IKE学习笔记

最新推荐文章于 2025-07-20 07:13:22 发布
最新推荐文章于 2025-07-20 07:13:22 发布
阅读量906 收藏 16
点赞数 15
CC 4.0 BY-SA版权
文章标签: 网络 网络安全 网络协议 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74808952/article/details/149403335

一.  IKE概述

 定义:Internet密钥交换(Internet Key Exchange,简称IKE)用于动态建立SA。

IKE使用ISAKMP消息来协商并建立SA。

什么是ISAKMP?

ISAKMP:定义了消息交换的体系结构,包括两个IPSEC对等体间分组形式和状态转变(定义封装格式和协商包交换的方式)

ISAKMP报文一般使用UDP,端口都是500

我们在进行抓包isakmp时要学会看报文

 

ISAKMP消息报头: 

 

完整的报文:

 

 

二.  IKE的工作过程

两个IPSec实体之间的IKE协商分为两个阶段:

– 第一阶段:建立ISAKMP SA(也可称为IKE SA)

• 两种模式:

–主动模式(main mode):6条ISAKMP消息交互,流程规范,适合需要隐藏身份信息的场景(身份信息加密传输)

–野蛮模式(aggressive mode):3条ISAKMP消息交互,协商更快,但身份信息明文传输(安全性较低),适合对速度要求高的场景(如远程拨号)。

• ISAKMP SA是为第二阶段的ISKMP消息提供安全保护

第二阶段:建立IPSec SA

• 一种模式:

–快速模式(quick mode):3条ISAKMP消息交互

• IPSec SA是为IP数据提供安全保护,即前面概念中介绍的SA

– ISAKMP SA可以用来保护多个第二阶段IPSec SA协商的通信过程

两个阶段的分工:

  • 第一阶段:建立双向认证的 “管理隧道”(IKE SA),用于后续密钥协商的安全基础。(通过身份认证和密钥交换,生成一个长期有效的安全通道(IKE SA),为第二阶段的协商提供加密和认证保护)
  • 第二阶段:在 IKE SA 保护下,协商用于实际数据加密的 “数据隧道”(IPsec SA),并生成会话密钥。

三.  两个阶段的具体过程

阶段一:

a.  第1、2个ISAKMP报文

• 用于交换并协商保护ISAKMP消息的安全参数以及对等体验证方式,包含加密算法、验证算法、验证方式、ISAKMP SA生存时间等安全策略信息(即SA载荷)。IPSec实体会选择双方都支持的安全策略信息。

相关配置
RA(config)#crypto isakmp policy 1 
RA(config-isakmp)#? 
ISAKMP commands: 
  authentication  Set authentication method for protection suite 
  encryption        Set encryption algorithm for protection suite 
  group              Set the Diffie-Hellman group 
  hash               Set hash algorithm for protection suite 
  lifetime            Set lifetime for ISAKMP security association

b.第3、4个ISAKMP报文

• 用于交互IKE的密钥交换载荷(Key exchange)和随机值载荷(nonce)。此过程交互信息用于双方使用DH算法计算出共同的密钥材料。

 

c.  第5、6个ISAKMP报文

• 身份验证:用于交换身份(identification)载荷和HASH载荷

IKE协商第一阶段总结(main mode) 
– 第一阶段无论是使用main mode还是aggressive mode,目的都是产生ISAKMP/IKE SA,用ISAKMP/IKE SA为产生第二阶段IPSec SA的ISAKMP消息交互过程进行保护。 
• 第1、2个ISAKMP报文 
– IPSec实体双方交互SA载荷,选择相同ISAKMP消息的保护策略及认证方式,双方必须达成一致,否则第一阶段协
商失败 
• 第3、4个ISAKMP报文 
– IPSec实体双方交互DH算法的公共值及密钥计算材料,从而双方计算出一系列相同的密钥 
• 第5、6个ISAKMP报文 
–第5、6个报文使用第3、4个报文交互后产生的相关密钥进行验证及加密处理。IPSec实体双方分别对对方进行验证
,若使用pre-share key的验证方式,即判断对方是否拥有与本地相同的pre-share key。双方的Key配置必须一
致,否则第一阶段协商失败

阶段二.

IKE协商第二阶段的目的是产生最终用于加密和验证IP数据报文的IPSec SA。

第1、2、3个ISAKMP报文

a.确定IPSec SA的保护策略,使用AH还是ESP、传输模式还是隧道模式、被保护的数据是什么等等,IPSec通信实体双方对于这些安全策略必须达成一致,否则IKE第二阶段协商将无法通过。

b.为降低密钥之间的关联性,第二阶段采用PFS重新进行DH交换,并计算出新的共享密钥,从而计算出IPSec SA中用于加密和验证的密钥。

通俗类比
第一阶段:两人通过视频通话(IKE SA)确认身份(如刷脸认证),并约定 “只有我们知道的暗语”(共享密钥)。
第二阶段:用 “暗语” 加密接下来要聊的具体内容(IPsec SA),确保外人听不懂,且每小时换一次暗语(SA 生存期)。

(ps:文章为学习笔记的基础知识总结,不涉及解密等敏感问题,仅供小白学习参考用)

 

 

 

 

IPSec学习笔记
qq_44386020的博客
05-13 430
AH协议AH不提供任何保密性服务。IPSec工作在网络层,一般用于两个子网间的通信,称为站到站的通信。是一套协议集合,包括。两个环节:1.IKE协议,完成通信双方的身份鉴别,确定通信时使用的IPSec安全策略和密钥。2.使用数据报文封装协议和IKE中协定的IPSec安全策略和密钥,实现通信数据的安全传输。区别:1、封装过程传输模式,不会改变原始报文的IP头,只会在原始IP头后面封装一些ipsec协议隧道模式,会在原始IP报文头前面添加新的IP头,并且在新的IP头后面封装一些ipsec协议。
VPN相关学习笔记
m0_55924178的博客
11-11 1099
VPN创建了一个专用隧道,用于安全地传输数据。Internet协议安全(IPSec)和安全套接字层(SSL)是当今使用的两种主要VPN技术。
【IPSec】学习笔记
知识分享与学习笔记总结,欢迎指点
03-03 908
完成于 2023-08-09 14:45:00。
华为HCIA学习笔记:采用默认配置通过IKE协商方式建立IPSec隧道示例
木村光辉の博客
12-11 326
【代码】华为HCIA学习笔记:采用默认配置通过IKE协商方式建立IPSec隧道示例。
VPN技术-IPSec VPN概述学习笔记
m0_62909438的博客
11-22 1464
熟悉IPSec VPN基本原理和工作模式。
IKE学习笔记1(IKE的概念)
codestart的专栏
08-12 2747
    IKE(Internet密钥交换)是由RFC2409描述的。    IKE建立在由Internet安全联盟和密钥管理协议定义的一个框架上,沿用ISAKMP基础,Oakley模式和SKEME的共享和密钥更新技术。    IKE的精髓在于永远不在不安全网络上直接传送密钥,而是通过一系列的数据交换,通信双方最终计算出共享密钥。其核心技术就是DH(Diffie Hellman)交换技术。   
瑞吉外卖学习笔记
weixin_55008454的博客
04-08 1554
我们一般在编码层本项目共分为3期进行开发:①第一期主要实现基本需求,其中移动端应用通过H5实现,用户可以通过手机浏览器访问。②第二期主要针对移动端应用进行改进,使用微信小程序实现,用户使用起来更加方便。③第三期主要针对系统进行优化升级,提高系统的访问性能。
import NumPy 学习笔记
weixin_68413862的博客
03-20 3326
第一次用CSDN写笔记, 希望大佬可以多多点评, 以后会尽快适应
IKE学习笔记IKE第二阶段)
codestart的专栏
08-16 4369
 第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。快速模式需要从SKEYID_d中衍生出IPsec SA的密钥,并与nonce,spi一起做hash计算出密钥。快速模式提供一个PFS选项,可以保证密钥的无关性。如果启用PFS,则需要一次额外的DH交换,并把共享密钥在生成密钥的过程中使用,完成后
IKE学习笔记2(IKE交换第一阶段)
codestart的专栏
08-14 9058
   IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。    参与通信双方会生成四种秘密:SKEYID(后续所有秘密建立在他之上);SKEYID_d(用于为其他协议,如ipsec,生成加密密钥提供材料);SKEYID_a(用于为IKE消息保障数据的完整性以及对数据源的身份进行验证);SKEYI
ipsec学习笔记,自己整理
11-08
IKE 协商 SA 完毕后,在更新 SAD 的同时,也要建立新的 SAD 与 SPD 之间的关联。 本文介绍了 IPsec 协议的实现和 IP 实现的整合,包括策略库的实现、分片处理等内容,为读者提供了一个较为详细的知识点。
【ESP32设备通信】-使用Modbus RTU读取传感器数据
最新发布
视觉与物联智能
07-20 253
在本文中,我们将深入研究 Modbus RTU 协议,并学习如何使用 ESP32 实现该协议,以便通过 RS485 从从设备读取传感器数据。为了简化和加深理解,我们将重点介绍一个基于 Modbus RTU 协议的温湿度传感器。我们将对 ESP32 进行编程,使其能够通过 RS-485 读取传感器数据,从而通过实践操作来理解这种通信方式。
网络包从客户端发出到服务端接收的过程
qq_39839075的博客
07-19 532
最近在看Socket的相关知识,看的知识比较碎,所以想着梳理一下从客户端发起请求到服务端处理请求的流程来把学过的知识串在一起,以我们比较常用的TCP协议举例。知识整理过程中,查阅了很多资料,这部分的内容其实非常复杂,涉及很多的linux内核知识,为了不陷入到细节中,我只写了主要流程,后面会再深入学习这部分知识,到时候再到这篇文章中进行补充。如果哪个地方写的不对,还请路过的大佬帮忙指正。
【内网穿透计算机】外网环境下基于公网IP,通过VNC远程访问家庭计算机(以北美spectrum网络为例)
Deng's Blog
07-19 591
本文介绍了在Spectrum家庭网络环境下实现远程访问内网计算机的方法。由于运营商限制,无法直接修改路由器设置,需通过Spectrum官网界面进行VNC端口转发(5900端口)。作者发现IPv6无法直接连接,转而使用Spectrum提供的公网IPv4地址成功实现远程访问。针对动态IP问题,采用No-IP的DDNS服务,通过安装其客户端实现IP自动更新,确保远程连接的稳定性。文章详细记录了配置过程,包括端口转发规则设置、No-IP客户端安装和自启动配置等步骤,为类似网络环境下的远程访问需求提供了实用解决方案。
HCIA-Security 认证精讲!网络安全理论与实战全掌握
噗老师带你打代码
07-16 507
想入门网络安全却不知道从哪儿下手?不少新手都卡在 “理论太抽象、实战没头绪” 的困境里。其实,华为 HCIA-Security 认证就是个超合适的起点从 “网络安全到底要护啥” 到 “被攻击了该咋应对”,从硬件加固到数据加密,从应急响应到攻防演练,这套体系能帮你把零散的知识点串成完整的防护逻辑。
Gemini CLI Web 实现
weixin_42657666的博客
07-16 770
摘要 Gemini CLI Web简化版是基于Core包的智能Web扩展架构,采用"薄Web层+重核心复用"设计理念。该项目通过复用Gemini CLI Core的核心逻辑,将命令行工具转化为Web应用,实现了功能一致性并降低维护成本。架构包含前端层、Express服务层和Core包三层结构,支持实时流式响应处理。关键实现包括服务器初始化配置集成(直接复用Config类与工具集)和WebSocket实时交互(显示AI思考过程与工具调用)。这种设计最大化复用CLI功能,使Web版本获得与命
如何 ASP.NET Core 中使用 WebSocket
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
07-18 1145
摘要:本文详细介绍了在ASP.NET Core中实现WebSocket通讯的完整流程。文章首先阐述了WebSocket在实时应用中的优势,如聊天室、金融交易等场景。然后分三个阶段演示实现过程:1)服务器端配置WebSocket中间件和路由;2)客户端创建WebSocket连接;3)测试多个客户端连接。最后通过构建聊天室应用演示了多用户消息广播功能,包括用户加入/离开通知等特性。教程提供了完整的代码示例,帮助开发者快速掌握ASP.NET Core中WebSocket的实现方法。
远程服务器无法正常访问,ping时通时断问题解决过程
wj31932的博客
07-16 1162
本文通过一个时通时断问题定位和解决过程,提供问题解决思路和具体操作方法。
OWASP Top 10 攻击场景实战
u010872591的博客
07-16 795
配置Web服务器和应用框架,以显示统一的、不包含敏感信息的错误页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值