IPSEC建立过程
文章目录
阶段一:
- 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证
阶段一支持两种协商模式:
-
主模式:
三个交换步骤:
- 协商对等体之间使用IKE安全提议 1/2数据包
- 使用DH算法交换密钥相关信息,并生成密钥 3/4数据包
- 对等体之间验证彼此身份 5/6数据包
-
野蛮模式:
- 发起方发送ISAKMP消息,携带建立IKE SA所使用的参数、与密钥生成相关的信息
和身份验证信息。 - 响应方对收到的第一个数据包进行确认,查找并返回匹配的参数、密钥生成信息
和身份验证信息。 - 发起方回应验证结果,并建立IKE SA
- 发起方发送ISAKMP消息,携带建立IKE SA所使用的参数、与密钥生成相关的信息
阶段二
快速交换模式
快速模式共有3条消息完成双方IPSec SA的建立。
- 消息1发送本端的安全参数和身份认证信息。
安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息 包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体
说明: 密钥的有效时间由配置的安全联盟生存周期决定。安全联盟超时后会重新
协商密钥和安全联盟。
- 消息2响应消息1,发送响应方的安全参数和身份认证信息并生成新的密钥。
对等体双方通过交换密钥材料生成新的共享密钥,并最终衍生出IPSec的加密密钥
此时响应者和发送者各有两个SA。
IPSec SA数据传输需要的加密、验证密钥由SKEYID_d、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。
当启用PFS时,要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因
此在参数协商时要为PFS协商DH密钥组。
- 消息3响应消息2,确认与响应方可以通信,协商结束
主模式和野蛮模式的区别
主模式包含三次双向交换,用到了六条信息。
- 消息①和②用于策略交换,发起方发送一个或多个IKE安全提议,响应方查找最先
匹配的IKE安全提议,并将这个IKE安全提议回应给发起方。 - 消息③和④用于密钥信息交换,双方交换Diffie-Hellman公共值和nonce值,IKE SA
的认证/加密密钥在这个阶段产生。 - 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进
行身份认证和对整个主模式交换内容的认证。
野蛮模式只用到三条信息
前两条消息①和②用于协商提议,交换Diffie-Hellman公共值
、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方
①和②用于协商提议,交换Diffie-Hellman公共值
、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方
认证,消息③用于响应方认证发起方。