【IKE协商第二阶段快速模式协商过程】

最新推荐文章于 2022-10-26 17:09:51 发布
最新推荐文章于 2022-10-26 17:09:51 发布
阅读量804 收藏 1
点赞数
分类专栏: 华为 思科 文章标签: 哈希算法 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengmeng_921/article/details/125333576
版权
华为 同时被 2 个专栏收录
157 篇文章 35 订阅
订阅专栏
思科
153 篇文章 16 订阅
订阅专栏

今天带大家了解一下IKE协商第二阶段快速模式协商过程。

IKE协商第二阶段快速模式协商过程

第二阶段共产生3个交互报文,都是被第一阶段的ISAKMP/IKE SA中的加密算法、验证算法所保护,IKE协商第二阶段的目的是产生最终用于加密和验证IP数据报文的IPSec SA。

lPSec SA包含通信的IPSec实体双方使用ESP还是AH,对何种IP报文实施保护,双方加密和验证的密钥等。IPSec通信实体双方对于上述参数必须达成一致,否则IKE第二阶段协商将无法通过。同时为降低密钥之间的关联性,第二阶段重新进行DH交换,并计算出新的共享密钥,从而计算出IPSec SA中用于加密和验证的密钥。

第1个ISAKMP报文携带RA所配置的IPSec保护策略,即使用ESP还是AH、采用什么模式、加密IP数据使用什么加密算法、验证IP数据使用什么算法、对什么样的数据流进行保护等

RB收到RA发出的第二阶段第1个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值并与收到的HASH载荷进行比较。
若相同,RB则发出第2条ISAKMP消息,包含的载荷与RA发出的一致。

RA收到RB发出的第二阶段第2个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值并与收到的HASH载荷进行比较。
若相同,RA则发出第3条ISAKMP消息,只包含HASH载荷,用以通知RB完成第二阶段IPSec SA协商并可以使用IPSec SA对IP数据进行保护。

GLAB-Mary
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IKE学习笔记(IKE第二阶段
codestart的专栏
08-16 4188
 第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。快速模式需要从SKEYID_d中衍生出IPsec SA的密钥,并与nonce,spi一起做hash计算出密钥。快速模式提供一个PFS选项,可以保证密钥的无关性。如果启用PFS,则需要一次额外的DH交换,并把共享密钥在生成密钥的过程中使用,完成后
IKE的2个阶段
weixin_33862041的博客
09-22 1986
PIX IKE的两个阶段(2009-07-07 13:08:47) 标签:3des diffie-hellman esp fw name 通道 it  分类:Cisco & 网络技术 ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协...
IKE 2
jianchaolv的专栏
08-24 3395
IPSEC构建站点到站点连接的基本过程 对于站点到站点的会话,构建连接的基本过程如下: 一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话(触发流量) 如果没有存在VPN的连接,那么ISAKMP/IKE阶段1开始,两个对等体协商如何保护管理连接。 Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。 在安全管理连接中来执
IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8697
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
抓包分析ISAKMP协商过程.doc
11-26
快速模式是ISAKMP协商第二阶段,它在主模式安全环境中进行,用于协商实际的IPSec SA,并定义如何处理感兴趣的数据流。快速模式通常包含3个数据包: 1. **第1包**:发送方提出感兴趣流(如IP地址范围、端口等)...
电信设备-利用短消息实现的移动实体间的认证与密钥协商方法.zip
09-18
常见的密钥协商协议包括Diffie-Hellman、IKE(Internet Key Exchange)和EAP(Extensible Authentication Protocol)等。 五、安全性考虑 1. 完整性:保证信息在传输过程中未被篡改,通常使用消息认证码(MAC)或...
IKE介绍,介绍IKE的加密流程,解释关键信元的使用
01-02
2. 第二阶段:利用第一阶段建立的安全信道交换用于IPSec通信的SA,即IPSec SA,通常是单向的。这一阶段的目的是为IPSec的数据保护建立必要的安全策略和密钥材料。 在IKE协议中,有一些重要的信元和负载(payload)...
第十三讲 特殊数字签名1
08-03
常见的密钥协商协议有Diffie-Hellman协议、IKE协议等,它们允许安全地交换密钥,即使在不安全网络环境中。 4. **密钥分割**:密钥分割(或称为密钥分发)是一种策略,将密钥分割成多个部分,分发给多个实体,只有...
十、虚拟专用网络基础之IP sec
12-30
IKE协商过程分两个阶段: 第一阶段:建立IKE SA(对象是密钥),产生密钥,为第二阶段协商提供保护。  两种模式:  主模式(Main):6条ISAKMP消息交互  野蛮模式(Aggressive):3条ISAKMP消息交互 第二...
IKE第一阶段6个包和第二阶段3个包的作用
weixin_34038293的博客
07-16 928
IKE第一阶段主模式由6个ISAKMP数据包来完成: 第1-2个数据包主要完成两个任务: (1) 核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。 (2) 协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间) 注:ISAKMP数据包使用UDP传输,源和目的端口都是500. ...
IPsec SA creation steps
阿太 Jin 的专栏
03-20 1045
 IPsec SA creation steps  There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-SA, the phase2 will be protected by phase 1. phase 1 creat a securit
网络安全】IPsec虚拟专用网络
命运的旋律的博客
10-29 1107
虚拟专用网络 01.虚拟专用网络的定义 1.1广域网存在各种的安全风险 网上传输数据有被窃听的风险 网上传输数据有被篡改的风险 通信双方有被冒充的风险 ###1.2虚拟专用网络保护实体之间通信 使用加密技术防止数据被窃听 数据完整性验证方式数据被破坏、篡改 通过认证机制确认身份,防止数据被截获、回访 02.虚拟专用网络的连接模式 2.1传输模式 封装模式相对肩带...
IPSec基础-密钥交换和密钥保护
weixin_34174422的博客
05-15 596
Internet密钥交换(IKE) 两台IPSec计算机在交换数据之前,必须首先建立某种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。 Internet 工程任务组IETF制定的安全关联标准法和密钥交换解决方案--IKE(I...
IKE协商
zljszn的博客
10-26 2732
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPsec ISAKMP协议
热门推荐
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全
IPSec之IKEv2协议详解
ACM
09-13 1万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7371
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IKEv1协商第一阶段主模式协商过程中不包含以下哪些信息? DH密钥交换公共信息 IPSec提议集 IKE提议集 双方身份信息
最新发布
06-10
IKEv1协商第一阶段主模式协商过程中,不包含IPSec提议集。这是因为第一阶段仅用于建立IKE安全关联(SA),并且需要协商的信息已经足够建立SA,所以此时不涉及到具体的加密算法和安全协议。在第一阶段主模式协商...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GLAB-Mary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值