IPSec的IKEv1和IKEv2协议

最新推荐文章于 2024-04-20 19:15:00 发布
最新推荐文章于 2024-04-20 19:15:00 发布
阅读量8.1k 收藏 39
点赞数 10
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43710889/article/details/114003777
版权

IPSec的IKEv1和IKEv2协议

IKE介绍

文章目录


IKE是一个复合协议。

因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)500 端口号,的应用层协议。

IKE负责建立和维护IKE SAs 和 IPSec SAs。功能主要体现在如下几个方面:

  • 对双方进行认证
  • 交换公共密钥,产生密钥资源,管理密钥
  • 协商协议参数(封装、加密、验证…)

IKE的三个组件:

  • SKEME:实现公钥加密认证的机制
  • Oakley:基于到达两个对等体间的加密密钥的机制
  • ISAKMP:在两个实体间进行分组格式及状态转换的消息交换的体系结构。

IKE有两个版本:

  • IKEV1
  • IKEV2-------华为默认

IKE与IPSec的关系

IKE为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
在这里插入图片描述

图:IKE与IPSec的关系图

IKE与IPSec的关系如上图所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。

IKEv1的三个模式

在这里插入图片描述

IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。

注:两个对等体间仅有一个IKE SA,它是一个双向逻辑连接。

IKEv1阶段2的目的就是建立用来传输数据的IPSec SA。IKEv1阶段2通过快速交换模式完成。由于快速交换模式使用IKEv1阶段1中生成的密钥SKEYID_ a对ISAKMP消息的完整性和身份进行验证,使用密钥SKEYID_ e对ISAKMP消息进行加密,故保证了交换的安全性。
在快速交换模式中,对等体两端协商IPSecSA的各项参数,并为数据传输衍生出密钥。

主模式和野蛮模式

最低0.47元/天 解锁文章
南岸青栀*
关注
  • 10
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSecIKEv2协议详解
hhd1988的专栏
05-17 7310
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8677
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1IKEv2之间的区别 查看IKE隧道建立情况
VPP IKEv2隧道示例
最新发布
redwingz的博客
04-20 742
在安装Ubuntu 22.04.04系统的虚拟机上实现。依据fd.io官网的IKEv2文档:https://s3-docs.fd.io/vpp/22.10/usecases/ikev2/2_vpp.html。将两个VPP实例通过IPSec隧道连接。安装VPP版本23.10。
IKE协议(因特网密钥交换协议)
王以山的专栏
10-20 8663
因特网密钥交换协议(IKE)是一份符合因特网协议安全(IPSec)标准的协议。它常用来确保虚拟专用网络VPN(virtual private network)与远端网络或者宿主机进行交流时的安全。对于两个或更多实体间的交流来说,安全协会(SA)扮演者安全警察的作用。每个实体都通过一个密钥表征自己的身份。因特网密钥交换协议(IKE)保证安全协会(SA)内的沟通是安全的。  因特网密钥交换协议(IKE
IKE 协议
bytxl的专栏
09-11 1万+
http://lulu1101.blog.51cto.com/4455468/817872 IKE 协议简介    1.       IKE 协议 IPSec  的安全联盟可以通过手工配置的方式建立,但是当网络中节点增多时,手工配置将非常困难,而且难以保证安全性。这时就要使用 IKE(Internet Key Exchange,因特网密钥交换)自动地进行安全联盟建立与密钥交换的过程。
详解IP安全:IPSec协议簇 - AH协议 - ESP协议 - IKE协议
m0_61869253的博客
03-16 1381
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IKE协商
zljszn的博客
10-26 2723
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPSEC IKEV1报文分析与理解
11-08
IPSEC IKEV1报文分析与理解
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
ros MikroTik IPSec ike2详细教程配置好能正常使用
09-10
ros MikroTik配置 IPSec ike2配置教程
Linux系统安装L2TPIPSec一键安装脚本.docx
07-17
本脚本适用环境: 系统支持:CentOS6+,Debian7+,Ubuntu12+ 内存要求:≥128M 关于本脚本: ...IKEv2 (Internet Key Exchange v2) 能实现 IPsec 的目前总体上有 openswan,libreswan,strongswan 这3种。
一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA
pz641的博客
03-10 1万+
IPSec工作在网络层,一般用于两个子网之间的通信。 IPSec主要分为两个环节 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥 第二环节使用IPSec安全策略和密钥对数据进行保护。 ...
细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
pz641的博客
05-19 3792
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式中,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。本文介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理。一、IKE动态协商综述手工方式建立SA存在配置复杂、不支持发起方地址动态变化、建立的
ensp IKEV1实验(Ipsec动态配置)
sgslwms的博客
02-21 6055
拓扑前提配置:1:设备接口IP 2:防火墙接口加区域 3:配置默认路由 1:IKE proposal 左边防火墙: ike proposal 1(这个1指的是名字) encryption-algorithm des (加密算法) dh group1 (密钥计算) authentication-algorithm md5 (认证算法) authentication-method pre-share (认证模式 预共享) integrity-algorithm hmac-sha2-256 (完...
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9684
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
IPSecIKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
IPSec 隧道技术--基础实验配置
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
观察IPSEC+IKE协商过程(H3C)
weixin_34327223的博客
03-14 1414
【组网情况】 R1--Serial0/6/0 --------------------------Serial0/6/0 ----R2 【需求】 用R2的Loop0口Ping R1的loop0口,在R2上debugging ike all debugging ipsec all 查看相关信息。 ping 的过程中会检查是否有IKE SA 没有则...
IPSec IKEv1 IKEv2 区别
05-26
IKEv1IKEv2是IKE的两个版本。 以下是它们之间的一些主要区别: 1. IKEv1IKEv2的安全性不同。IKEv1使用了较旧的加密算法,如DES和3DES,而IKEv2支持更强的加密算法,如AES和SHA-256。 2. IKEv2具有更好的移动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南岸青栀*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值