IKE SA和IPSec SA的区别

最新推荐文章于 2023-04-21 21:23:45 发布
最新推荐文章于 2023-04-21 21:23:45 发布
阅读量3.7k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windyf2013/article/details/105135729
版权

刚接触IPSec的时候,一直很奇怪,为什么要做两阶段的协商?先协商出来一个IKE SA,然后再IKE SA的基础上协商出来一个IPSec SA。直接一步到位协商出IPSec SA不是很好吗?但是在实际应用中,直接协商IPSec SA就显得不是那么有效率了。打个比方,某公司A有个子公司B,为了方便子公司B的员工访问总公司A的内部数据,在双方的安全网关上部署VPN,使用IPSec进行数据加密。如果双方都使用IKEv1,而且只有一个协商阶段,直接协商出IPSec SA,那么每一次协商可能都需要6个Main Mode消息和3个Quick Mode消息。这样会产生大量的协商消息,降低了网络的利用率。而如果采用两阶段协商,只需要在网关间协商出一个IKE SA,然后用这个SA来为应用数据流协商IPSec SA,那么每个IPSec SA只需要一个Quick Mode即可。所以,两阶段的好处在于,可以通过第一阶段协商出IKE SA用作IPSec SA协商的载体,从而减少IPSec SA协商的开销。

那么IKE SA和IPSec SA的区别在哪儿呢?从定义上来看,IKE SA负责IPSec SA的建立和维护,起控制作用;IPSec SA负责具体的数据流加密。比如一个HTTP请求,可能最终需要用到IPSec SA定义的ESP协议和相关ESP加密算法。

IKE SA和IPSec SA协商的内容也是不一样的,如下:

1. IKEv1的IKE SA协商内容

参考:http://www.iana.org/assignments/ipsec-registry

a. 加密算法

b. 哈希算法

c. 认证方法 - 如证书认证、

最低0.47元/天 解锁文章
windyf2013
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IKEIPSec详解
悦分享
08-11 4460
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
IPSec竞赛题目
红客网络编程与渗透技术
05-05 1048
IPSec的实现方式不仅限于隧道模式,虽然隧道模式在保护不同网络之间的通信时非常有用,尤其是当通信必须经过中间的不受信任的网络时。而基于虚拟隧道接口的方式则需要在两端的IPsec设备创建一个虚拟的隧道接口,并通过配置以该Tunnel接口为出接口的静态路由,将到达某一个子网的数据流量通过IPSec隧道进行转发。此外,IPSec还有一些应用场景,如IPSec隧道嵌套技术、GRE over IPSec隧道、L2TP over IPSec隧道等,这些技术可以在不同的网络环境中提供安全的数据传输。
一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA
pz641的博客
03-10 1万+
IPSec工作在网络层,一般用于两个子网之间的通信。 IPSec主要分为两个环节 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥 第二环节使用IPSec安全策略和密钥对数据进行保护。 ...
IPsec IKE SAIPsec SA 写的比较清晰的一篇文章文章
鞋带儿
03-25 7898
终于明白是怎么回事了,困扰我好多天了。网上的资料鱼龙混杂,直到这位大虾的出现。 第一阶段 有主模式和积极模式2种 只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的 让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密合完整性检查来保护 phase 1帮助在对等体之间创建了一条安全通道
IPSecIKE原理
11-14
IPSec概述】 IPSec(IP Security)是Internet工程任务组(IETF)制定的一组标准,用于在IP网络上提供安全服务。它的主要目的是确保数据在网络...了解并正确实施IPSecIKE,对于构建和维护安全的网络环境至关重要。
ipsec模块研究
04-06
ipsec模块研究 ike sa racoon linux
wireshark1.12和IPSec详解
03-13
这可能涉及到IKE(Internet Key Exchange)密钥协商、ESP(Encapsulating Security Payload)和AH(Authentication Header)等IPSec组件的配置。 **IPSec详解** IPSec是网络层安全协议,主要由两部分组成:AH用于...
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9718
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
防火墙——IKEIPSec2)
m0_49864110的博客
05-17 8926
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
IKE协商
zljszn的博客
10-26 2768
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPSecIKEv1和IKEv2协议
qq_43710889的博客
02-23 8296
IPSecIKEv1和IKEv2协议 IKE介绍 文章目录IPSecIKEv1和IKEv2协议IKE介绍IKEIPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
IPSEC相关知识点
qq_58187222的博客
04-21 800
IKE(Internet Key Exchange)因特网密钥交换协议是*IPSEC的信令协议_,为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。IKE具有一套自保护机制,可以在不安全的网络上安全的分发密钥,验证身份,建立IPSEC安全联盟。的AH协议不支持NAT,ESP仅有隧道模式支持,传输模式不支持NAT,并且标准 的IKE SA的主模式是用IP地址作为身份ID的,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式。
大学生创业计划书(30)-两份资料.doc
最新发布
08-20
大学生创业计划书(30)-两份资料.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值