IKE学习笔记(IKE第二阶段)

最新推荐文章于 2024-04-20 01:36:41 发布
最新推荐文章于 2024-04-20 01:36:41 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: VPN 文章标签: delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codestart/article/details/1747163
版权
 
第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。
快速模式需要从SKEYID_d中衍生出IPsec SA的密钥,并与nonce,spi一起做hash计算出密钥。
快速模式提供一个PFS选项,可以保证密钥的无关性。如果启用PFS,则需要一次额外的DH交换,并把共享密钥在生成密钥的过程中使用,完成后,共享密钥被释放,则各SAi的密钥之间没有衍生关系。
此处在PFS启用后才使用Xa’与Xb’,ID负载是可选的,如果接收方不支持ID负载,则会回一个INVALID-ID-INFORMATION的Notify错误。HASH用于交换认证。
         HASH1 = prf ( SKEYID_a,M-ID | N/D )
         N/D为Notification承载或Delete承载,M-ID为消息号
        KEYMAT = prf ( SKEYID_D, protocol | SPI | Ni’ | Nr’ )
        启用PFS, KEYMAT=prf ( SKEYID_d, gxy | protocol | spi | Ni’ | Nr’ )
codestart
关注
专栏目录
IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
IKE学习笔记2(IKE交换第一阶段)
codestart的专栏
08-14 8926
   IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。    参与通信双方会生成四种秘密:SKEYID(后续所有秘密建立在他之上);SKEYID_d(用于为其他协议,如ipsec,生成加密密钥提供材料);SKEYID_a(用于为IKE消息保障数据的完整性以及对数据源的身份进行验证);SKEYI
IKE协商第二阶段快速模式协商过程】
mengmeng_921的博客
06-17 846
今天带大家了解一下IKE协商第二阶段快速模式协商过程。IKE协商第二阶段快速模式协商过程第二阶段共产生3个交互报文,都是被第一阶段的ISAKMP/IKE SA中的加密算法、验证算法所保护,IKE协商第二阶段的目的是产生最终用于加密和验证IP数据报文的IPSec SA。lPSec SA包含通信的IPSec实体双方使用ESP还是AH,对何种IP报文实施保护,双方加密和验证的密钥等。IPSec通信实体双方对于上述参数必须达成一致,否则IKE第二阶段协商将无法通过。同时为降低密钥之间的关联性,第二阶段重新进行DH交
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7825
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IKE的2个阶段
weixin_33862041的博客
09-22 2004
PIX IKE的两个阶段(2009-07-07 13:08:47) 标签:3des diffie-hellman esp fw name 通道 it  分类:Cisco & 网络技术 ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协...
IKE 2
jianchaolv的专栏
08-24 3400
IPSEC构建站点到站点连接的基本过程 对于站点到站点的会话,构建连接的基本过程如下: 一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话(触发流量) 如果没有存在VPN的连接,那么ISAKMP/IKE阶段1开始,两个对等体协商如何保护管理连接。 Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。 在安全管理连接中来执
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 9057
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
IKE第一阶段6个包和第二阶段3个包的作用
weixin_34038293的博客
07-16 941
IKE第一阶段主模式由6个ISAKMP数据包来完成: 第1-2个数据包主要完成两个任务: (1) 核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。 (2) 协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间) 注:ISAKMP数据包使用UDP传输,源和目的端口都是500. ...
数据库学习笔记
weixin_45407386的博客
10-17 294
约束 限制用户输入的的数据 ????NULL和NOT NULL 限制字段是否可以为空 mysql根据null或者not null自动设置默认值 查询pass为NULL的记录 ????DEFAULT 字段的默认值约束 ????auto_increment 只能修饰int字段,表明是自动增长列,每次在上一个值的基础上加1 ????索引 用来加快搜索速度 给stocks创建symbol列的索引名称为sym inde...
计算机网络(BYSEE)第七章 网络安全 学习笔记(0621)
yq1271的博客
06-28 959
第七章 网络安全 安全性威胁、安全的内容、一般的数据加密模型 7.1 网络安全问题概述 1.计算机网络面临的安全性威胁 被动攻击:截获、流量分析----数据加密技术 主动攻击:篡改、恶意程序、拒绝服务----加密技术与适当的鉴别 分布式拒绝服务 DDoS:网络带宽攻击或连通性攻击 通信安全的目标: 防止析出报文内容和流量分析 防止恶意程序 检测更改报文流和拒绝服务 7.1.2 安全的计算机网络 保密性:最基本、密码技术 端点鉴别:真实身份 信息的完整性:未被篡改过 运行的安全性:访问控制(权限) 7.1
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
网络协议学习笔记
子适
11-20 415
趣谈网络协议 学习笔记 这篇文章是之前学习网络协议的笔记,就偷懒用来算作第一篇博客了。 在 19 年的末尾,立一个新的 Flag 吧。希望能把这件事坚持下去。 第二讲 网络分层含义 只要是在网络上跑的包,都是完整的。可以有下层没上层,绝对不可能有上层没下层。 第三讲 ifconfig 命令 IP 地址 C 类包含主机太少,B类又太多——无类型域间选路 CIDR。伴随产生了广播地址,...
IPSec之IKEv1详解
sgslwms的博客
09-06 8156
模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段中的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
IPSec IKE一阶段协商失败,报文提示INVALID-ID-INFORMATION(18)
沉默的鹏先生
05-26 6675
环境拓扑: FW1 --- internet --- FW2 环境配置: 双方野蛮模式协商,配置对等体ID。 问题: FW1收到FW2发送的请求后,返回的响应报文是Informational 报文: 原因: INVALID-ID-INFORMATION(18)指对端发送的加密算法或者认证算法或者对等体ID和本端的配置不一致。 ...
IKE 3
jianchaolv的专栏
08-24 2546
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
IPSec协议簇(含Cisco实验配置)
最新发布
CairBin的博客
04-20 986
早期的网络并不像现在这样,使用者大部分都是科学家并且一般是组织内部成员进行通信,所以在设计之初并没有考虑其安全性。但对于现在的网络,保障通信安全是非常重要的,而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标:为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能:工作在网络层,提供三个安全服务,并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。
IPSec之IKEv2协议详解
ACM
09-13 2万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
IKE协商
zljszn的博客
10-26 2807
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4225
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPsec与IKE详解:协议安全与配置指南
IKE的工作过程通常分为两个阶段:第一阶段(Phase 1)主要进行身份验证和密钥交换,第二阶段(Phase 2)则用来协商具体的加密算法、模式和其他安全参数。 学习IPSec与IKE时,课程目标包括理解IPSec的提出背景,掌握...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值