VPN
codestart
狂野...
展开
-
IKE学习笔记1(IKE的概念)
IKE(Internet密钥交换)是由RFC2409描述的。 IKE建立在由Internet安全联盟和密钥管理协议定义的一个框架上,沿用ISAKMP基础,Oakley模式和SKEME的共享和密钥更新技术。 IKE的精髓在于永远不在不安全的网络上直接传送密钥,而是通过一系列的数据交换,通信双方最终计算出共享密钥。其核心技术就是DH(Diffie Hellman)交换技术。原创 2007-08-12 21:00:00 · 2674 阅读 · 0 评论 -
IKE学习笔记2(IKE交换第一阶段)
IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。 参与通信双方会生成四种秘密:SKEYID(后续所有秘密建立在他之上);SKEYID_d(用于为其他协议,如ipsec,生成加密密钥提供材料);SKEYID_a(用于为IKE消息保障数据的完整性以及对数据源的身份进行验证);SKEYI原创 2007-08-14 22:34:00 · 8929 阅读 · 1 评论 -
IKE学习笔记(IKE第二阶段)
第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。快速模式需要从SKEYID_d中衍生出IPsec SA的密钥,并与nonce,spi一起做hash计算出密钥。快速模式提供一个PFS选项,可以保证密钥的无关性。如果启用PFS,则需要一次额外的DH交换,并把共享密钥在生成密钥的过程中使用,完成后原创 2007-08-16 21:18:00 · 4215 阅读 · 0 评论