IPSec SA安全联盟

最新推荐文章于 2024-07-25 21:20:00 发布
最新推荐文章于 2024-07-25 21:20:00 发布
阅读量1.4w 收藏 16
点赞数
分类专栏: IMS技术IAD终端实现分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujianfeng1984/article/details/35249629
版权

IPSec SA安全联盟

目前IMS中在UEP-CSCF之间唯一的安全机制为IPSecSA,由于IPSecSA的建立是基于AKA鉴权获取的密钥,每次重新认证过程都需要建立新的SA,所以在UEP-CSCF之间就需要建立新的IPSecSA对。

一、首次注册时SA的建立      

 

UE初始Register请求及P-CSCF401响应是在没有任何保护的情况下传递,通过这两个消息完成安全机制协商并确定使用IPSec(协商流程参见《安全机制协商》小节)。之后的数据处理报文在IP层以下都被加密处理。报文格式如下图:

 

这里协商了一组SA端口:

  • 受保护的UE客户端端口6001

  • 受保护的UE服务端端口6002

  • 受保护的P-CSCF客户端端口7001

  • 受保护的P-CSCF服务端端口7002

     

    在第一个Register处理时,双方还没有建立好SA,还是基于原端口进行收发,在安全机制协商完成后,双方开始基于协商到受保护端口进行收发,同时还需要根据信令路由走向,将ViaContactRoute等路由关键URL的端口设置成对应的受保护端口。

  • UE port-cP-CSCF port-s用于UEP-CSCF发送SIP请求/响应

  • P-CSCF port-cUE port-s用于P-CSCFUE发送SIP请求/响应

     

    这组SA的建立都需要使用共享密钥,P-CSCF的密钥是在注册过程中从S-CSCF401响应获取的,UE的密钥是在注册过程中从401响应的nonce中提取的。参考《AKA鉴权》小节。

     

    IPSecSA是一个比较复杂的安全协议,详细的SA加密机制目前没有去了解,有兴趣的同事可以查找IPSec协议进行深入了解。

二、注册刷新的SA建立

注册刷新情况下,SA重新协商,UEP-CSCF就需要建立新的IPSecSA对,包含新的SPI值和新的受保护的客户端端口,但不更新受保护的服务端端口(参见《注册刷新的协商处理》小节)。

 

建立流程同首次注册SA建立相同,一但新的SA建立成功,就需要丢弃以前的SA,因为UE永远不需要同时处理两组以上的SA

三、SA的生命周期

在进行认证过程中,新的SA还属于临时SA,临时SA组的生命周期为4分钟,保证认证过程可以完成。在认证成功后,新SA组的生命周期为协商的注册刷新时间加上30秒。

 

参考资料

《中国电信IMS网络SIP协议总体技术要求》

IMS-移动领域的IP多媒体概念和服务》

技术人生LJF
关注
专栏目录
[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(二) --- 安全联盟SA
qq_51577576的博客
01-02 2592
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 ???? 博主介绍 一、什么是安全联盟 二、协商参数两种方式:(手动、IKE) 1. 手动 2.
IKE与IPSec详解
悦分享
08-11 4565
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
IPSec
Loners_fan的博客
08-10 3537
详细介绍AH/ESP,IPsec VPN的加解密及封装过程
IPSEC SA和IKE SA
最新发布
代码其实很简单
07-25 1039
首先来看IPSEC协议簇的两种工作模式--1、传输模式;隧道模式、IPSEC的两个安全协议 --1、AH --鉴别头协议,属于网络层,因为IPSEC都是数据网络层的;---协议号:51(gre的协议号是47)--2、ESP ---封装安全载荷协议 ---协议号50,也属于网络层IKE,互联网交换协议;有两个版本:IKEV1,IKEV2;用于动态的建立IPSEC SA联盟1、IKE协议中包含三个协议:1】SKEME2】OAKLEY3】ISAKMP ---互联网安全联盟密钥管理协议---基于UDP500
IPsec VPN之安全联盟
Mario_Ti的博客
03-09 1847
本文介绍IPsec VPN之安全联盟,主要先介绍什么是安全联盟,再介绍IKEv1协商安全联盟、IKEv2协商安全联盟,最后对比IKEv1和IKEv2。
查看手工建立IPSEC安全联盟信息
weixin_34247032的博客
12-29 234
查看手工建立IPSec安全联盟信息 Router1#sh crypto map Crypto Map:"rtsc-map" 10 ipsec-manual ! 加密映射条目rtsc-map, 映射序列号为10 Extended IP access list 100 ! 加密映射列表指定访问控制列表ACL100 Tra...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
关于GRE over IPsecIPsec over GRE
weixin_34129145的博客
07-30 2228
GRE over IPsec & IPsec over GRE IPSec -Over-GRE是先ipsec后gre,这种我没用过。 GRE -Over-IPSec 是先gre后ipsec,也就是说ipsec是最后的承载方式。一般常用的就是这种,解决了ipsec不支持多播的问题。 另外...
ipsec协议的详解
12-07
ipsec的介绍,有助于初学者认识该协议
众元教育H3CSE20200603班-IPsec SA的协商
qq_45678164的博客
08-21 808
众元教育H3CSE20200603班-IPsecVPN SA的协商 引言:用IPSec保护一个IP包之前,必须先建立安全联盟SA),IPSec安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保障安全性。这时就可以使用IKE自动进行安全联盟建立与密钥交换过程。Internet密钥交换(IKE)就用于动态建立SA,代表IPSecSA进行协商。 注:SA安全联盟)是通信对等体间对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA。 一、IKE的工作过程 刚
网络安全-IPSec(互联网安全协议)
A soul tortured by desire
09-07 2752
IPSec体系概念介绍、IPSec实验设计、配置思路、配置方法、故障处理
IPSec协议框架
sgslwms的博客
08-27 1598
定义IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。........
华为技术&ipsec安全策略模拟实验配置步骤✍
✍千里之行,始于足下 ^,^
02-26 4335
文章目录第一步ACL配置原则第二步第三步第四步第五步第六步配置完成后,需要流量进行激活隧道的建立查看相关信息 网段地址: R1 G0/0/0 192.168.1.100 24 G0/0/1 200.1.13.1 24 R3 G0/0/0 200.1.13.2 24 G0/0/1 200.1.23.2 24 R2 G0/0/0 192.168.2.100 24 G0/0/1 200.1.23....
ipsec 手动方式创建安全联盟
weixin_33725270的博客
04-19 453
IPSec协议 IPSec是一系列网络安全协议的总称,包括网络认证协议AH(AuthenticationHeader,认证头)、ESP(EncapsulatingSecurityPayload,封装安全载荷)、IKE(InternetKeyExchange,因特网密钥交换)和用于网络认证及加密的一些算法等。IPSec是网络层的安全机制。通过对网络层...
第2章 IMS架构、网元、接口
热门推荐
51学通信的博客
02-05 1万+
MGCF(Media Gateway Control Function,媒体网关控制功能)用于IMS域与CS/PSTN域的互通,负责完成控制面信令的互通(PSTN/CS域侧ISUP/BICC协议与CM-IMS侧SIP协议的交互和互通),并控制IM-MGW完成用户面媒体面的互通、号码规整、号码分析和路由、放音、放音抑制、视频回落等功能。正因为是无状态的,I-CSCF不会记录S-CSCF的信息,即每次I-CSCF收到P-CSCF的请求要去找S-CSCF时,都要去查HSS。呼叫过程中的S-CSCF选择等。
openswan在NAT环境且开启DPD时双方SA生存周期不同可能存在问题
feihongdragon的专栏
01-05 894
ipsec SA存在第1阶段SAISAKMP SA生存周期和第2阶段IPsec SA生存周期 ISAKMP SA生存周期以两端中配置时间最小为准 IPsec SA生存周期两端各自以本端配置时间为准 ipsec DPD是一种探测对端是否存活的机制 每一个IPsec SA对应一个DPD,即每一条隧道对应一个DPD 如果ISAKMP SA不存,DPD将无法工作,因为DPD发包时
IMS/SIP学习(3)——注册过程
通信小黑的博客
09-23 5197
IMS/SIP学习
IPSec基础知识
weixin_51045259的博客
02-04 4427
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 9662
路由器基础(十二):IPSEC VPN配置
安全联盟SA数据结构
07-10
安全联盟(Security Alliance, SA)是一种网络安全性协议的数据结构,主要用于保护IPSec(Internet Protocol Security)协议的安全通信。它定义了一个框架,用于描述两个通信方之间的安全策略,包括身份验证、加密、完整性检查等。SA包含了一系列的信息,如: 1. **安全关联标识符(Security Association Identifier, SAI)**:用于唯一标识一个特定的会话或连接,通常由IKE(Internet Key Exchange)协商生成。 2. **安全参数索引(Security Parameter Index, SPI)**:用来查找和应用合适的加密算法、认证机制和其他安全参数。 3. **封装安全有效载荷(Encapsulating Security Payload, ESP)信息**:ESP头中包含了协议版本、头部长度、安全参数、隧道模式或传输模式的指示以及可能的认证标签或加密信息。 4. **身份验证信息**:比如数字证书、预共享密钥或者Kerberos票证,用于双方的身份验证。 5. **加密算法和填充模式**:确定数据包如何被加密处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值