IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP

最新推荐文章于 2024-05-15 10:30:00 发布
最新推荐文章于 2024-05-15 10:30:00 发布
阅读量2w 收藏 165
点赞数 26
分类专栏: IPSEC 文章标签: ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44809632/article/details/107456488
版权

一. 基本名词解释:

1.IPSec 对等体
IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。
2.安全联盟
SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安全协议名(AH 或 ESP)。
3.协商方式
建立 SA 的方式有以下两种:
手工方式(manual):建立安全联盟比较复杂,安全联盟所需的全部信息都必须手工配置。但优点是可以不依赖 IKE 而单独实现 IPSec 功能。
IKE 动态协商(isakmp)方式:建立安全联盟相对简单些,只需要通信对等体间配置好 IKE协商参数,由 IKE 自动协商来创建和维护 SA。
4.IPSec封装模式
隧道模式。在隧道模式下,AH 或 ESP 插在原始 IP 头之前,另外生成一个新 IP 头放到 AH或 ESP 之前。
在这里插入图片描述

传输模式。在传输模式下,AH 或 ESP 被插入到 IP 头之后但在传输层协议之前。
在这里插入图片描述
隧道模式生成新的包头安全性比传输模式高,但隧道模式比传输模式占用带宽更多。
IPSec 隧道模式和传输模式的应用场景:
在这里插入图片描述

5.IPSec 使用的认证算法和加密算法
(1)认证算法 IPSec可以使用三种认证算法
MD5(Message Digest 5):MD5 通过输入任意长度的消息,产生 128bit 的消息摘要。
SHA-1(Secure Hash Algorithm):SHA-1 通过输入长度小于 2 的 64 次方比特的消息,产生 160bit 的消息摘要。
SHA-2:SHA-2 算法相对于 SHA-1 加密数据位数有所上升,安全性能要远远高于
SHA-1
(2)加密算法
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。IPSec
使用以下三种加密算法:
DES:使用 56bit 的密钥对一个 64bit 的明文块进行加密。
3DES:使用三个 56bit 的 DES 密钥(共 168bit 密钥)对明文进行加密。
AES:使用 128bit、192bit 或 256bit 密钥长度的 AES 算法对明文进行加密。

6.通信保护协议:
AH 认证头协议:
鉴别头AH:(不提供保密性,只对整个IP数据包提供保护)
无连接数据完整性:通过哈希函数产生的校验来保证
数据源认证:通过计算验证码时加入一个共享密钥来实现
抗重放服务:AH报头中的随机序列号可以防止重放攻击

入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,
使主机B误以为入侵者就是主机A,
然后主机B向伪装成A的入侵者发送应当发送给A的报文。

ESP 封装安全载荷协议:
除提供 AH 认证头协议的所有功能之外,还有数据保密和有限的数据流保护,ESP 协议允许对 IP 报文净荷进行加密和认证、只加密或者只认证,ESP 没有对 IP头的内容进行保护。
保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。
数据流保密由隧道模式下的保密服务提供。
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。

AH认证头协议,无法在穿越NAT的时候使用,因为AH协议会对IP包头进行校验。ESP协议可以

在这里插入图片描述
IPsec 提供了两种安全机制:认证和加密。
认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。
加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。

二 IPSec协议

1.IPSec 协议不是一个单独的协议,它给出了应用于 IP 层网络数据安全的一整套体系结构。IPSec 通过认证头 AH 和封装安全载荷 ESP 这两个安全协议来实现 IP 数据报的安全传送。IKE 协议提供密钥协商、建立和维护安全联盟 SA 的服务,以简化IPSec 的部署和使用。
在这里插入图片描述
2.IKE 工作过程
(1)IPSec保护一个IP包之前,先要建立SA,而IKE就是用来建立和管理SA的。
IKE的用途:
为IPSec协商生成密钥,供AH/ESP加解密和验证使用
在IPSec通信双方之间,动态地建立安全关联(SA),对SA进行管理和维护
(2)IKE经过二个过程来为IPSec进行密钥协商并建立SA。

第一阶段交换:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA (也可称为IKE SA)。 第一阶段交换有两种协商模式:主模式协商,野蛮模式协商:
  
第二阶段交换:用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以用来加密数据流的密钥,IPSec SA用于最终的IP数据安全传送

第一阶段:
在这里插入图片描述
主模式和野蛮模式的区别:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
---- 对于二端IP地址不固定的时候,需要使用野蛮模式。
---- 两边都是主机名的时候就必须用野蛮模式来协商。

IKE第二个阶段:
在这里插入图片描述
— 协商IPSec安全参数 包括:
加密算法
Hash算法
安全协议
封装模式
存活时间

—第二个阶段只有一种模式:快速模式
1.协商安全参数来保护数据连接
2.周期的对数据连接更新密钥信息。
第二阶段是为了协商出单向IPSec SA 第二个阶段所有数据都是受第一阶段保护,所以都有数据都经过了加密。

3.IKE SA 和 IPSec SA的区别
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式中,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥

一十六笔画生
关注
  • 26
    点赞
  • 165
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
深入解析IPSecAHESPIKE协议的协同工作原理
qq_44103359的博客
05-14 577
IPSec(Internet Protocol Security)是一种用于在IP层提供安全通信的协议簇,它通过加密和认证确保数据在传输过程中的机密性和完整性。本文将详细解释这些协议的工作原理和它们在IPSec中的作用。IPSec是一种强大的网络安全协议簇,通过AHESPIKE协议提供数据加密、认证和密钥交换功能。AH使用哈希函数和密钥来生成一个消息认证码(MAC),确保数据在传输过程中未被篡改,并验证发送方的身份。与AH不同的是,ESP将加密后的数据放在一个新的IP数据包中,从而保护了数据内容。
IPSEC流程例子及两个阶段的协商过程详细介绍
tycoon的专栏
11-04 9455
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息.
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络,通过在数据包中插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
详解IP安全:IPSec协议簇 - AH协议 - ESP协议 - IKE协议
最新发布
xnxqwzy的博客
05-15 1653
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IKE 3
jianchaolv的专栏
08-24 2512
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
IPSec
weixin_60719780的博客
10-22 3401
第二阶段AH的传输模式和隧道模式
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
通过ike自动协商建立IPSec策略.docx
12-16
通过不同厂家设备之间的应用ike自动协商技术,描述ike在设备间是怎么去实现协商和实现ipsec安全策略技术的,并把在实现过程中所碰到的技术问题都加以说明和阐述,并附上解决方法。
ipsec.rar_IPSec IKE_ipsec_ipsec patch ixp425
09-14
关于linux下的一部分ipsec的资料,还有如何编译内核,及patch的一点基础资料
采用默认配置通过IKE协商方式建立IPSec隧道示例.zip
03-27
ensp采用默认配置通过IKE协商方式建立IPSec隧道示例
IPSecIKEv1和IKEv2协议
qq_43710889的博客
02-23 8166
IPSecIKEv1和IKEv2协议 IKE介绍 文章目录IPSecIKEv1和IKEv2协议IKE介绍IKEIPSec的关系IKEv1的三个模式主模式野蛮模式野蛮模式主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
IPsec VPN IKE方式协商密钥
qq_62449917的博客
05-10 1833
ipsecs 隧道两端的acl规则定义的协议类型要一致,如果一端是ip协议,另一端也必须是ip协议。对等体间匹配一条permit规则即匹配一个需要保护的数据流,则对应生成一对sa(安全联盟)没匹配的不会被保护。配置acl的原因是:1,通过acl(permit)指定需要ipsec保护的数据流,配置acl的原因是:1,通过acl(permit)指定需要ipsec保护的数据流,注意的要点:1,可以不配置安全策略直接放行ping但是不安全。sa的入方向:保护的报文将被解封装处理,没有保护的正常转发。
IKE协商
zljszn的博客
10-26 2727
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPSecIKEv1详解
sgslwms的博客
09-06 7910
模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段中的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
IPSec自动协商
qq_61759561的博客
10-19 506
【代码】IPSec自动协商
IPsec IKEv1 协商(预共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 4658
主模式(预共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
display ike sa
03-19
IKE(Internet Key Exchange)是一种用于建立和管理IPsec(Internet Protocol******IPsec连接所需的安全参数,包括加密算法、认证算法、密钥长度等。IKE SA的建立是通过IKE协议的两个阶段来完成的。 在第一阶段(IKE Phase 1)中,对等体之间进行身份验证,并协商建立一个安全的通信通道,该通道称为ISAKMP SA(Internet Security Association and Key Management Protocol Security Association)。ISAKMP SA用于保护IKE消息的机密性和完整性。 在第二阶段(IKE Phase 2)中,使用已建立的ISAKMP SA来协商和建立IPsec SA(IPsec Security Association)。IPsec SA用于保护实际的数据传输,包括加密和认证。 因此,display ike sa命令用于显示当前设备上已建立的IKE SA信息,包括对等体的身份、安全参数、SA状态等。这个命令可以帮助管理员了解当前设*** IKE协议有哪些阶段? 3. 什么是ISAKMP SA? 4. 什么是IPsec SA?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值