IPsec中IKE与ISAKMP过程分析(主模式-消息4)

最新推荐文章于 2023-10-29 11:23:19 发布
最新推荐文章于 2023-10-29 11:23:19 发布
阅读量1.2k 收藏 4
点赞数 2
分类专栏: # 国密标准 # 密码应用协议 # 密码应用安全性评估 文章标签: 安全 密码学 网络安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/130448473
版权

        IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-CSDN博客 

阶段目标过程消息
IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换,得到工作密钥

(1)HDR,SA

(2)HDR,SA,Cert_sig_r,Cert_enc_r

(3)HDR,XCHi,SIGi

(4)HDR,XCHr.SIGr

(5)HDR*,HASHi

(6)HDR*,HASHr

IKE第二阶段协商IPsec SA实现通信双方IPsec SA,得到ipsec安全策略和会话密钥

(1)HDR*,HASH(1),SA,Ni

(2)HDR*,HASH(2),SA,Nr

(3)HDR*,HASH(3)

          IKE第一阶段消息4由响应方发出,基本与消息3相同,区别主要是不需要发送本方签名和加密证书,因为已经在消息2中完成了。可以看到,这里没有Payload-Certificate了,SKr,Nr,IDr和SIGr均与消息3相似对应。

        

         消息4抓包,Payload-Private use、Nonce、Identification和SIgnature,与消息3相似。IKE经过消息3和4后,基本完成了双方身份鉴别和密钥协商参数交换,发起方和响应方此刻能够在本地通过运算得到双方共同的工作密钥。消息5和消息6的任务是双发鉴别确认之前的交换过程,消息开始采用对称密钥算法加密,密钥使用SKEID_e,SM4算法CBC模式。

游鲦亭长
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPsec体系结构及ISAKMP协议实现流程
01-10
IKE 协议定义了五种交换模式:主模式交换、野蛮模式交换、新组模式交换、快速模式交换和 ISAKMP 信息交换。主模式交换和野蛮模式交换用于第一阶段,快速模式交换用于第二阶段。 IKE 协议的实现流程: IKE 协议的...
IPSecpluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
IPSec ISAKMP & ESP 报文解密方法
a_A_A_a___的博客
08-02 2027
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
IPsecIKEISAKMP过程分析主模式-消息2)
ryanzzzzz的博客
04-29 2226
IKE第一阶段消息2由响应方发出,具体括一个SA载荷(确认响应方所接受的SA提议),响应方签名证书和加密证书。由于目前还没有任何协商得到密钥,所以消息2还是以明文传输。消息2报文结构如下,HDR头后面紧跟SA,SA载荷确认各类密钥算法且与发起发的提议不得有任何修改。在SA之后响应方的签名证书和加密证书(X.509证书结构)。
IPSEC VPN——IKE详解(大学生易读版)
最新发布
qq_74338624的博客
10-29 1493
基于建立ipsec vpn的环境下去了解IKE协议,想要知道更多见ipsec vpn文档哦
一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA
pz641的博客
03-10 1万+
IPSec工作在网络层,一般用于两个子网之间的通信。 IPSec主要分为两个环节 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥 第二环节使用IPSec安全策略和密钥对数据进行保护。 ...
isakmp扫盲
weixin_34216036的博客
11-02 552
  ISAKMP(Internet Security Association and Key Management Protocol): Internet安全关联和密钥管理协议。   IKE是一个混合协议,由3个协议组成: SKEME->决定了IKE的密钥交换方式 Oakley->决定了IPSec的框架设计 ISAKMP->IKE的本质协议,决定了...
IPSEC:新一代因特网安全标准
04-15
7.2.1 主模式交换 73 7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布...
IKE配置zip
12-20
IKE有两种工作模式:主模式(Main Mode)和野蛮模式(Aggressive Mode)。主模式安全,但协商过程较慢;野蛮模式速度快,但安全性略低。在H3C设备,通常根据安全需求选择合适的工作模式。 3. IKE身份验证方法...
IPsec ISAKMP协议
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全
RFC2408—ISAKMP
02-04
该文档为Internet团体指定了一个Internet标准协议栈。它描述了利用安全概念来建立安全联盟(SA),以及Internet环境密钥所需的协议。安全联盟协议协商,建立,修改和删除安全联盟,以及Internet环境所需的属性。Internet环境,有多种安全机制,对于每一种安全机制都有多个可选项。密钥管理协议必须健壮,以处理Internet团体公钥的产生,以及私人网络私钥的产生。Internet安全联盟和密钥管理协议(ISAKMP)定义了认证一个通信同位体,安全联盟的建立和管理,密钥的产生方法,以及减少威胁(例如:服务否认和重放攻击)的过程。在Internet环境里,对于建立和维护安全联盟(经过IP 安全服务和其它安全协议),这些都是必不可少的
wireshark-ike v1的isakmp解密和esp解密
rfc2544的博客
10-31 3107
ike v1的isakmp解密和esp解密
GRE Over IPSec配置及抓分析
qq_45782298的博客
05-05 3817
1、配置 tunnel 逻辑接口时,需要指定GRE隧道使用的源地址及目的地址。配置到对端网络内网网段的路由时,下一跳为tunnel接口。 2、配置GRE Over IPSec 时,与单独配置GRE和IPSec没有太大的区别。唯一需要注意的是,通过ACL定义需要 保护的数据流时,不能再以总部和分部内部私网地址为匹配条件,而是必须匹配经过GRE封装后的报文,即定义报文的源地址为GRE隧道的源地址,目的地址为GRE隧道的目的地址。 实验拓扑 网络环境描述 1、网络A属于10.1.1.0/24子网,与A的1/0.
数据结构分析
weixin_34000916的博客
03-30 1504
通过wireshark抓取在不同链路上的数据分析数据在网上传输过程。首先要有下面基础知识。 1,网络数据封装过程,数据发送的时候从上往下封装的,解封装反过来。 从下往上看 最下面是以太网帧,位于osi参考模型的数据链路层。该层帧格式有以太网帧(常用),802.2/802.3帧和ppp帧。 对应网络层,主要协议有ip,ICMP,IGMP。如...
用PGP实现加密和解密全过程
xumesang的专栏
04-10 3万+
安装Gpg4win2.2.1,选择安装所有的组件,安装成功后可以看到: 步骤1:产生一对RSA密钥 输入用户名 再输入电子邮件地址,如图所示: 接下来输入passphrase,然后就会生成2048位的公钥/私钥对(注意:可能要等待一段时间) 如果成功生成了密钥,则会显示在列表。如
IPSec协议抓详解和IPSec NAT穿越报文解析
沉默的鹏先生
04-11 2万+
目录 协议概述 2、IPSec作用 3、认证方式 3.1、预共享密钥 3.2、数字证书 4、ESP加密算法 4.1、ESP完整性检测 4.2、ESP防重放 4.3、ESP防窃听 5、IPSec工作原理 5.1、传输模式 5.2、隧道模式 6.1、主动模式 6.1.1、Ikev1协商 6.1.2、IPSec加密协商 6.2、野蛮模式 7、IPsec穿越NAT ...
IPSEC隧道抓分析
bingyu的博客
09-27 1万+
IPSEC VPN隧道抓分析整个IPSEC VPN从建立到数据传输可以分为两个阶段。阶段一主要是协商建立一个主密钥,所有后续用户的密钥都根据主密钥产生,阶段一主要是在通信双方间建立一条经过身份验证并且加密的通道。阶段二使用阶段一建立的安全通道,协商安全联盟和用于保护用户数据的密钥。阶段一有主模式和积极模式。现在抓分析的是主模式,有6个来回交互的,发起端是60.251.67.10,对端是58.2
wireshark实战之捣乱的ISAKMP协议
weixin_43239236的博客
03-27 3209
今天通过openvpn+xshell远程访问用户端的产品服务器,但是无法连接上去,显示的是直接无法连接,去同事的电脑上去测试他的可以正常连接。查看openvpn配置,配置也是正确的。但是为什么会出现这样诡异的现象呢?于是用wireshark在自己的电脑和同事的电脑上抓了数据对比。 同事电脑上的抓显示经过tcp三次握手后正常的建立了连接,但是我的电脑上却诡异的出现了一个叫ISAKMP协议在从原地...
IPSecIKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其,SPI是为唯一标识SA而生成的...
strongswan ike模式抓分析
05-11
IKEIPSec协议的一部分,其作用是为IPSec协议提供安全性。strongSwan是一个开源的IPSec实现。在strongSwanIKE模式分为两种:IKEv1和IKEv2。下面分别介绍如何抓分析这两种模式。 1. IKEv1 在IKEv1IKE交换是通过ISAKMP协议完成的。因此,我们需要在抓工具过滤ISAKMP协议。这里以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓; - 在过滤器输入“isakmp”,然后点击“Apply”按钮; - 过滤出IKE交换的,可以根据的源地址和目的地址来进行区分。 分析IKEv1的交换,可以了解到以下信息: - IKE交换的阶段:main mode、aggressive mode或quick mode; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - SA(Security Association)的建立过程。 2. IKEv2 在IKEv2IKE交换是通过IKE协议完成的。因此,我们需要在抓工具过滤IKE协议。这里同样以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓; - 在过滤器输入“ikev2”,然后点击“Apply”按钮; - 过滤出IKE交换的,可以根据的源地址和目的地址来进行区分。 分析IKEv2的交换,可以了解到以下信息: - IKE交换的阶段:IKE_SA_INIT、IKE_AUTH、CHILD_SA_INIT或CREATE_CHILD_SA; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - IKE_SA的建立过程; - CHILD_SA的建立过程。 通过抓分析IKE交换,可以帮助我们理解strongSwan的工作原理,并且在故障排除和调试等方面也非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值