引用页
概念
IKEv1-主动模式-阶段1
-
我方:提议第一阶段使用3DES-CBC/SHA-HMAC/MODP1024/Life-Time(加密/完整性/密钥交换算法/密钥更换周期),aes128/sha256/modp3072/Life-Time;我还支持DPD,NAT-T,等等(死亡检测,NAT环境穿越)
-
对方:我找下我是否支持你的提议方式,OK我接受你的aes128/sha256/modp3072/28800,我也支持DPD,NAT-T,XAUTH
-
我方:交换一下公钥和Nonce随机数,我在NAT-D中将我的内网和外网端口信息告诉你,这样你就知道我有没有通过NAT了
-
对方:我的3072位公钥和Nonce随机数也给你,NAT-D信息也告诉你,这样你就知道我有没有通过NAT了
-
我方:现在已经是加密信息了,我们通过PSK或者RSA将身份信息验证一下,确保你不是骗子
-
对方:我将你的加密信息解密后,验证通过了,我不是骗子,你也不是
IKEv1-野蛮模式-阶段1
- 我方:提议第一阶段使用3DES-CBC/SHA-HMAC/MODP1024/Life-Time(加密/完整性/密钥交换算法/密钥更换周期),我支持DPD,NAT-T,等等(死亡检测,NAT环境穿越),我的公钥和Nonce随机数给你了,身份ID也给你了
- 对方:我找下我是否支持你的提议方式,OK我接受你的3DES-CBC/SHA-HMAC/MODP1024/28800,接受你的DPD,NAT-T,身份ID,这是我的NAT-D,和身份ID
- 我方:我接受你的NAT-D和身份ID,我们进入第二阶段把
IKEv1-快速模式-阶段2
- 我方:我支持3DES/MD5/Life-Time,3DES/MD5/MODP-1024/Life-Time算法,这是我的Nonce
- 对方:因为我支持PFS,所以我选择3DES/MD5/MODP-1024,我们重新使用DH算出新的加密密钥,而不是用第一阶段协商出来的密钥
- 我方:没问题,我们就按照协商好的方式通信把
对象说明
C,发起端S, 接收端ET(Exchange Type), 2:主模式,4:野蛮模式,32:快速模式,5:数据类型NP(Next Payload), 1:SA协议协商,4:秘钥交换,5:身份验证,8:hash数据,10:nonce随机数,13:vendorId支持的功能F(Flags)1:加密的数据
ISAKMP
第一阶段
主动模式
C(ET:2,NP:1,F:0)提议多套加密与完整性校验规则和身份验证机制以及生命周期,如(3DES-SHA;MODP2048;28800)
S(ET:2,NP:1,F:0)选择一套符合自己的规则
C(ET:2,NP:4,F:0)开始秘钥交换(DH),NP为4中包含交换秘钥
S(ET:2,NP:4,F:0)秘钥已发送给你了,我们接下来开始加密传输数据吧
C(ET:2,NP:5,F:1)我们开始验证身份吧,我们可以使用PSK,RSA
S(ET:2,NP:5,F:1)验证身份已经通过了,接下来我们开始进入第二阶段吧
野蛮模式
C(ET:2,NP:1,F:0)提议多套加密与完整性校验规则和身份验证机制以及生命周期,如(3DES-SHA;MODP2048;28800)
S(ET:2,NP:1,F:0)选择一套符合自己的规则
C(ET:2,NP:4,F:0)开始秘钥交换(DH),NP为4中包含交换秘钥
S(ET:2,NP:4,F:0)秘钥已发送给你了,我们接下来开始加密传输数据吧
C(ET:2,NP:5,F:1)我们开始验证身份吧,我们可以使用PSK,RSA
S(ET:2,NP:5,F:1)验证身份已经通过了,接下来我们开始进入第二阶段吧
第二阶段
快速模式
C(ET:32,NP:8,F:1)我们协商下使用AH还是ESP还是两个都用,我们两感兴趣的内网段咱们也协商下
S(ET:5,NP:8,F:1)那行,我们就按照这个方式来吧,接下来咋们可以开始通信了
阶段具体协商内容
S:IKE_SA_INIT,协商双方支持的认证方式
C:IKE_SA_INIT,协商双方支持的认证方式
S:IKE_AUTH,自身认证,并发送自己的证书给对端
C:IKE_AUTH,检查是否信任证书,同样选择使用EAP还是证书认证对端
S:IKE_AUTH,认证成功
C:IKE_AUTH, MSK established
S:IKE_SA,建立通信,开始分配IP地址
C:IKE_SA,开始通信
3852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
