الأمر إجراء إعادة إنشاء المفتاح، فإما أن يحدث تبادل DH ثانٍ (كما هو موضح في مفاوضة الوضع الرئيسي) أو يتم استخدام تحديث المفتاح DH الأصلي.

  3. يتم تمرير اقترانات الأمان والمفاتيح، بالإضافة إلى SPI, إلى برنامج تشغيل أمان IP. يتم حماية مفاوضة الوضع السريع لإعدادات الأمان ومادة إنشاء المفتاح (بغرض تأمين البيانات) بواسطة اقتران أمان الوضع الرئيسي. وكما وفرت المرحلة الأولى حماية للهوية، فإن المرحلة الثانية وهي مرحلة الوضع السريع توفر الحماية عن طريق تحديث مادة إنشاء المفتاح قبل إرسال البيانات. يمكن أن يستوعب IKE حمولة تبادل مفتاح لتبادل DH إضافي إذا استلزم الأمر إعادة تعيين مفتاح - أي يتم تمكين السرية التامة لإعادة توجيه المفتاح الرئيسي. وإلا، فسيقوم IKE بتحديث مادة إنشاء المفتاح من عملية تبادل DH التي تم إكمالها في الوضع الرئيسي.

    ينتج عن الوضع السريع زوج من اقترانات الأمان، يكون لكل منهما SPI ومفتاحه الخاص به. ُيُخصص أحد اقتراني الأمان للاتصال الوارد, والآخر للاتصال الصادر.

    تشبه خوارزمية إعادة المحاولة لإحدى الرسائل العملية الموصوفة في مفاوضة الوضع الرئيسي. ومع ذلك، إذا انقضت مهلة هذا الإجراء لأي سبب أثناء إيقاف التفاوض الثاني أو ما هو أعلى لنفس اقتران الأمان الخاص بالوضع الرئيسي، فسيتم محاولة إجراء التفاوض لاقتران أمان الوضع الرئيسي. في حالة تلقي رسالة من أجل هذه المرحلة دون إنشاء اقتران أمان الوضع الرئيسي، سيتم رفضها.

    إن استخدام اقتران أمان واحد للوضع الرئيسي من أجل مفاوضات اقتران أمان الوضع السريع المتعددة يزيد من سرعة العملية. وطالما أن مدة صلاحية اقتران أمان الوضع الرئيسي لم تنتهي، فلن يتم طلب إعادة التفاوض وإعادة المصادقة. يتم تحديد عدد مرات مفاوضات اقتران أمان الوضع السريع التي يمكن إنجازها بواسطة إعدادات نهج IPSec.

    ملاحظة

    قد يؤدي عمليات إعادة إنشاء المفتاح المفرطة من نفس اقتران أمان الوضع الرئيسي إلى جعل المفتاح السري المشترك عرضة لهجوم النصوص العادية المعروفة. يعد هجوم known plaintext attack أحد أنواع هجمات sniffer يحاول المهاجم من خلاله تحديد مفتاح التشفير من البيانات المشفرة المستندة إلى known plaintext.

عمر SA

يتم تخزين اقتران أمان الوضع الرئيسي بشكل مؤقت للسماح بمفاوضات اقتران أمان الوضع السريع المتعددة (ما لم يتم تمكين PFS الخاصة بالمفتاح الرئيسي). عند الوصول إلى عمر المفتاح الرئيسي أو مفتاح جلسة العمل, تتم إعادة تفاوض SA. بالإضافة إلى ذلك, يتم تحديث المفتاح أو إعادة إنشائه.

عند انقضاء مدة المهلة الافتراضية الخاصة باقتران أمان الوضع الرئيسي، أو عند انتهاء مدة بقاء المفتاح الرئيسي أو مفتاح جلسة العمل، سيتم إرسال رسالة حذف إلى المستجيب. تخبر رسالة حذف IKE المستجيب بالتسبب في إنهاء مدة صلاحية اقتران أمان الوضع الرئيسي. وهذا يمنع إنشاء اقترانات أمان الوضع السريع الجديدة من خلال اقتران أمان الوضع الرئيسي الذي انتهت مدة صلاحيته. لا يتسبب IKE في إنهاء مدة صلاحية اقتران أمان الوضع السريع، لأن برنامج تشغيل IPSec فقط يحتوي على عدد الثواني أو وحدات البايت التي تم تمريرها للوصول إلى مدة بقاء المفتاح.

انتبه أثناء إعداد أعمار المفاتيح شديدة الاختلاف بالنسبة لمفاتيح جلسة العمل والمفاتيح الرئيسية. على سبيل المثال، فإن تعيين مدة بقاء المفتاح الرئيسي الخاص بالوضع الرئيسي إلى ثماني ساعات ومدة بقاء مفتاح جلسة العمل إلى ساعتين قد يؤدي إلى وجود اقتران أمان الوضع السريع فعالاً لساعتين تقريباً بعد انتهاء مدة صلاحية اقتران أمان الوضع الرئيسي. وهذا يحدث عندما يتم إنشاء اقتران أمان الوضع السريع قبل انتهاء مدة صلاحية اقتران أمان الوضع الرئيسي بفترة قصيرة.


جدول المحتويات