- IKEv1协商的两个阶段
第一阶段:通信双方协商和建立IKE协议本身使用的安全通道,目的是建立一个IKE SA
交互的内容:
- 交互密钥资源
- 交互双方的公钥
- 交互IKE SA(用来加密主模式里面的5和6两个包)
- 身份验证
第二阶段:利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的IPSec安全联盟
- 第一阶段主模式和野蛮模式协商过程图
主模式进行三次双向交互了六个包,三次交换分别是
- 消息①和②用于协商对等体之间使用的IKE安全提议
- 发起方发送一个或多个IKE安全提议(IKE协商过程中用到的加密算法、认证算法、Diffie-Hellman组及认证方法等)
- 响应方对发起方的IKE安全提议进行协商。在协商时将从优先级最高的提议开始匹配,协商双方必须至少有一条匹配的IKE安全提议才能协商成功。匹配的原则为协商双方具有相同的加密算法、认证算法、认证方法和Diffie-Hellman组标识
- 响应方响应ISAKMP消息,携带经协商匹配的安全提议及参数。 如果没有匹配的安全提议,响应方将拒绝发起方的安全提议
- 消息③和④使用DH算法交换与密钥相关的信息,并生成密钥
- 双方交换Diffie-Hellman公共值和nonce值,并产生IKE SA的认证和加密密钥(请参考前面的DH密钥交换算法)
- 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为IP地址或名称,数字证书方式下还需要传输证书的内容)和对整个主模式交换内容的认证
野蛮模式:
- 前两条消息①和②用于协商IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方
- 主模式和野蛮模式的区别
- 交换的消息
- 主模式为6个,野蛮模式为3个
- 身份保护
- 主模式的最后两条消息有加密,可以提供身份保护功能;而野蛮模式消息集成度过高,因此无身份保护功能
- 对等体标识
- 主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体
- 第二阶段快速模式协商过程图
- 消息一:协商发起方发送本端的安全参数和身份认证信息。安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。IPSec安全提议指IPSec协商过程中用到的安全协议、加密算法及认证算法等。身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体
- 消息二:p协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。如果启用PFS,则需要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因此在参数协商时要为PFS协商DH密钥组。
- 消息三:发送方发送确认信息,确认与响应方可以通信,协商结束
本文转载自: https://blog.csdn.net/zljszn/article/details/127535032
版权归原作者 干饭大王爱学习 所有, 如有侵权,请联系我们删除。
版权归原作者 干饭大王爱学习 所有, 如有侵权,请联系我们删除。