返回
IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章

IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章

ID:39550071

大小:25.00 KB

页数:4页

时间:2019-07-06

IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章_第1页
IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章_第2页
IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章_第3页
IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章_第4页
资源描述:

《IPsec IKE SA 和 IPsec SA 写的比较清晰的一篇文章文章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、终于明白是怎么回事了,困扰我好多天了。网上的资料鱼龙混杂,直到这位大虾的出现。第一阶段有主模式和积极模式2种只有remotevpn和Easyvpn是积极模式的,其他都是用主模式来协商的让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKESA后,所有后续的协商都将通过加密合完整性检查来保护phase1帮助在对等体之间创建了一条安全通道,使后面的phase2过程协商受到安全保护第二阶段快速模式协商IPSECSA使用的安全参数,创建IPSECSA,使用AH或ESP来加密IP数据流第一阶段详细过程主模

2、式协商IKEphase1在IPSEC对等体间交换6条消息,这些消息的具体格式取决于使用的对等体认证方法一,使用预共享密钥进行验证的主模式(6条)协商过程使用ISAKMP消息格式来传递(UDP500)第一阶段准备工作在前2条消息发送以前,发送者和接受者必须先计算出各自的cookie(可以防重放和DOS攻击),这些cookie用于标识每个单独的协商交换消息cookie---RFC建议将源目IP,源目端口,本地生成的随机数,日期和时间进行散列操作.cookie成为留在IKE协商中交换信息的唯一标识,实际上cookie是用来防止D

3、OS攻击的,它把和其他设备建立IPSEC所需要的连接信息不是以缓存的形式保存在路由器里,而是把这些信息HASH成个cookie值1&2消息消息1---发送方向对等体发送一条包含一组或多组策略提议,在策略提议中包括5元组(加密算法,散列算法,DH,认证方法,IKESA寿命)1.策略协商,在这一步中,就四个强制性参数值进行协商:1)加密算法:选择DES或3DES2)hash算法:选择MD5或SHA3)认证方法:选择证书认证、预置共享密钥认证或Kerberosv5认证4)Diffie-Hellman组的选择消息2---接受方查看

4、IKE策略消息,并尝试在本地寻找与之匹配的策略,找到后,则有一条消息去回应注意!!!发起者会将它的所有策略发送给接受者,接受者则在自己的策略中寻找与之匹配的策略(对比顺序从优先级号小的到大的)(默认策略实际就是个模版没作用,如果认证只配置预共享的话,其他参数就会copy默认策略里的)在1&2消息中报错可能出现的原因1,peer路由不通2,cryptoiskmpkey没有设置3,一阶段的策略不匹配3&4消息这2条消息,用于交换DH的公开信息和随机数两个对等体根据DH的公开信息都算出了双方相等的密植后,两个nonce连通预共享

5、密钥生成第一个skeyID随后便根据SKEY__ID来推算出其他几个skeyIDskeyID_d---用来协商出后续IPSECSA加密使用的密钥的skeyID_a---为后续的IKE消息协商以及IPSECSA协商进行完整性检查(HMAC中的密钥)skeyID_e---为后续的IKE消息协商以及IPSECSA协商进行加密5&6消息这2条消息用于双方彼此验证,这个过程是受skeyID_e加密保护的为了正确生成密钥,每一个对等体必须找到与对方相对应的预共享密钥,当有许多对等体连接时,每一对对等体两端都需要配置预共享密钥,每一对等

6、体都必须使用ISAKMP分组的源IP来查找与其对等体对应的预共享密钥(此时由于ID还没到,彼此先用HASH来彼此验证对方)HASH认证成分---SKEYID_a,cookieA,cookieB,preshare_key,SApaload,转换集,策略在5&6消息中报错可能出现的原因1,cryptoiskmpkey设置错了接受者处理过程1,用skeyID_e对消息进行加密2,用ID(源IP)查找出与共享密钥3,skeyID_a和preshare-key等一堆东西一起来计算HASH4,和收到的HASH做比较第二阶段(3条)ph

7、ase2的目标是协商IPSECSA,而且只有一种模式,快速模式,快速模式的协商是受IKESA保护的·使用哪种IPSec协议:AH或ESP·使用哪种hash算法:MD5或SHA使用什么模式:隧道还是传输·是否要求加密,若是,选择加密算法:3DES或DES在上述三方面达成一致后,将建立起两个SA,分别用于入站和出站通信。1&2消息消息1---发送方发送一条报文,其中包含HASH,IPSEC策略提议,NONCE和可选的DH,身份IDHASH:是用于给接受方作完整性检查的,用于再次认证对等体(必须)HASH的成分和5-6阶段一样I

8、PSEC策略提议:其中包括了安全协议,SPI,散列算法,隧道模式,IPSECSA生命周期(必须)NONCE:用于防重放攻击,还被用作密码生成的材料,仅当启用PFS时用到ID:描述IPSECSA是为哪些地址,协议和端口建立的PFS(利用DH交换,可选):用了PFS后就会在第二阶段重新DH出个数据加密KEY

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。