1.IKEv1理论
IKE负责建立和维护IKE SAs 和 IPSec SAs
功能主要体现在如下几个方面:
对双方进行认证 交换公共密钥,产生密钥资源,管理密钥 协商协议参数(封装,加密,验证。。。)
IKE三个组成部分
SKEME:定义如何通过公共密钥技术(DH算法)实现密钥交换 Oakley:提供了IPSec对各种技术的支持,例如对新的加密与散列技术。并没有具体的定义使用什么样的技术 ISAKMP:定义了消息交换的体系结构,包括两个IPSEC对等体间分组形式和状态转变(定义封装格式和协商包交换的方式)
IPSec框架
加密:DES 3DES AES...... 验证:MD5 SHA-A.... 封装协议:ESP AH ... 模式:Transport Tunnel... 密钥有效期:3600 1800 ....
IKE 的三个模式
第一阶段 (isakmp sa) 主模式(6个包) 主动模式(3个包) 第二阶段( IPSEC SA) 快速模式
主工作模式(第一阶段)
MSG1:发起方提供加密和验证算法 MSG2:响应方回应接受的提案 MSG3:发起方的DH公共值和随机数 MSG4:响应方的DH公共值和随机数 MSG5:发起方的签名,个人信息和密钥 MSG6:响应方的签名,个人信息和密钥
ISAKMP 策略介绍
1.第一二个包协商的是IKE操作策略,并不会处理具体流浪,具体流量处理策略需要在快速模式协商 2.加密策略(des):加密MM(5-6),QM(1-3) 3.散列策略(MD5):验证MM(5-6),QM(1-3) 4.认证策略(Pre-Share):决定了5-6个包通过何种方式实现双方认证。 5.DH组(1):决定了3-4个包DH交换的强度 6.建议强的策略应该放在前面
IKE 第一阶段摘要
1.相互认证 a.1-2个包协商的认证,加密和验证方式都是为5-6包认证服务的 b.3-4个包DH交换计算出来的密钥也是为加密和验证(HMAC)5-6包而提前准备的 2.建立IKE/ISAKMP SA(双向)
快速模式(第二阶段)
阶段二协商SA和密钥,用户保护用户数据,默认1个小时一次
阶段一的信息一天一次
MSG1:HASH值,SA提案,IPSec转换集,密钥材料,感兴趣流 MSG2:响应方的HASH值,接受的SA提案,响应方的SPI,密钥 MSG3:HASH用于确认隧道建立
IPSec 策略介绍
QM模式协商策略决定了IPSec VPN 对具体流量的处理 感兴趣流是策略的纲要(策略的因,SPD关联SA) 加密策略(AES):加密A到B流量的策略 散列策略(SHA):验证(HMAC)A到B流量的策略 封装(ESP):封装A到B流量的协议 注意密钥有效期比ISAKMP策略短,因为这是Session Key
IKE第二阶段摘要
1.协商IPSec策略(处理感兴趣流) 2.建立IPSec SA(1.单向 2.协议相关)
时间: 2024-10-12 12:51:22