IPsec之IKE协商过程详解

最新推荐文章于 2025-03-12 15:16:25 发布

Sallyyym

最新推荐文章于 2025-03-12 15:16:25 发布

阅读量1w

点赞数 9

分类专栏：知识文章标签： ipsec ike

本文链接：https://blog.csdn.net/Sallyyym/article/details/112861528

版权

IPsec之IKE协商过程详解
IKE第一阶段

IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列的计算，双方最终计算出共享密钥，并且即使第三方截获了交换中的所有数据，也无法计算出真正的密钥。其中的核心技术就是DH交换算法。

IKE协商第一阶段，参与通信的双方会生成4个秘密：

SKEYID：后续三个都建立在它的基础上，由它推算出。

SKEYID_d：用于为ipsec衍生出加密的材料。

SKEYID_a：用来为IKE消息保障数据的完整性以及对数据源的身份进行验证。

SKEYID_e：为后续的IKE协商及IPSEC SA协商进行加密。

SKEYID的生成取决于使用哪种验证算法，常用的有
1）预共享密钥
2）证书（数字签名）

主模式采用三次交换，共交换6条信息

在消息发送之前，协商发起者和响应者必须计算产生cookie，用于唯一标识每个单独的协商交换，cookie使用源/目的ip地址、随机数字、日期和时间进行MD5计算得出，并且会被放入消息1的ISAKMP头中，用于标识一个单独的协商交换。

预共享密钥

1）消息1和消息2：策略协商，交换双方的cookie和SA载荷。

消息1：协商发起者在SA载荷中携带协商IKE SA的各项参数（5元组），包括IKE的散列类型、加密算法、认证方法、DH组、SA存活期。

消息2：响应者查看IKE策略消息，在本地寻找与之匹配的策略，找到后发回一条消息去响应。

第一次交换后，通信双

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Sallyyym

关注关注

9
点赞
踩
36

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

IKE与IPSec详解

悦分享

08-11

5065

定义：安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定，包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址和使用的安全协议号（AH或ESP）。其中，SPI是为唯一标识SA而生成的一个32位比特的数值，它在AH和ESP头中传输。在手工配置SA时，需要手工指定SPI的取值。使用IKE协商产生SA时，SPI将随机生成。...

IPSEC 的IKE协商过程，主模式和野蛮模式，AH和ESP

weixin_44809632的博客

07-20

2万+

一. 基本名词解释： 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信，通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA（Security Association）安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的，在两个对等体之间的双向通信，至少需要两个 SA。SA 由一个三元组来唯一标识，这个三元组包括安全参数索引 SPI（Security Parameter Index）、目的 IP 地址、安

参与评论您还未登录，请先登录后发表或查看评论

IPSec 技术详解：原理、应用与配置实践

最新发布

zero_number的博客

03-12

1511

IPSec 是一组在网络层（OSI 模型第 3 层）为 IP 数据报提供安全保护的协议和服务集合。它由 IETF（互联网工程任务组）于 1995 年首次定义（RFC 1825-1829），并在后续演进中形成了当前标准（RFC 4301-4309）。IPSec 的核心目标是通过加密、完整性校验和身份验证，确保数据在不可信网络（如公共互联网）中的安全传输。与应用层安全（如 TLS/SSL）不同，IPSec 在网络层工作，能够保护所有基于 IP 的流量，而不仅是特定应用。

IKE 3

jianchaolv的专栏

08-24

2694

IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列的计算，双方最终计算出共享密钥，并且即使第三方截获了交换中的所有数据，也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段，参与通信的双方会生成4个秘密： SKEYID：后续三个都建立在它的基础上，由它推算出。 SKEYID_d：用于为ipsec衍生出加密的材料。 SKEYID_a

结合配置、抓包来分析IKE/IPSec的整个协商过程

weixin_41286041的博客

08-18

759

IKE/ISKAMP的协商过程这里主要讲解IKEV1的版本，在V1版本中有两个模式，一个主模式，一个野蛮模式（也称为积极模式），下面就以上一篇的拓扑跟配置为基础，来通过抓包来分析，先从IKE的主模式开始。作者：网络之路一天首发公众号：网络之路博客（ID：NetworkBlog）IKE与IPSEC相关的配置回顾当19...

IKE协商

zljszn的博客

10-26

3057

身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等，可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换（双方使用生成的密钥发送信息），双方进行身份认证（预共享密钥方式下为。如果没有匹配的安全提议，响应方将拒绝发起方的安全提议。IKE安全提议，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道，目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。

IPSEC流程例子及两个阶段的协商过程详细介绍

热门推荐

wesleyhe的专栏

02-01

3万+

IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图　　我们来看一个完整的IPSec体系结构模型图，以便更好地理解IPSec体系结构。　　IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段有主模式和积极模式2种

IPSec—IKE协议介绍

qq_32044265的博客

11-29

8845

IKE为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。IKE具有一套自保护机制，可以在网络上安全地认证身份、分发密钥、建立IPSec SA。下面分别对IKE的安全机制和IKEv1和IKEv2的协商安全联盟的过程进行介绍。

IPSec之IKEv1详解

sgslwms的博客

09-06

8599

该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出，以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥，衍生密钥。KE和第一阶段中的KE的目的是一样的，使用DH算法，计算出一个对公共的密钥作为隧道所用的加密密钥。

IPsec协议详解：加密与认证算法及IKE协商

"本文档介绍了IPsec的基本概念、加密算法以及两种协商方式，重点讨论了认证算法和加密算法的选择，以及IPsec与IKE的关系。IPsec是为互联网提供安全服务的三层隧道加密协议，保证数据的机密性、完整性、来源认证和防...

IKE协商流程

u010427192的博客

07-14

988

IKE协商流程

IPsec协议过程

City_of_skey的博客

01-23

1万+

版权声明：如有需要，可供转载，但请注明出处：https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络，通过在数据包中插入一些预定义的头部，实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...

IPsec VPN IKE方式协商密钥

qq_62449917的博客

05-10

2255

ipsecs 隧道两端的acl规则定义的协议类型要一致，如果一端是ip协议，另一端也必须是ip协议。对等体间匹配一条permit规则即匹配一个需要保护的数据流，则对应生成一对sa（安全联盟）没匹配的不会被保护。配置acl的原因是：1，通过acl（permit）指定需要ipsec保护的数据流，配置acl的原因是：1，通过acl（permit）指定需要ipsec保护的数据流，注意的要点：1，可以不配置安全策略直接放行ping但是不安全。sa的入方向：保护的报文将被解封装处理，没有保护的正常转发。

IPsec IKEv1 协商（预共享密钥认证，数字签名认证，公钥认证）

qq_47529104的博客

04-04

5444

主模式（预共享密钥身份认证）主模式阶段一（SA的协商） HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部，其中SA就是通信双方协商的安全联盟，我比较喜欢叫它安全套件，因为SA就是多个安全内容的集合，Ci，Cr就是通...

IPsec简单实验-IKE协商

weixin_43421779的博客

07-31

713

IKE动态协商

【IKE协商第一阶段主模式协商过程】

mengmeng_921的博客

06-16

1310

今天带大家了解一下IKE协商第一阶段主模式协商过程。IKE协商第一阶段主模式协商过程主模式协商：包含了三次双向交换，用到了六条ISAKMP信息。第1、2个ISAKMP报文（策略交换）用于交换并协商保护ISAKMP消息的安全参数以及对等体验证方式，包含加密算法、验证算法、验证方式、ISAKMPSA生存时间等安全策略信息（即SA载荷），IPSec实体会选择双方都支持的安全策略信息。第3、4个ISAKMP报文（密钥信息交换）用于交互IKE的密钥交换载荷和随机值载荷。当IPsec实体双方完成第3、4个报文交互后，会

IKEv1协商安全联盟过程

belief928的博客

05-11

2720

主要分为两个阶段：第一阶段，通信双方协商和建立IKE协议本身使用的安全通道，即建立一个IKE SA；第二阶段，利用第一阶阶段已通过认证和安全保护的安全通道，建立一对用于数据安全传输的IPSec SA 目录 IKEv1阶段1协商过程 IKEv1阶段2协商过程 IKEv1阶段1协商过程 IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将进行加密和验证，这条安全通道可以保证IKEv1阶段2的协商能够安全进行。 IKEv1阶段1支持两种协商模..

IKEv2协商建立IPsec SA

weixin_56909238的博客

12-27

2394

IPsec 只对特定的数据流进行保护，至于什么样的数据是需要 IPsec 保护的，可以通过以下两种方式定义。ACL 方式只要接口发送的报文与该接口上应用的 IPsec 安全策略中的 ACL 的 permit规则匹配，就会受到出方向 IPsec SA 的保护并进行封装处理。接口接收到目的地址是本机的 IPsec 报文时，首先根据报文头里携带的 SPI 查找本地的入方向 IPsec SA，由对应的入方向 IPsec SA 进行解封装处理。缺省情况下，解封装后的 IP 报文。