IPsec中IKE与ISAKMP过程分析(快速模式-消息1)

最新推荐文章于 2023-08-02 10:20:16 发布
最新推荐文章于 2023-08-02 10:20:16 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: # 国密标准 # 密码应用协议 # 密码应用安全性评估 文章标签: 系统安全 网络安全 安全威胁分析 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/130458057
版权

        IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息4)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)_搞搞搞高傲的博客-CSDN博客

阶段目标过程消息
IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换,得到工作密钥

(1)HDR,SA

(2)HDR,SA,Cert_sig_r,Cert_enc_r

(3)HDR,XCHi,SIGi

(4)HDR,XCHr.SIGr

(5)HDR*,HASHi

(6)HDR*,HASHr

IKE第二阶段协商IPsec SA实现通信双方IPsec SA,得到ipsec安全策略和会话密钥

(1)HDR*,HASH(1),SA,Ni

(2)HDR*,HASH(2),SA,Nr

(3)HDR*,HASH(3)

         IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。

        在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。

        HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。

       在第二阶段变换载荷的变换ID定义如下,AH和ESP分开标识。

         变换载荷中各属性值的定义,密钥交换属性、封装模式属性和鉴别算法属性如下。

        快速模式消息1抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。

游鲦亭长
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 11
    评论
专栏目录
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
IPSEC:新一代因特网安全标准
04-15
目 录 译者序 作者简介 前言 第一部分 概 论 第1章 加密历史与技术 1 1.1 加密历史 1 1.2 Internet的崛起 2 1.3 Internet的安全 3 1.4 加密工具 4 1.4.1 加密基础 4 1.4.2 机密性 5 1.4.3 对称加密算法 6 1.4.4 不对称加密算法 7 1.4.5 身份验证和完整性 8 1.4.6 身份验证 8 1.4.7 消息的完整性 9 1.4.8 密钥交换 10 1.4.9 Diffie-Hellman 10 1.4.10 RSA密钥交换 11 1.5 加密的概念 12 1.5.1 完美向前保密 12 1.5.2 服务否认 13 1.6 更多的资讯 13 第2章 TCP/IP综述 15 2.1 导引 15 2.2 TCP/IP入门 15 2.2.1 协议堆栈 15 2.2.2 数据流 17 2.2.3 网络层 18 2.2.4 IPv4 18 2.3 定址 18 2.3.1 IPv4头 20 2.3.2 IPv6 21 2.3.3 分段 23 2.3.4 ICMP 23 2.3.5 多播 24 2.3.6 传送层 24 2.4 域名系统 25 2.5 保密的层次 25 2.5.1 应用层 26 2.5.2 传送层 26 2.5.3 网络层 27 2.5.4 数据链路层 27 第3章 IP安全综述 28 3.1 结构 29 3.2 封装安全载荷 32 3.3 验证头(AH) 33 3.4 Internet密钥交换 34 第二部分 详细分析 第4章 IPSec体系 39 4.1 导引 39 4.2 IPSec发展规划 39 4.3 IPSec的实施 40 4.3.1 在主机实施 40 4.3.2 OS集成 41 4.3.3 堆栈的块 41 4.3.4 在路由器实施 41 4.4 IPSec模式 42 4.4.1 传送模式 43 4.4.2 通道模式 44 4.5 安全联盟 46 4.5.1 安全参数索引(SPI) 46 4.5.2 SA管理 47 4.5.3 创建 47 4.5.4 删除 48 4.5.5 参数 48 4.5.6 安全策略 49 4.5.7 选择符 50 4.6 IPSec处理 50 4.6.1 外出 50 4.6.2 进入 51 4.7 分段 52 4.8 ICMP 52 第5章 封装安全载荷(ESP) 53 5.1 ESP头 53 5.2 ESP模式 54 5.3 ESP处理 55 5.3.1 处理外出数据包 56 5.3.2 处理进入数据包 56 第6章 验证头(AH) 58 6.1 AH头 58 6.2 AH模式 59 6.2.1 传送模式 59 6.2.2 通道模式 60 6.3 AH处理 60 6.3.1 输出处理 60 6.3.2 输入处理 61 第7章 Internet密钥交换 63 7.1 ISAKMP 63 7.1.1 消息和载荷 64 7.1.2 交换和阶段 66 7.1.3 策略协商 68 7.2 IKE 70 7.2.1 主模式交换 73 7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布 85 8.4 策略管理系统 86 8.4.1 内核支持 86 8.4.2 IKE支持 87 8.5 配置 87 8.6 策略的设置 88 第9章 IPSec的实施 89 9.1 导引 89 9.2 实施结构 89 9.2.1 IPSec基本协议 90 9.2.2 SPD和SADB 90 9.2.3 IKE 92 9.2.4 策略管理系统 93 9.3 IPSec协议处理 93 9.3.1 外出处理 93 9.3.2 SPD处理 94 9.3.3 IKE处理 95 9.3.4 SA处理 95 9.3.5 传送模式头处理 95 9.3.6 ESP处理 95 9.3.7 AH处理 96 9.3.8 通道模式处理 96 9.3.9 多头处理 97 9.3.10 进入处理 98 9.4 分段和PMTU 100 9.4.1 主机实施 100 9.4.2 路由器实施 100 9.5 ICMP处理 102 第10章 实用IP安全技术 103 10.1 端到端安全 103 10.2 虚拟专用网络 104 10.3 Road warrior 105 10.4 嵌套式通道 106 10.5 链式通道 107 第11章 IPSec的未来 109 11.1 压缩 109 11.2 多点传送 111 11.2.1 源验证 112 11.2.2 密钥管理 113 11.2.3 多播通信的密钥管理 114 11.2.4 源多播密钥分配 116 11.2.5 MKMP 117 11.3 密钥恢复 120 11.4 L2TP 122 11.5 公共密钥结构 124
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
racoon2-20070720a.rar
10-27
ipsec/ike协议实现的开放源码,具有极重要的借鉴意义,大家在实现该协议时,可以参考该思路
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒,两端要一致 以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2:配
IPsecIKEISAKMP过程分析(主模式-消息1)
ryanzzzzz的博客
04-29 3262
IPsec协议族IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。
ISAKMP报文封装格式及解释
aaheguosong的博客
04-06 4180
ISAKMP报文封装格式及详解1.IP报文头新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.IP报文头 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器,
IPsecIKEISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1152
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IPsecIKEISAKMP过程分析快速模式-消息3)
ryanzzzzz的博客
05-01 921
第二阶段消息3是IKE阶段最后一个消息,发送方给响应方发送一个杂凑载荷,用于对前面的交换进行鉴别。HDR之后是HASH数据结果,HASH = PRF(SKEYID_a,0|MsgID|Ni_b|Nr_b)。最后的会话密钥为KEYMAT = PRF(SKEYID_d, protocol | SPI | Ni_b | Nr_b),其protocol和SPI从协商得到ISAKMP建议载荷选取。
IPSec ISAKMP & ESP 报文解密方法
最新发布
a_A_A_a___的博客
08-02 1429
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
IPsecIKEISAKMP过程分析(主模式-消息4)
ryanzzzzz的博客
04-30 1127
IKE第一阶段消息4由响应方发出,基本与消息3相同,区别主要是不需要发送本方签名和加密证书,因为已经在消息2完成了。可以看到,这里没有Payload-Certificate了,SKr,Nr,IDr和SIGr均与消息3相似对应。
IPsecIKEISAKMP过程分析(主模式-消息2)
ryanzzzzz的博客
04-29 2035
IKE第一阶段消息2由响应方发出,具体包括一个SA载荷(确认响应方所接受的SA提议),响应方签名证书和加密证书。由于目前还没有任何协商得到密钥,所以消息2还是以明文传输。消息2报文结构如下,HDR头后面紧跟SA,SA载荷确认各类密钥算法且与发起发的提议不得有任何修改。在SA之后响应方的签名证书和加密证书(X.509证书结构)。
杨元原博士国密课堂 · 第三期 | 商用密码应用安全性评估:IPSecVAN协议的原理和测评验证(一)
lavin1614
10-29 1913
IP数据包本身并不提供任何安全特性。很容易伪造出IP包的地址、修改其内容、重播以前的包以及在传输途拦截并查看包的内容。IPSec提供了一种标准的、健壮的机制,可为IP及上层协议(如UDP和TCP)提供数据机密性、完整性、真实性等安全保证。 本文首先介绍了协议、密码协议等概念,之后基于密码国家标准和行业标准对IPSec VPN协议的技术规范进行了说明,并通过实际案例,说明了IPSec VPN协议测评验证方法。 密码协议的基本概念?...
IPSEC流程例子及两个阶段的协商过程详细介绍
热门推荐
wesleyhe的专栏
02-01 3万+
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段 有主模式和积极模式2种
商用密码应用与安全性评估要点笔记(数字证书结构、密码协议)
ryanzzzzz的博客
03-04 294
注意传输模式(原IP头之后)和隧道模式(新建外部IP头之后,原IP头之前)ESP的位置。加密和认证范围不同,认证范围大于加密范围)工作密钥(2个,用户加密的工作密钥和验证完整性和数据源身份)-主密钥48byte(客户端随机数+服务器端随机数+常量字符串经PRF计算生成)-预主密钥(客户端/服务端随机数、常量字符串进过PRF计算生成)我国GM/T0024-2014《SSL VPN技术规范》参考SSL1.1版本,在握手协议增加ECC和IBC身份鉴别和密钥交换模式,取消DH密钥交换模式,修改密码套件定义。
wireshark实战之捣乱的ISAKMP协议
weixin_43239236的博客
03-27 3122
今天通过openvpn+xshell远程访问用户端的产品服务器,但是无法连接上去,显示的是直接无法连接,去同事的电脑上去测试他的可以正常连接。查看openvpn配置,配置也是正确的。但是为什么会出现这样诡异的现象呢?于是用wireshark在自己的电脑和同事的电脑上抓了数据包对比。 同事电脑上的抓包显示经过tcp三次握手后正常的建立了连接,但是我的电脑上却诡异的出现了一个叫ISAKMP协议在从原地...
5.3 IPSec之三----密钥管理
m0_56534254的博客
11-03 716
ISAKMP没有定义具体的密钥交换方法,可以适用于不同的密钥交换协议。主模式是艾莎ISA的身份保护模式,一般交换4-6个报文,实现三个任务。因特网密钥交换协议IKE是一个安全协商SA的协议。4、密钥管理--ISAKMP的交换类型。5、密钥管理--ISAKMP的交换阶段。3、密钥管理--ISAKMP包格式。8、IKE协议--第一阶段野蛮模式。9、IKE协议--第二阶段快速模式。7、IKE协议--第一阶段主模式。2、密钥管理--ISAKMP。6、密钥管理--IKE协议。1、密钥管理--IKE
IPsecIKEISAKMP过程分析(主模式-消息3)
ryanzzzzz的博客
04-30 1256
IKE第一阶段消息3由发起方发出,此时发起方具备对方公钥证书,就可以使用数字信封加密传递密钥交换参数了,同时发送本方公钥证书并附上签名以供身份鉴别使用。XCHi具体包括:Cert_enc_r加密的SKi(生产的临时密钥),SKi加密的参数Ni,SKi加密的IDi,Cert_sig_i和Cert_enc_i(发起方签名证书和加密证书,明文就可以了)。SIGi是发起方使用本方签名私钥对SKi、Ni、IDi、Cert_enc_i的签名,进行完整性和真实性保护。目前发起方具备对方公钥证书和本方生成的随机临时对称密
IPsec ISAKMP协议
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全
strongswan ike模式抓包分析
05-11
IKEIPSec协议的一部分,其作用是为IPSec协议提供安全性。strongSwan是一个开源的IPSec实现。在strongSwanIKE模式分为两种:IKEv1和IKEv2。下面分别介绍如何抓包分析这两种模式。 1. IKEv1 在IKEv1IKE交换是通过ISAKMP协议完成的。因此,我们需要在抓包工具过滤ISAKMP协议。这里以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓包; - 在过滤器输入“isakmp”,然后点击“Apply”按钮; - 过滤出IKE交换的包,可以根据包的源地址和目的地址来进行区分。 分析IKEv1的交换包,可以了解到以下信息: - IKE交换的阶段:main mode、aggressive mode或quick mode; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - SA(Security Association)的建立过程。 2. IKEv2 在IKEv2IKE交换是通过IKE协议完成的。因此,我们需要在抓包工具过滤IKE协议。这里同样以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓包; - 在过滤器输入“ikev2”,然后点击“Apply”按钮; - 过滤出IKE交换的包,可以根据包的源地址和目的地址来进行区分。 分析IKEv2的交换包,可以了解到以下信息: - IKE交换的阶段:IKE_SA_INIT、IKE_AUTH、CHILD_SA_INIT或CREATE_CHILD_SA; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - IKE_SA的建立过程; - CHILD_SA的建立过程。 通过抓包分析IKE交换,可以帮助我们理解strongSwan的工作原理,并且在故障排除和调试等方面也非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值