ipsecvpn兩個階段的協(xié)商過程

ipsecvpn兩個階段的協(xié)商過程

ID:12898658

大小:33.00 KB

頁數(shù):6頁

時間:2018-07-19

ipsecvpn兩個階段的協(xié)商過程_第1頁
ipsecvpn兩個階段的協(xié)商過程_第2頁
ipsecvpn兩個階段的協(xié)商過程_第3頁
ipsecvpn兩個階段的協(xié)商過程_第4頁
ipsecvpn兩個階段的協(xié)商過程_第5頁
資源描述:

《ipsecvpn兩個階段的協(xié)商過程》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、anti-security潘宏成的技術(shù)博客!有些東西,要記錄下來才能回憶!?主頁博客相冊

2、個人檔案

3、好友?查看文章?IPsecVPN兩個階段的協(xié)商過程2009-04-2921:44第一階段有主模式和積極模式2種注意!!!只有remotevpn和Easyvpn是積極模式的,其他都是用主模式來協(xié)商的讓IKE對等體彼此驗證對方并確定會話密鑰,這個階段永DH進(jìn)行密鑰交換,創(chuàng)建完IKESA后,所有后續(xù)的協(xié)商都將通過加密合完整性檢查來保護(hù)phase1幫助在對等體之間創(chuàng)建了一條安全通道,使后面的phase2過程協(xié)商受到安全保護(hù)第二階段快速模式協(xié)商IPSECSA使用的安全參數(shù),創(chuàng)建IPSECSA,使用AH

4、或ESP來加密IP數(shù)據(jù)流總結(jié)第一階段作用-----對等體之間彼此驗證對方,并協(xié)商出IKESA,保護(hù)第二階段中IPSECSA協(xié)商過程第二階段作用-----協(xié)商IPSEC單向SA,為保護(hù)IPS數(shù)據(jù)流而創(chuàng)建主模式協(xié)商IKEphase1在IPSEC對等體間交換6條消息,這些消息的具體格式取決于使用的對等體認(rèn)證方法一,使用預(yù)共享密鑰進(jìn)行驗證的主模式(6條)協(xié)商過程使用ISAKMP消息格式來傳遞(UDP500)第一階段準(zhǔn)備工作在前2條消息發(fā)送以前,發(fā)送者和接受者必須先計算出各自的cookie(可以防重放和DOS攻擊),這些cookie用于標(biāo)識每個單獨的協(xié)商交換消息cookie---RFC建議將源目IP

5、,源目端口,本地生成的隨機(jī)數(shù),日期和時間進(jìn)行散列操作.cookie成為留在IKE協(xié)商中交換信息的唯一標(biāo)識,實際上cookie是用來防止DOS攻擊的,它把和其他設(shè)備建立IPSEC所需要的連接信息不是以緩存的形式保存在路由器里,而是把這些信息HASH成個cookie值1&2消息消息1---發(fā)送方向?qū)Φ润w發(fā)送一條包含一組或多組策略提議,在策略提議中包括5元組(加密算法,散列算法,DH,認(rèn)證方法,IKESA壽命)消息2---接受方查看IKE策略消息,并嘗試在本地尋找與之匹配的策略,找到后,則有一條消息去回應(yīng)注意!!!發(fā)起者會將它的所有策略發(fā)送給接受者,接受者則在自己的策略中尋找與之匹配的策略(對比

6、順序從優(yōu)先級號小的到大的)(默認(rèn)策略實際就是個模版沒作用,如果認(rèn)證只配置預(yù)共享的話,其他參數(shù)就會copy默認(rèn)策略里的)在1&2消息中報錯可能出現(xiàn)的原因1,peer路由不通2,cryptoiskmpkey沒有設(shè)置3,一階段的策略不匹配3&4消息這2條消息,用于交換DH的公開信息和隨機(jī)數(shù)兩個對等體根據(jù)DH的公開信息都算出了雙方相等的密植后,兩個nonce連通預(yù)共享密鑰生成第一個skeyID隨后便根據(jù)SKEY__ID來推算出其他幾個skeyIDskeyID_d---用來協(xié)商出后續(xù)IPSECSA加密使用的密鑰的skeyID_a---為后續(xù)的IKE消息協(xié)商以及IPSECSA協(xié)商進(jìn)行完整性檢查(HMA

7、C中的密鑰)skeyID_e---為后續(xù)的IKE消息協(xié)商以及IPSECSA協(xié)商進(jìn)行加密5&6消息這2條消息用于雙方彼此驗證,這個過程是受skeyID_e加密保護(hù)的為了正確生成密鑰,每一個對等體必須找到與對方相對應(yīng)的預(yù)共享密鑰,當(dāng)有許多對等體連接時,每一對對等體兩端都需要配置預(yù)共享密鑰,每一對等體都必須使用ISAKMP分組的源IP來查找與其對等體對應(yīng)的預(yù)共享密鑰(此時由于ID還沒到,彼此先用HASH來彼此驗證對方)HASH認(rèn)證成分---SKEYID_a,cookieA,cookieB,preshare_key,SApaload,轉(zhuǎn)換集,策略在5&6消息中報錯可能出現(xiàn)的原因1,cryptois

8、kmpkey設(shè)置錯了消息6--接受者處理過程1,用skeyID_e對消息進(jìn)行加密??2,用ID(源IP)查找出與共享密鑰3,skeyID_a和preshare-key等一堆東西一起來計算HASH4,和收到的HASH做比較第二階段(3條)phase2的目標(biāo)是協(xié)商IPSECSA,而且只有一種模式,快速模式,快速模式的協(xié)商是受IKESA保護(hù)的1&2消息消息1---發(fā)送方發(fā)送一條報文,其中包含HASH,IPSEC策略提議,NONCE和可選的DH,身份IDHASH:是用于給接受方作完整性檢查的,用于再次認(rèn)證對等體(必須)HASH的成分和5-6階段一樣IPSEC策略提議:其中包括了安全協(xié)議,SPI,散

9、列算法,隧道模式,IPSECSA生命周期(必須)NONCE:用于防重放攻擊,還被用作密碼生成的材料,僅當(dāng)啟用PFS時用到ID:描述IPSECSA是為哪些地址,協(xié)議和端口建立的PFS(利用DH交換,可選):用了PFS后就會在第二階段重新DH出個數(shù)據(jù)加密KEY,這個KEY和以前IKE協(xié)商出來的KEY沒有任何關(guān)系,然后由這個新KEY來加密數(shù)據(jù),只有到這個IPSECSA的生命周期后,會再次DH出新的KEY,這樣,安全性就提高了(

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。