IKE学习笔记2(IKE交换第一阶段)

最新推荐文章于 2024-04-20 01:36:41 发布
最新推荐文章于 2024-04-20 01:36:41 发布
阅读量8.9k 收藏 7
点赞数 1
分类专栏: VPN 文章标签: 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codestart/article/details/1743315
版权
IKE第一阶段通过建立保密通信信道及验证密钥,确保IKE通信的安全。双方生成SKEYID等四种秘密,用于消息加密、完整性验证和身份验证。主要介绍主模式和野蛮模式,主模式适用于IP固定的场景,而野蛮模式支持NAT且效率高,但安全性相对较低。
摘要由CSDN通过智能技术生成

   IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。

    参与通信双方会生成四种秘密:SKEYID(后续所有秘密建立在他之上);SKEYID_d(用于为其他协议,如ipsec,生成加密密钥提供材料);SKEYID_a(用于为IKE消息保障数据的完整性以及对数据源的身份进行验证);SKEYID_e(用于对IKE消息进行加密)。

    对于预共享密钥:SKEYID = PRF(预共享密钥,Ni|Nr);

    对于数字签名:SKEYID = PRF(Ni|Nr,qxy);

    其他秘密:

    SKEYID_d = PRF(SKEYID,qxy|Ci|Cr|0);

    SKEYID_a = PRF(SKEYID,SKEYID_d|qxy|Ci|Cr|1);

    SKEYID_e = PRF(SKEYID,SKEYID_a|qxy|Ci|Cr|2);

   

     主模式(图1):

    交换1,用于IKE提议和转换方式协商

    交换2,用于IKE DH和NONCE交换

    交换3,用于通信双方身份验证

  

最低0.47元/天 解锁文章
codestart
关注
专栏目录
IPSec之IKEv1详解
sgslwms的博客
09-06 8158
模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段中的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
IKE协商第一阶段模式协商过程】
mengmeng_921的博客
06-16 1057
今天带大家了解一下IKE协商第一阶段模式协商过程。IKE协商第一阶段模式协商过程主模式协商:包含了三次双向交换,用到了六条ISAKMP信息。第1、2个ISAKMP报文(策略交换)用于交换并协商保护ISAKMP消息的安全参数以及对等体验证方式,包含加密算法、验证算法、验证方式、ISAKMPSA生存时间等安全策略信息(即SA载荷),IPSec实体会选择双方都支持的安全策略信息。第3、4个ISAKMP报文(密钥信息交换)用于交互IKE的密钥交换载荷和随机值载荷。当IPsec实体双方完成第3、4个报文交互后,会
IKE第一阶段6个包和第二阶段3个包的作用
weixin_34038293的博客
07-16 941
IKE第一阶段模式由6个ISAKMP数据包来完成: 第1-2个数据包主要完成两个任务: (1) 核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。 (2) 协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间) 注:ISAKMP数据包使用UDP传输,源和目的端口都是500. ...
IKEv1协商安全联盟过程
belief928的博客
05-11 2338
主要分为两个阶段: 第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA; 第二阶段,利用第一阶阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec SA 目录 IKEv1阶段1协商过程 IKEv1阶段2协商过程 IKEv1阶段1协商过程 IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将进行加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。 IKEv1阶段1支持两种协商模..
IKEv1协商安全联盟的过程
遇见你是我最美丽的意外
06-24 5596
IKEv1协商安全联盟的过程 采用IKEv1协商安全联盟主要分为两个阶段: 第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA; 第二阶段,利用第一阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec安全联盟。 1. IKEv1协商阶段1 IKEv1协商阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。 IKEv1协商阶段1支持两种协商模式
学习笔记-网络安全(一)
m0_49428397的博客
10-18 2232
1、网络安全基本概念 ①网络安全威胁的类型 ⑴ 窃听:在广播式网络系统中,每个节点都可以读取网上传输的数据。网络体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目标地址, 特性使得偷听网上的数据或非授权访问很容易而且不易发现。 ⑵ 假冒:一个实体假扮成另一个实体进行网络活动时就发生了假冒。 ⑶ 重放:重复一份报文或报文的一部分,以便产生一个被授权效果。 ⑷ 流量分享: 2、信息加密技术 3、密钥管理技术 4、虚拟专用网VPN ...
计算机网络(BYSEE)第七章 网络安全 学习笔记(0621)
yq1271的博客
06-28 959
第七章 网络安全 安全性威胁、安全的内容、一般的数据加密模型 7.1 网络安全问题概述 1.计算机网络面临的安全性威胁 被动攻击:截获、流量分析----数据加密技术 主动攻击:篡改、恶意程序、拒绝服务----加密技术与适当的鉴别 分布式拒绝服务 DDoS:网络带宽攻击或连通性攻击 通信安全的目标: 防止析出报文内容和流量分析 防止恶意程序 检测更改报文流和拒绝服务 7.1.2 安全的计算机网络 保密性:最基本、密码技术 端点鉴别:真实身份 信息的完整性:未被篡改过 运行的安全性:访问控制(权限) 7.1
网络协议学习笔记
子适
11-20 415
趣谈网络协议 学习笔记 这篇文章是之前学习网络协议的笔记,就偷懒用来算作第一篇博客了。 在 19 年的末尾,立一个新的 Flag 吧。希望能把这件事坚持下去。 第二讲 网络分层含义 只要是在网络上跑的包,都是完整的。可以有下层没上层,绝对不可能有上层没下层。 第三讲 ifconfig 命令 IP 地址 C 类包含主机太少,B类又太多——无类型域间选路 CIDR。伴随产生了广播地址,...
网络信息安全——网络阶段笔记总结--jf
JF_CHOOSE的博客
02-14 919
网络信息安全——网络阶段笔记总结 基础知识: OSI七层模型: 应用层-表示层-会话层-传输层-网络层数据链路层-物理层 tcp/ip四层模型:应用层-传输层-网络层-网络接口层 tcp/ip五层模型:应用层-传输层-网络层-数据链路层-物理层 数据的封装: 应用层 高层数据 单位:pdu 传输层 (源端口,目的端口)tco/udp包头+...
IKE的2个阶段
weixin_33862041的博客
09-22 2005
PIX IKE的两个阶段(2009-07-07 13:08:47) 标签:3des diffie-hellman esp fw name 通道 it  分类:Cisco & 网络技术 ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协...
IKE 3
jianchaolv的专栏
08-24 2546
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
IPsec IKEv1 协商(预共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 4900
模式(预共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
IPSec协议簇(含Cisco实验配置)
最新发布
CairBin的博客
04-20 986
早期的网络并不像现在这样,使用者大部分都是科学家并且一般是组织内部成员进行通信,所以在设计之初并没有考虑其安全性。但对于现在的网络,保障通信安全是非常重要的,而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标:为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能:工作在网络层,提供三个安全服务,并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4226
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1334
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IKEv2的认证数据生成过程
JwLee的专栏
05-21 8594
IKEv2的第三个消息和第四个消息中,双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如,如果一个Responder想证明自己的身份,那么,当它发送IKE_SA_INIT消息时,需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前,将缓存的IKE_SA_INIT消息和Nonce_I,以及它自身的ID的MAC值连
IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
热门推荐
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
IKE协商
zljszn的博客
10-26 2809
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IKE模式交换详解与IPsec安全机制
6. 交换过程验证:双方都对整个IKE交换过程进行验证,确保没有被篡改或中间人攻击。 7. 确认策略和密钥:最后,双方确认对方使用的算法和策略,以及生成的密钥信息。 在华为3Com的培训中,会深入讲解IPsec的背景,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值