資源描述:
《ipsecvpn兩個階段的協(xié)商過程》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、anti-security潘宏成的技術(shù)博客!有些東西,要記錄下來才能回憶!?主頁博客相冊
2、個人檔案
3、好友?查看文章?IPsecVPN兩個階段的協(xié)商過程2009-04-2921:44第一階段有主模式和積極模式2種注意!!!只有remotevpn和Easyvpn是積極模式的,其他都是用主模式來協(xié)商的讓IKE對等體彼此驗證對方并確定會話密鑰,這個階段永DH進(jìn)行密鑰交換,創(chuàng)建完IKESA后,所有后續(xù)的協(xié)商都將通過加密合完整性檢查來保護(hù)phase1幫助在對等體之間創(chuàng)建了一條安全通道,使后面的phase2過程協(xié)商受到安全保護(hù)第二階段快速模式協(xié)商IPSECSA使用的安全參數(shù),創(chuàng)建IPSECSA,使用AH
4、或ESP來加密IP數(shù)據(jù)流總結(jié)第一階段作用-----對等體之間彼此驗證對方,并協(xié)商出IKESA,保護(hù)第二階段中IPSECSA協(xié)商過程第二階段作用-----協(xié)商IPSEC單向SA,為保護(hù)IPS數(shù)據(jù)流而創(chuàng)建主模式協(xié)商IKEphase1在IPSEC對等體間交換6條消息,這些消息的具體格式取決于使用的對等體認(rèn)證方法一,使用預(yù)共享密鑰進(jìn)行驗證的主模式(6條)協(xié)商過程使用ISAKMP消息格式來傳遞(UDP500)第一階段準(zhǔn)備工作在前2條消息發(fā)送以前,發(fā)送者和接受者必須先計算出各自的cookie(可以防重放和DOS攻擊),這些cookie用于標(biāo)識每個單獨的協(xié)商交換消息cookie---RFC建議將源目IP
5、,源目端口,本地生成的隨機(jī)數(shù),日期和時間進(jìn)行散列操作.cookie成為留在IKE協(xié)商中交換信息的唯一標(biāo)識,實際上cookie是用來防止DOS攻擊的,它把和其他設(shè)備建立IPSEC所需要的連接信息不是以緩存的形式保存在路由器里,而是把這些信息HASH成個cookie值1&2消息消息1---發(fā)送方向?qū)Φ润w發(fā)送一條包含一組或多組策略提議,在策略提議中包括5元組(加密算法,散列算法,DH,認(rèn)證方法,IKESA壽命)消息2---接受方查看IKE策略消息,并嘗試在本地尋找與之匹配的策略,找到后,則有一條消息去回應(yīng)注意!!!發(fā)起者會將它的所有策略發(fā)送給接受者,接受者則在自己的策略中尋找與之匹配的策略(對比
6、順序從優(yōu)先級號小的到大的)(默認(rèn)策略實際就是個模版沒作用,如果認(rèn)證只配置預(yù)共享的話,其他參數(shù)就會copy默認(rèn)策略里的)在1&2消息中報錯可能出現(xiàn)的原因1,peer路由不通2,cryptoiskmpkey沒有設(shè)置3,一階段的策略不匹配3&4消息這2條消息,用于交換DH的公開信息和隨機(jī)數(shù)兩個對等體根據(jù)DH的公開信息都算出了雙方相等的密植后,兩個nonce連通預(yù)共享密鑰生成第一個skeyID隨后便根據(jù)SKEY__ID來推算出其他幾個skeyIDskeyID_d---用來協(xié)商出后續(xù)IPSECSA加密使用的密鑰的skeyID_a---為后續(xù)的IKE消息協(xié)商以及IPSECSA協(xié)商進(jìn)行完整性檢查(HMA
7、C中的密鑰)skeyID_e---為后續(xù)的IKE消息協(xié)商以及IPSECSA協(xié)商進(jìn)行加密5&6消息這2條消息用于雙方彼此驗證,這個過程是受skeyID_e加密保護(hù)的為了正確生成密鑰,每一個對等體必須找到與對方相對應(yīng)的預(yù)共享密鑰,當(dāng)有許多對等體連接時,每一對對等體兩端都需要配置預(yù)共享密鑰,每一對等體都必須使用ISAKMP分組的源IP來查找與其對等體對應(yīng)的預(yù)共享密鑰(此時由于ID還沒到,彼此先用HASH來彼此驗證對方)HASH認(rèn)證成分---SKEYID_a,cookieA,cookieB,preshare_key,SApaload,轉(zhuǎn)換集,策略在5&6消息中報錯可能出現(xiàn)的原因1,cryptois
8、kmpkey設(shè)置錯了消息6--接受者處理過程1,用skeyID_e對消息進(jìn)行加密??2,用ID(源IP)查找出與共享密鑰3,skeyID_a和preshare-key等一堆東西一起來計算HASH4,和收到的HASH做比較第二階段(3條)phase2的目標(biāo)是協(xié)商IPSECSA,而且只有一種模式,快速模式,快速模式的協(xié)商是受IKESA保護(hù)的1&2消息消息1---發(fā)送方發(fā)送一條報文,其中包含HASH,IPSEC策略提議,NONCE和可選的DH,身份IDHASH:是用于給接受方作完整性檢查的,用于再次認(rèn)證對等體(必須)HASH的成分和5-6階段一樣IPSEC策略提議:其中包括了安全協(xié)議,SPI,散
9、列算法,隧道模式,IPSECSA生命周期(必須)NONCE:用于防重放攻擊,還被用作密碼生成的材料,僅當(dāng)啟用PFS時用到ID:描述IPSECSA是為哪些地址,協(xié)議和端口建立的PFS(利用DH交換,可選):用了PFS后就會在第二階段重新DH出個數(shù)據(jù)加密KEY,這個KEY和以前IKE協(xié)商出來的KEY沒有任何關(guān)系,然后由這個新KEY來加密數(shù)據(jù),只有到這個IPSECSA的生命周期后,會再次DH出新的KEY,這樣,安全性就提高了(