IPsec中IKE与ISAKMP过程分析(快速模式-消息1)

最新推荐文章于 2024-07-03 18:40:15 发布
最新推荐文章于 2024-07-03 18:40:15 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: # 国密标准 # 密码应用协议 # 密码应用安全性评估 文章标签: 系统安全 网络安全 安全威胁分析 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/130458057
版权
文章详细分析了IPsec中IKE协议的主模式(第一阶段)和快速模式(第二阶段)的过程,包括不同消息的交互,如身份验证、密钥交换和安全策略协商。在主模式下,通过六个消息建立了ISAKMP安全联盟,而在快速模式下,利用已建立的安全联盟保护信息,协商IPsec安全策略和会话密钥。文中提到了HMAC用于确保消息完整性,并举例说明了快速模式下使用SM4-CBC加密的情况。
摘要由CSDN通过智能技术生成

        IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息4)_搞搞搞高傲的博客-CSDN博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)_搞搞搞高傲的博客-CSDN博客

阶段目标过程消息
IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换,得到工作密钥

(1)HDR,SA

(2)HDR,SA,Cert_sig_r,Cert_enc_r

(3)HDR,XCHi,SIGi

(4)HDR,XCHr.SIGr

(5)HDR*,HASHi

(6)HDR*,HASHr

IKE第二阶段协商IPsec SA实现通信双方IPsec SA,得到ipsec安全策略和会话密钥

(1)HDR*,HASH(1),SA,Ni

(2)HDR*,HASH(2),SA,Nr

(3)HDR*,HASH(3)

         IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。

        在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。

        HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。

       在第二阶段变换载荷的变换ID定义如下,AH和ESP分开标识。

         变换载荷中各属性值的定义,密钥交换属性、封装模式属性和鉴别算法属性如下。

        快速模式消息1抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。

游鲦亭长
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 13
    评论
专栏目录
IKEIPSec详解
悦分享
08-11 4482
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
IPSecIKE协议介绍
qq_32044265的博客
11-29 7511
IKEIPSec提供了自动协商密钥、建立IPSec安全联盟的服务。​IKE具有一套自保护机制,可以在网络上安全地认证身份、分发密钥、建立IPSec SA。下面分别对IKE安全机制和IKEv1和IKEv2的协商安全联盟的过程进行介绍。
IPsecIKEISAKMP过程分析快速模式-消息3)
ryanzzzzz的博客
05-01 1240
第二阶段消息3是IKE阶段最后一个消息,发送方给响应方发送一个杂凑载荷,用于对前面的交换进行鉴别。HDR之后是HASH数据结果,HASH = PRF(SKEYID_a,0|MsgID|Ni_b|Nr_b)。最后的会话密钥为KEYMAT = PRF(SKEYID_d, protocol | SPI | Ni_b | Nr_b),其protocol和SPI从协商得到ISAKMP建议载荷选取。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式快速模式、dh算法、预共享密钥
小梁的博客
03-31 4205
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
华为ISAKMP的介绍配置实例以及故障案例分析-(值得收藏学习)
最新发布
满地找牙的博客
07-03 903
ISAKMP(Internet Security Association and Key Management Protocol),即互联网安全关联和密钥管理协议,是IPsec(Internet Protocol Security)协议套件的一个核心组件
IPsec ISAKMP
weixin_33905756的博客
08-10 634
Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。 因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。SA 包括了各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服...
ENSP ipsec isakmp(自动)
weixin_57193107的博客
05-22 499
一共六步 自动isakmp 1.ike安全提议 2.ike对等体 3.定义安全流量 4.定义ipsec 安全提议 5.ipsec 安全策略 6.端口应用 先搭建好拓扑图然后配置ip [AR6]interface GigabitEthernet0/0/0 [AR6-GigabitEthernet0/0/0]ip add 100.1.1.1 30 [AR6-GigabitEthernet0/0/0]int GigabitEthernet0/0/01 [AR6-Gigabit...
IPSCE快速模式分析
weixin_34250434的博客
10-18 136
1.作用 在安全的环境协商处理感兴趣流的策略。主要包括: (1)感兴趣流 (2)加密策略 (3)散列函数 (4)封装协议 (5)封装模式 (6)密钥的有效期 2.第一个包 发送方会把感兴趣流和相关的IPSEC策略发给对方,有对方选择合适的策略。 从上图可以看出模式快速模式,类型是HASH载荷,已经是安全环境了。 由于是加密的数据,所以在这里看不出具体的内容。 3.第...
×××ipsecisakmp的实现(
weixin_34291004的博客
12-14 356
×××ipsecisakmp的实现 说明:动态ipsec是通过isakmp的方法实现,是用户两端自动学习协商建立sa,无需手工建立。 注:由于实验条件有限,Internet有路由器代替模拟。 一、Fw-1的配置 [fw-1]inter eth0/0 [fw-1-Ethernet0/0]ip add 192.168.101.55 255...
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
Linux拨IPSec网络不通,ISAKMP/IPSEC SA协商成功但数据不通
weixin_32658257的博客
05-10 858
1、故障现象在路由器上查看isakmp sa和ipsec sa都已经成功建立,但通过ipsec保护的业务无法正常通信1)查看isakmp sa,成功建立:Ruijie#show crypto isakmp sadestination source state conn-id lifeti...
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
ipsec技术isakmp(动态)应用
weixin_34337381的博客
12-14 396
IPSEC技术应用 isakmp模式 F1配置: [f1]inter eth0/0 [f1-Ethernet0/0]ip address 192.168.1.254 24 [f1-Ethernet0/0]loopback [f1-Ethernet0/0]inter eth0/1 [f1-Ethernet0/1]...
IPsec ISAKMP协议
weixin_34077371的博客
02-02 322
IPsec ISAKMP:Internet 安全连接和密钥管理协议(ISAKMP:Internet Security Association and Key Management Protocol)  Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需...
IPsecIKEISAKMP过程分析快速模式-消息2)
ryanzzzzz的博客
05-01 1190
第二阶段消息2与消息1基本相同,主要区别是SA载荷封装一个建议载荷用于确认。 消息2抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。
IPsecIKEISAKMP过程分析(主模式-消息1)
ryanzzzzz的博客
04-29 4073
IPsec协议族IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。
IPsecIKEISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1320
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IPsec ISAKMP-术语简介
weixin_34221073的博客
03-27 352
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有...
strongswan ike模式抓包分析
05-11
IKEIPSec协议的一部分,其作用是为IPSec协议提供安全性。strongSwan是一个开源的IPSec实现。在strongSwanIKE模式分为两种:IKEv1和IKEv2。下面分别介绍如何抓包分析这两种模式。 1. IKEv1 在IKEv1IKE交换是通过ISAKMP协议完成的。因此,我们需要在抓包工具过滤ISAKMP协议。这里以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓包; - 在过滤器输入“isakmp”,然后点击“Apply”按钮; - 过滤出IKE交换的包,可以根据包的源地址和目的地址来进行区分。 分析IKEv1的交换包,可以了解到以下信息: - IKE交换的阶段:main mode、aggressive mode或quick mode; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - SA(Security Association)的建立过程。 2. IKEv2 在IKEv2IKE交换是通过IKE协议完成的。因此,我们需要在抓包工具过滤IKE协议。这里同样以Wireshark为例,步骤如下: - 打开Wireshark,选择接口并开始抓包; - 在过滤器输入“ikev2”,然后点击“Apply”按钮; - 过滤出IKE交换的包,可以根据包的源地址和目的地址来进行区分。 分析IKEv2的交换包,可以了解到以下信息: - IKE交换的阶段:IKE_SA_INIT、IKE_AUTH、CHILD_SA_INIT或CREATE_CHILD_SA; - 加密算法、哈希算法和身份验证方式; - Diffie-Hellman密钥交换过程; - IKE_SA的建立过程; - CHILD_SA的建立过程。 通过抓包分析IKE交换,可以帮助我们理解strongSwan的工作原理,并且在故障排除和调试等方面也非常有用。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值