[RFC5996 翻译二] IKEv2 互联网密钥交换协议版本2

最新推荐文章于 2023-07-30 21:59:07 发布
最新推荐文章于 2023-07-30 21:59:07 发布
阅读量1.5k 收藏 1
点赞数
文章标签: rfc 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PiPiQ_Blog/article/details/123646843
版权

rfc5996 (ietf.org)

接上篇blog (59条消息) [RFC5996 翻译一] IKEv2 互联网密钥交换协议版本2_羊羊洒洒_Blog的博客-CSDN博客

3.15.配置负载 Configuration Payload

配置负载,在本文档中表示为 CP,用于在 IKE 对等体之间交换配置信息。交换是为了让 IRAC 从 IRAS 请求一个内部 IP 地址,并交换其他信息,如果 IRAC 直接连接到 LAN,则可以使用动态主机配置协议 (DHCP) 获取此类信息。

配置负载定义如下:

配置有效负载的有效负载类型为四十七 (47)。

o CFG 类型(1 个八位字节) - 由配置属性表示的交换类型。 下表中的值仅是截至 RFC 4306 发布日期的最新值。 其他值可能自那时起添加,或者将在本文档发布后添加。 读者应参考 [IKEV2IANA] 了解最新值。

      CFG Type           Value

      --------------------------

      CFG_REQUEST        1

      CFG_REPLY          2

      CFG_SET            3

      CFG_ACK            4

o 保留(3 个八位字节) - 必须以零形式发送;必须在收到时忽略。

o 配置属性(可变长度) - 这些是特定于配置有效负载的类型长度值 (TLV) 结构,定义如下。 此负载中可能有零个或多个配置属性。

3.15.1. 配置属性

o 保留(1 位) - 此位必须设置为零,并且在收到时必须忽略。

o 属性类型(15 位) - 每个配置属性类型的唯一标识符。

o 长度(2 个八位字节,无符号整数)- 以值的八位字节为单位的长度。

o 值(0 个或多个八位字节) - 此配置属性的可变长度值。 下面列出了属性类型。

下表中的值仅是截至 RFC 4306 发布日期的最新值(本文档删除的INTERNAL_ADDRESS_EXPIRY和INTERNAL_IP6_NBNS除外)。 其他值可能自那时起添加,或者将在本文档发布后添加。 读者应参考 [IKEV2IANA] 了解最新值。

      Attribute Type           Value  Multi-Valued  Length

      ------------------------------------------------------------

      INTERNAL_IP4_ADDRESS     1      YES*          0 or 4 octets

      INTERNAL_IP4_NETMASK     2      NO            0 or 4 octets

      INTERNAL_IP4_DNS         3      YES           0 or 4 octets

      INTERNAL_IP4_NBNS        4      YES           0 or 4 octets

      INTERNAL_IP4_DHCP        6      YES           0 or 4 octets

      APPLICATION_VERSION      7      NO            0 or more

      INTERNAL_IP6_ADDRESS     8      YES*          0 or 17 octets

      INTERNAL_IP6_DNS         10     YES           0 or 16 octets

      INTERNAL_IP6_DHCP        12     YES           0 or 16 octets

      INTERNAL_IP4_SUBNET      13     YES           0 or 8 octets

      SUPPORTED_ATTRIBUTES     14     NO            Multiple of 2

      INTERNAL_IP6_SUBNET      15     YES           17 octets

* 仅当请求了多个值时,这些属性才可以在返回时具有多个值。

o INTERNAL_IP4_ADDRESS,INTERNAL_IP6_ADDRESS - 内部网络上的地址,有时称为红色节点地址或专用地址,它可能是Internet上的专用地址。  在请求消息中,指定的地址是请求的地址(如果没有请求特定地址,则为零长度地址)。 如果请求特定地址,则可能表示以前存在与此地址的连接,并且请求者希望重用该地址。 使用 IPv6,请求者可以提供它想要使用的低阶地址八位字节。 可以通过请求多个内部地址属性来请求多个内部地址。响应者最多只能发送请求的地址数。 INTERNAL_IP6_ADDRESS由两个字段组成:第一个是 16 个八位字节的 IPv6 地址,第二个是 [ADDRIPV6] 中定义的一个八位字节前缀长度。 只要请求该地址的此 IKE SA(或其重新键入的后续地址)有效,请求的地址就是有效的。 第 3.15.3 节对此有更详细的描述。

o INTERNAL_IP4_NETMASK - 内部网络的网络掩码。 请求和响应消息中只允许使用一个网络掩码(例如,255.255.255.0),并且必须仅与INTERNAL_IP4_ADDRESS属性一起使用。 CFG_REPLY中的INTERNAL_IP4_NETMASK与包含相同信息INTERNAL_IP4_SUBNET大致相同("通过我向这些地址发送流量"),但也意味着链接边界。 例如,客户端可以使用自己的地址和网络掩码来计算链路的广播地址。 空INTERNA

最低0.47元/天 解锁文章
羊羊洒洒_Blog
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[RFC5996 翻译一] IKEv2 互联网交换协议版本2
PiPiQ_Blog的博客
12-11 2472
rfc5996 (ietf.org) 本文档介绍了 Internet 交换 (IKE) 协议的第 2 版。 IKE 是 IPsec 的一个组件,用于执行相互身份验证以及建立和维护安全关联 (SA)。本文档替换并更新了 RFC 4306,并包含了 RFC 4718 中的所有说明。 目录 1. 介绍 1.1.使用场景 1.1.1.隧道模式下的安全网关到安全网关 1.1.2.端点到端点传输模式 1.1.3.隧道模...
IKEV2报文解析
最新发布
MrQkeil的博客
10-24 637
When not using extensible authentication (see Section 2.16),当不使用可扩展身份验证时(参见第2.16节)the peers are authenticated by having each sign (or MAC using a padded shared secret as the key, as described later in this section) a block of data.通过对数据中的部分数据签名(或使用填充的共享秘
浅谈IPsec、IKE和IKEv2的基本原理
网络技术联盟站
07-30 3103
使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的和IPsec SA的之间没有派生关系,即使IKE SA的其中一个被破解,也不会影响它协商出的其它的安全性。由于IPsec的交换机制仅适用于两点之间的通信保护,在广播网络一对多的情形下,IPsec无法实现自动交换,同样,由于广播网络一对多的特性,要求各设备对于接收、发送的报文均使用相同的SA参数(相同的SPI及),因此该方式下必须手工配置用来保护IPv6路由协议报文的IPsec SA。
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7343
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
交换协议IKEv2
遇见你是我最美丽的意外
06-23 1万+
1. IKEv2 1.1 IKEv2简介 IKEv2(Internet Key Exchange Version 2,互联网交换协议第 2 版)是第 1 版本的 IKE 协议(本文简称 IKEv1)的增强版本IKEv2 与 IKEv1 相同,具有一套自保护机制,可以在不安全的网络上安全地进行身份认证、分发、建立 IPsec SA。相对于 IKEv1, IKEv2 具有抗攻击能力和交换能力更强以及报文交互数量较少等特点。 1.2 IKEv2的协商过程 要建立一对 IPsec SA, IKEv
RFC 5996 IKEv2
12-24
给大家分享,英文协议,FC5996.希望大家喜欢
IAX2协议文档(RFC 5456)中文翻译
05-12
本文为IAX2协议文档(RFC 5456)的中文翻译,为本人所译,但本人水平有限,文档中会有疏漏与不通之处,建议英语水平高者看原英文文档:https://tools.ietf.org/html/rfc5456
rfc7296 IKEv2
03-21
rfc7296 IKEv2 pdf IKEv2 rfc7296 Internet Key Exchange
RFC1445_简单网络管理协议(SNMPv2)版本 2的管理模式 .doc
08-23
请引用当前版本的官方协议标准>> 以利于本草案的标准化地位和状态。本备忘录的传播是不受限制的。 目录 1. 介绍 2 1.1. 术语的注解 3 2.模型的元素 3 2.1. SNMPv2 参与者 3 2.2. SNMPv2 实体 5 2.3. SNMPv2 管理...
RFC937_邮局协议( 版本 2).doc
08-22
邮局协议(版本2)的目的是为了让用户的工作站从邮件服务器获取邮件.它也应该允许邮件从工作站通过简单邮件传递协议(SMTP)发送到邮件服务器.更多内容请参考POP2 821[1]和POP2 822[2]. 这个协议假定已经存在了一个...
IPSec之IKEv2详解
sgslwms的博客
09-11 6309
IKEv2协商IPSecSA的过程跟IKEvI有很大差别,最少4条消息就可以创建一对IPSecSA,效率奇高!IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)通知交换(Informational Exchange)。
IPSec
phoenix1415的博客
08-05 2525
ipsec
IKEv2使用DNSSEC的IPSECKEY资源记录获取公的认证流程
redwingz的博客
01-10 1290
以下根据strongswan代码中的testing/tests/ikev2/net2net-dnssec/中的测试环境,来看一下IKEv2协议在协商时不交换证书,而是通过DNSSEC获取对端公的认证流程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun网关。 网关配置 moon的配置文件:/etc/ipsec.conf,内容如下。注意此处的leftsigkey字段,在stro...
IKEv2协议中的EAP-TLS认证处理流程
redwingz的博客
12-18 4381
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和carol主机。 carol主机配置 carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...
IKEv2的计算方式
qq_47529104的博客
05-04 2231
IKEv2的头两个消息中,通信双方会协商一系列的安全参数。包括,一个加算法,一个完整性算法,一个DH Group,以及一个PRF伪随机数算法。其中,PRF算法被通信双方用来生成即将被用到的各种。 在讨论生成之前,先了解下IKEv2通信需要哪些。首先,加解需要一对,称之为SK_ei和SK_er;然后,完整性算法需要一对,称之为SK_ai和SK_ar;第三,在生成AUTH payload时也需要一对,称之为SK_pi和SK_pr;最后,为了给Child SA生成加材料,也需
HCIE-Security Day33:IPSec:深入学习ipsec ikev2、IKEV1和IKEV2比较
小梁的博客
04-01 5331
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1,ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
IKEv2协议协商流程: (IKE-SA-INIT 交换)第一包
遇见你是我最美丽的意外
10-12 1万+
文章目录1. IKEv2 协商总体框架2. 第一包流程图3. openswan源码学习3.1 ikev2parent_outI1()3.2 ikev2parent_outI1_withstate()3.3 ikev2_parent_outI1_common()4. 注意事项4.1 关于此报文中涉及的对IKEv2引入的“新特性”说明4.2 在IKEv1与IKEv2在SA载荷结构上的不同之处: 1. IKEv2 协商总体框架 IKEv1协议建立一对IPSec SA,使用主动模式需要9个报文,使用野蛮模式需
IPSec之IKEv2协议详解
热门推荐
ACM
09-13 1万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值