IKE学习笔记（IKE第二阶段）

最新推荐文章于 2024-04-20 01:36:41 发布

codestart

最新推荐文章于 2024-04-20 01:36:41 发布

阅读量4.2k

点赞数

分类专栏： VPN 文章标签： delete

本文链接：https://blog.csdn.net/codestart/article/details/1747163

版权

VPN 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

第二阶段交换的目的是为其他协议生成SA，这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下，可以并发执行多个快速模式交换。

快速模式需要从SKEYID_d中衍生出IPsec SA的密钥，并与nonce,spi一起做hash计算出密钥。

快速模式提供一个PFS选项，可以保证密钥的无关性。如果启用PFS，则需要一次额外的DH交换，并把共享密钥在生成密钥的过程中使用，完成后，共享密钥被释放，则各SAi的密钥之间没有衍生关系。

此处在PFS启用后才使用Xa’与Xb’，ID负载是可选的，如果接收方不支持ID负载，则会回一个INVALID-ID-INFORMATION的Notify错误。HASH用于交换认证。

HASH1 = prf ( SKEYID_a，M-ID | N/D )

N/D为Notification承载或Delete承载，M-ID为消息号

KEYMAT = prf ( SKEYID_D, protocol | SPI | Ni’ | Nr’ )

启用PFS, KEYMAT=prf ( SKEYID_d, gxy | protocol | spi | Ni’ | Nr’ )

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

codestart

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

IPSEC 的IKE协商过程，主模式和野蛮模式，AH和ESP

weixin_44809632的博客

07-20

2万+

一. 基本名词解释： 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信，通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA（Security Association）安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的，在两个对等体之间的双向通信，至少需要两个 SA。SA 由一个三元组来唯一标识，这个三元组包括安全参数索引 SPI（Security Parameter Index）、目的 IP 地址、安

IKE学习笔记2（IKE交换第一阶段）

codestart的专栏

08-14

8930

IKE第一阶段目的是建立一个保密和验证无误的通信信道（IKE SA），以及建立验证过的密钥。为双方的IKE通信提供机密性，消息完整性以及消息验证服务。参与通信双方会生成四种秘密：SKEYID（后续所有秘密建立在他之上）；SKEYID_d（用于为其他协议，如ipsec，生成加密密钥提供材料）；SKEYID_a（用于为IKE消息保障数据的完整性以及对数据源的身份进行验证）；SKEYI

参与评论您还未登录，请先登录后发表或查看评论

【IKE协商第二阶段快速模式协商过程】

mengmeng_921的博客

06-17

860

今天带大家了解一下IKE协商第二阶段快速模式协商过程。IKE协商第二阶段快速模式协商过程第二阶段共产生3个交互报文，都是被第一阶段的ISAKMP/IKE SA中的加密算法、验证算法所保护，IKE协商第二阶段的目的是产生最终用于加密和验证IP数据报文的IPSec SA。lPSec SA包含通信的IPSec实体双方使用ESP还是AH，对何种IP报文实施保护，双方加密和验证的密钥等。IPSec通信实体双方对于上述参数必须达成一致，否则IKE第二阶段协商将无法通过。同时为降低密钥之间的关联性，第二阶段重新进行DH交

IPsec 9个包分析（主模式+快速模式）

热门推荐

遇见你是我最美丽的意外

03-06

2万+

第一阶段：ISAKMP协商阶段 1.1 第一包包1：发起端协商SA，使用的是UDP协议，端口号是500，上层协议是ISAKMP，该协议提供的是一个框架，里面的负载Next payload类似模块，可以自由使用。可以看到发起端提供了自己的cookie值，以及SA的加密套件，加密套件主要是加密算法，哈希算法，认证算法，生存时间等。 Initiator cookie：817622ea0136...

IKE的2个阶段

weixin_33862041的博客

09-22

2006

PIX IKE的两个阶段(2009-07-07 13:08:47) 标签：3des diffie-hellman esp fw name 通道 it 分类：Cisco & 网络技术 ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的，而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协...

IKE 2

jianchaolv的专栏

08-24

3400

IPSEC构建站点到站点连接的基本过程对于站点到站点的会话，构建连接的基本过程如下：一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话（触发流量）如果没有存在VPN的连接，那么ISAKMP/IKE阶段1开始，两个对等体协商如何保护管理连接。 Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。在安全管理连接中来执

防火墙——IKE（IPSec2）

m0_49864110的博客

05-17

9102

IKE基本概念 IKE安全机制身份认证身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟阶段1——协商IKE SA建立安全通道阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别查看IKE隧道建立情况

IKE第一阶段6个包和第二阶段3个包的作用

weixin_34038293的博客

07-16

946

IKE第一阶段主模式由6个ISAKMP数据包来完成：第1-2个数据包主要完成两个任务：（1）核对收到的ISAKMP数据包的源IP地址，来确认收到的ISAKMP数据包是否来自于合法的对等体。（2）协商IKE策略（加密策略，散列函数，DH组，认证方式，密钥存活时间）注：ISAKMP数据包使用UDP传输，源和目的端口都是500. ...

数据库学习笔记

weixin_45407386的博客

10-17

296

约束限制用户输入的的数据 ????NULL和NOT NULL 限制字段是否可以为空 mysql根据null或者not null自动设置默认值查询pass为NULL的记录 ????DEFAULT 字段的默认值约束 ????auto_increment 只能修饰int字段，表明是自动增长列，每次在上一个值的基础上加1 ????索引用来加快搜索速度给stocks创建symbol列的索引名称为sym inde...

计算机网络（BYSEE）第七章网络安全学习笔记（0621）

yq1271的博客

06-28

959

第七章网络安全安全性威胁、安全的内容、一般的数据加密模型 7.1 网络安全问题概述 1.计算机网络面临的安全性威胁被动攻击：截获、流量分析----数据加密技术主动攻击：篡改、恶意程序、拒绝服务----加密技术与适当的鉴别分布式拒绝服务 DDoS：网络带宽攻击或连通性攻击通信安全的目标：防止析出报文内容和流量分析防止恶意程序检测更改报文流和拒绝服务 7.1.2 安全的计算机网络保密性：最基本、密码技术端点鉴别：真实身份信息的完整性：未被篡改过运行的安全性：访问控制（权限） 7.1

信息安全工程师第二版考试总结+笔记

IT技术

11-29

2万+

信息安全工程师第二版考试总结+笔记

网络协议学习笔记

子适

11-20

419

趣谈网络协议学习笔记这篇文章是之前学习网络协议的笔记，就偷懒用来算作第一篇博客了。在 19 年的末尾，立一个新的 Flag 吧。希望能把这件事坚持下去。第二讲网络分层含义只要是在网络上跑的包，都是完整的。可以有下层没上层，绝对不可能有上层没下层。第三讲 ifconfig 命令 IP 地址 C 类包含主机太少，B类又太多——无类型域间选路 CIDR。伴随产生了广播地址，...

IPSec之IKEv1详解

sgslwms的博客

09-06

8185

该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出，以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥，衍生密钥。KE和第一阶段中的KE的目的是一样的，使用DH算法，计算出一个对公共的密钥作为隧道所用的加密密钥。

IPSec IKE一阶段协商失败，报文提示INVALID-ID-INFORMATION(18)

沉默的鹏先生

05-26

6702

环境拓扑： FW1 --- internet --- FW2 环境配置：双方野蛮模式协商，配置对等体ID。问题： FW1收到FW2发送的请求后，返回的响应报文是Informational 报文：原因： INVALID-ID-INFORMATION(18)指对端发送的加密算法或者认证算法或者对等体ID和本端的配置不一致。 ...

IKE 3

jianchaolv的专栏

08-24

2552

IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列的计算，双方最终计算出共享密钥，并且即使第三方截获了交换中的所有数据，也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段，参与通信的双方会生成4个秘密： SKEYID：后续三个都建立在它的基础上，由它推算出。 SKEYID_d：用于为ipsec衍生出加密的材料。 SKEYID_a

IPSec协议簇（含Cisco实验配置）

最新发布

CairBin的博客

04-20

998

早期的网络并不像现在这样，使用者大部分都是科学家并且一般是组织内部成员进行通信，所以在设计之初并没有考虑其安全性。但对于现在的网络，保障通信安全是非常重要的，而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标：为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能：工作在网络层，提供三个安全服务，并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。

IPSec之IKEv2协议详解

ACM

09-13

2万+

IKEv2简介 IKEv2介绍：定义在RFC4306 ，更新与 RFC 5996. 不兼容IKEv1，IKEv1不支持认证，IKEv2支持认证，EAP。支持NAT穿越。 IKEv2支持私密性、完整性、源认证。工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制：身份认证确认通信算双方的身份（对等体的IP地址或者名称），包括：预共享密钥PSK（pre-shared key）认证。数字签名RSA（rsa-signature）

IKE协商

zljszn的博客

10-26

2816

身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等，可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换（双方使用生成的密钥发送信息），双方进行身份认证（预共享密钥方式下为。如果没有匹配的安全提议，响应方将拒绝发起方的安全提议。IKE安全提议，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道，目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。

HCIE-Security Day32：IPSec：深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥

小梁的博客

03-31

4237

ipsec ikev1总框架主动模式=野蛮模式华为的ike 默认同时支持v1和v2，因此可以向下兼容，当隧道两端同时支持v2时，使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...