IPSEC密钥交换过程
引用页
- DOI
- ISAKMP
概念
IKEv1-主动模式-阶段1
我方:提议第一阶段使用3DES-CBC/SHA-HMAC/MODP1024/Life-Time(加密/完整性/密钥交换算法/密钥更换周期),aes128/sha256/modp3072/Life-Time;我还支持DPD,NAT-T,等等(死亡检测,NAT环境穿越)
对方:我找下我是否支持你的提议方式,OK我接受你的aes128/sha256/modp3072/28800,我也支持DPD,NAT-T,XAUTH
我方:交换一下公钥和Nonce随机数,我在NAT-D中将我的内网和外网端口信息告诉你,这样你就知道我有没有通过NAT了
对方:我的3072位公钥和Nonce随机数也给你,NAT-D信息也告诉你,这样你就知道我有没有通过NAT了
我方:现在已经是加密信息了,我们通过PSK或者RSA将身份信息验证一下,确保你不是骗子
对方:我将你的加密信息解密后,验证通过了,我不是骗子,你也不是
IKEv1-野蛮模式-阶段1
- 我方:提议第一阶段使用3DES-CBC/SHA-HMAC/MODP1024/Life-Time(加密/完整性/密钥交换算法/密钥更换周期),我支持DPD,NAT-T,等等(死亡检测,NAT环境穿越),我的公钥和Nonce随机数给你了,身份ID也给你了
- 对方:我找下我是否支持你的提议方式,OK我接受你的3DES-CBC/SHA-HMAC/MODP1024/28800,接受你的DPD,NAT-T,身份ID,这是我的NAT-D,和身份ID
- 我方:我接受你的NAT-D和身份ID,我们进入第二阶段把
IKEv1-快速模式-阶段2
- 我方:我支持3DES/MD5/Life-Time,3DES/MD5/MODP-1024/Life-Time算法,这是我的Nonce
- 对方:因为我支持PFS,所以我选择3DES/MD5/MODP-1024,我们重新使用DH算出新的加密密钥,而不是用第一阶段协商出来的密钥
- 我方:没问题,我们就按照协商好的方式通信把
对象说明
C,发起端S, 接收端ET(Exchange Type), 2:主模式,4:野蛮模式,32:快速模式,5:数据类型NP(Next Payload), 1:SA协议协商,4:秘钥交换,5:身份验证,8:hash数据,10:nonce随机数,13:vendorId支持的功能F(Flags)1:加密的数据
ISAKMP
第一阶段
主动模式
C(ET:2,NP:1,F:0)提议多套加密与完整性校验规则和身份验证机制以及生命周期,如(3DES-SHA;MODP2048;28800)
S(ET:2,NP:1,F:0)选择一套符合自己的规则
C(ET:2,NP:4,F:0)开始秘钥交换(DH),NP为4中包含交换秘钥
S(ET:2,NP:4,F:0)秘钥已发送给你了,我们接下来开始加密传输数据吧
C(ET:2,NP:5,F:1)我们开始验证身份吧,我们可以使用PSK,RSA
S(ET:2,NP:5,F:1)验证身份已经通过了,接下来我们开始进入第二阶段吧
野蛮模式
C(ET:2,NP:1,F:0)提议多套加密与完整性校验规则和身份验证机制以及生命周期,如(3DES-SHA;MODP2048;28800)
S(ET:2,NP:1,F:0)选择一套符合自己的规则
C(ET:2,NP:4,F:0)开始秘钥交换(DH),NP为4中包含交换秘钥
S(ET:2,NP:4,F:0)秘钥已发送给你了,我们接下来开始加密传输数据吧
C(ET:2,NP:5,F:1)我们开始验证身份吧,我们可以使用PSK,RSA
S(ET:2,NP:5,F:1)验证身份已经通过了,接下来我们开始进入第二阶段吧
第二阶段
快速模式
C(ET:32,NP:8,F:1)我们协商下使用AH还是ESP还是两个都用,我们两感兴趣的内网段咱们也协商下
S(ET:5,NP:8,F:1)那行,我们就按照这个方式来吧,接下来咋们可以开始通信了
阶段具体协商内容
S:IKE_SA_INIT,协商双方支持的认证方式
C:IKE_SA_INIT,协商双方支持的认证方式
S:IKE_AUTH,自身认证,并发送自己的证书给对端
C:IKE_AUTH,检查是否信任证书,同样选择使用EAP还是证书认证对端
S:IKE_AUTH,认证成功
C:IKE_AUTH, MSK established
S:IKE_SA,建立通信,开始分配IP地址
C:IKE_SA,开始通信
IPSEC密钥交换过程相关推荐
- SSL协议密钥交换过程理解
SSL协议 一.SSL 1 为什么需要SSL? 2 名词解释 3 使用SSL作为Web服务的传输协议(Https) 二.密匙交换过程 三.SSLVPN 1 为什么需要SSL 2 SSLVPN.IPse ...
- IPSec 密钥加密体系概述
IPSec VPN 密钥加密体系概述 加密算法 对称加密算法 非对称加密算法: 数字证书 数字信封 数字签名 数字指纹 加密算法没啥可说的,不是他很简单,是它太难了,我也不懂,我已经不学了,有想学的同 ...
- IPSec逻辑体系架构
以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书--<网络工程师必读--网络安全系统设计>一书.目前该书在卓越网上仅需要70折:http://www.amazon.cn/m ...
- IPsec ***基础:认识IPsec ***
1.IPSEC 提供了下列服务: 数据的机密性----------这是通过加密来防止数据遭受窃听***. 数据的完整性和验证--------通过HMAC功能来验证数据包没有被损坏,并通过一个有效地对等 ...
- 学习笔记——IPSec
目录 一.整个IPsec工作过程 二.IKE阶段1 三.IKE阶段2 四.IPsec协议 五.华为设备配置命令 (一)安全提议 xxx proposal (二)IKE对等体 ike peer (三 ...
- VPN、IPSEC、AH、ESP、IKE、DSVPN
目录 1.什么是数据认证,有什么作用,有哪些实现的技术手段? 2.什么是身份认证,有什么作用,有哪些实现的技术手段? 3.什么VPN技术? 4. VPN技术有哪些分类? 5. IPSEC技术能够提供哪 ...
- virtual private network 与IPSec协议工作原理
1.什么是数据认证,有什么作用,有哪些实现的技术手段? 数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密.数字签名和签名验证,确保网上传递信息的安全性.完整性. 使用了数 ...
- 网络协议 — IPSec 安全隧道协议族
目录 文章目录 目录 IPSec 安全隧道协议族 封装协议 Authentication Header 协议 Encapsulating Security Payload 协议 封装模式 Transp ...
- 细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
前文介绍IPSec和IKE已经很清晰了,可以查看一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA. 本文主要介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理. ...
最新文章
- 解决Tomcat v8.0 Server at localhost failed to start.
- OpenStack和Redis
- #研发解决方案#数据移山:接入、迁移、同步一站式
- 2016.6.29 tomcat卸载后在安装出现错误:failed to install tomcat7 service
- Java毕业设计-企业员工考勤打卡管理系统
- UART、IIC以及SPI通信协议
- android 炫酷背景,纯css3自动背景变换背景颜色,很炫酷
- 拉格朗日乘子法详解(Lagrange multiplier)
- 金融素养提升活动 | 第八届东方财富杯全国大学生金融挑战赛启动
- 生成彩色二维码(渐变色、插入图片和文字)
- 如何给PDF中的内容添加下划线
- UnityShader入门精要-屏幕后处理效果 亮度饱和度对比度、边缘检测、高斯模糊、bloom效果、运动模糊
- 计算机因特尔网络论文,电子商务课Intel未来教育理念论文
- android第三方上传文件,安卓和苹果终于打通!互传文件无需借助第三方,一碰就能传...
- mysql输出max函数_MySQL中的max()函数使用教程
- 2021-11-2记一次win7下python两种版本的完全安装
- 服务器渲染技术-->Thymeleaf
- Linux新特性之btrfs文件系统
- 《python网络编程基础》PDF 下载
- 手机html转mht,C# html转mht