IPSEC建立过程(简) |
您所在的位置:网站首页 › ipsec支持的数据加密算法有哪些 › IPSEC建立过程(简) |
IPSEC建立过程(简)
|
IPSEC建立过程
文章目录
IPSEC建立过程阶段一:阶段一支持两种协商模式:主模式:野蛮模式:
阶段二快速模式共有3条消息完成双方IPSec SA的建立。
主模式和野蛮模式的区别主模式包含三次双向交换,用到了六条信息。野蛮模式只用到三条信息
阶段一:
目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证
阶段一支持两种协商模式:
三个交换步骤: 协商对等体之间使用IKE安全提议 1/2数据包使用DH算法交换密钥相关信息,并生成密钥 3/4数据包对等体之间验证彼此身份 5/6数据包 野蛮模式: 发起方发送ISAKMP消息,携带建立IKE SA所使用的参数、与密钥生成相关的信息 和身份验证信息。响应方对收到的第一个数据包进行确认,查找并返回匹配的参数、密钥生成信息 和身份验证信息。发起方回应验证结果,并建立IKE SA
快速交换模式
安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息 包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体 说明: 密钥的有效时间由配置的安全联盟生存周期决定。安全联盟超时后会重新 协商密钥和安全联盟。 消息2响应消息1,发送响应方的安全参数和身份认证信息并生成新的密钥。对等体双方通过交换密钥材料生成新的共享密钥,并最终衍生出IPSec的加密密钥 此时响应者和发送者各有两个SA。 IPSec SA数据传输需要的加密、验证密钥由SKEYID_d、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。 当启用PFS时,要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因 此在参数协商时要为PFS协商DH密钥组。 消息3响应消息2,确认与响应方可以通信,协商结束 主模式和野蛮模式的区别 主模式包含三次双向交换,用到了六条信息。 消息①和②用于策略交换,发起方发送一个或多个IKE安全提议,响应方查找最先 匹配的IKE安全提议,并将这个IKE安全提议回应给发起方。消息③和④用于密钥信息交换,双方交换Diffie-Hellman公共值和nonce值,IKE SA 的认证/加密密钥在这个阶段产生。消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进 行身份认证和对整个主模式交换内容的认证。 野蛮模式只用到三条信息前两条消息①和②用于协商提议,交换Diffie-Hellman公共值 、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方 ①和②用于协商提议,交换Diffie-Hellman公共值 、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方 认证,消息③用于响应方认证发起方。 |
【本文地址】
今日新闻 |
推荐新闻 |