IKEv1主模式证书协商中对证书相关载荷的处理。

最新推荐文章于 2022-09-07 17:16:41 发布
最新推荐文章于 2022-09-07 17:16:41 发布
阅读量842 收藏
点赞数
分类专栏: strongswan 文章标签: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyeping/article/details/50233221
版权
认证方式为   RSA signatures 3 ---- RFC2409  中有描述

被动方先发送Certificate Request (7)报文,携带的Certificate Type:x.509 Certificate -Signature (4)
具体到代码流程
任务isakmp_cert_pre.c 、 isakmp_cert_post.c
this->state = CR_SA

第一条报文 : 主动方 cert_pre : build_i : 什么都不做,return NEED_MORE
                                       cert_post:   build_i : 什么都不做,return NEED_MORE
                      接收方 cert_pre : process_r : 发现使用证书,return NEED_MORE
                                 cert_post: process_r : 发现使用证书,return NEED_MORE
第二条报文 : 接收方   cert_pre :  build_r : 状态为CR_SA,直接设置状态,this->state = CR_KE,返回NEED_MORE
                                 cert_post: build_r: 状态为CR_SA,设置状态this->state = CR_KE,return NEED_MORE
                     主动方  cert_pre : process_i : 状态为CR_SA,发现要使用证书,this->state = CR_KE, return NEED_MORE
                                       cert_post : process_i : 状态为CR_SA,发现要使用证书,this->state = CR_KE,return NEED_MORE
第三条报文 : 主动方 cert_pre : build_i : 状态为CR_KE,什么都不做,return NEED_MORE
                                       cert_post : build_i : 状态为CR_KE, 什么都不做,return NEED_MORE
                     接收方 cert_pre : process_r : 状态为CR_KE,调用process_certreqs,这个时候由于报文里没有certreq载荷,因此什么都不处理,returnr NEED_MORE
                                cert_post : process_r : 状态为CR_KE,什么都不做,return NEED_MORE

第四条报文 : 接收方 cert_pre : build_r : 状态为CR_KE,this->send_req为真,build_certreqs,this->state = CR_AUTH, return NEED_MORE
                                cert_post : build_r : 状态为CR_KE,this->state = CR_AUTH,return NEED_MORE
                     主动方 cert_pre : process_i : 状态为CR_KE,process_certreqs,this->state = CR_AUTH
                                cert_post : process_i : 状态为CR_KE,this->state = CR_AUTH,return NEED_MORE

第五条报文 : 主动方 cert_pre : build_i : 状态为CR_AUTH,build_certreqs ,return NEED_MORE
                                       cert_post : build_i : 状态为 CR_AUTH build_certs ,return NEED_MORE
                     接收方 cert_pre : process_r : 状态为 CR_AUTH ,调用process_certreqs,处理certreq,process_certs处理证书 return SUCCESS   -- 任务销毁
                                cert_post : process_r : 状态为 CR_AUTH ,什么都不做,return NEED_MORE





第六条报文 : 接收方 cert_pre : build_r : 状态为 CR_AUTH ,return NEED_MORE  ----- 这个时候,应该已经没有此任务了,所以此场景不会走
                                cert_post : build_r : 状态为 CR_AUTH build_certs ,return SUCCESS -- 任务销毁
                     主动方 cert_pre : process_i : 状态为 CR_AUTH process_certs ,return SUCCESS -- 任务 销毁
                                cert_post : process_i : 状态为 CR_AUTH return SUCCESS -- 任务销毁

xingyeping
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RFC2409密钥交换协议IKE
06-19
RFC2409,internet密钥交换协议(IKE文翻译版。
strongswan libcharon sa
wq897387的专栏
03-30 822
# pwd strongswan/src/libcharon/sa # ls authenticator.c child_sa_manager.c ike_sa.h ike_sa_manager.h keymat.h shunt_manager.c task_manager.c xauth authenticator.h child_sa_manager.h ike_sa_id.c ikev1 redire...
SWAN测试用例botan/net2net-ed25519
redwingz的博客
10-28 832
本测试网关sun与网关moon之间建立安全连接,连通两个子网,认证使用包含Ed25519密钥的X.509证书。网关moon使用botan插件(strongswan-5.8.1/src/libstrongswan/plugins/botan/botan_x25519.c)完成所有的加密操作;而网关sun使用strongswan默认的加密插件。连接成功建立之后,在moon网关之后的主机alice上p...
[dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程
weixin_30689307的博客
03-25 1267
1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法。在包协商过程strongswan将字符串转换为固定的枚举值封在数据包里用于传输。 协商成功之后,这组被协商的枚举值会通过netlink接口以xfrm定义好的字符串形式,传递给内核,内核再将字符串转换成pfkey定义的枚举值,最终进行加密设置。 DPDK的话,也有其统一的一组枚举值的抽象。在调用不同的...
安全协议系列(五)---- IKE 与 IPSec(
weixin_30726161的博客
12-13 857
在上一篇,搭建好了实验环境。完整运行一次 IKE/IPSec 协议,收集相关的输出及抓包,就可以进行协议分析。分析过程,我们将使用 IKE 进程的屏幕输出和 Wireshark 抓包,结合相关 RFC,利用 python 进行验证计算。先看协议的一次完整运行(过滤掉无关报文,如下图) 下面是 RFC 5996 IKEv2 协议的规范说明 由上可知,IKEv2 协议由两个阶段的...
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
IKEV1协商过程及配置简介.docx
最新发布
04-27
5G通信行业、网络优化、通信工程建设资料。
激进模式下对IKEv1间人攻击分析 (2010年)
05-10
分析了对IKEv1的一种间人攻击方法,该方法基于IKEv1密钥交换在预共享密钥认证机制下的激进模式。实施间人攻击的步骤是首先利用IKEv1的离线口令穷举获取预共享密钥,获得预共享密钥后,把Diffie-Hellman(DH)间人...
IPSEC IKEV1报文分析与理解
11-08
IPSEC IKEV1报文分析与理解
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
华为防火墙基础自学系列 | IKE介绍
COCO_gsta的博客
09-07 1713
视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客A security association, more commonly referred to as an SA, is a basic building block of IPSec. An SA is an entry in the SA database (SAD
RFC文档目录 地址1
FreeXploiT
06-05 7881
RFC1 主机软件RFC2 主机软件 RFC3 文档规范 RFC4 网络时间表RFC6 与 Bob Kahn 会话RFC10 文档规范RFC13 零文本长度的EOF信息RFC16 M.I.T RFC18 IMP-IMP和主机-主机控制联接 RFC19_可用来降低有限交换节点阻塞的两条协议性的建议RFC20_用于网络交换的 ASCII 格式RFC21 网络会议RFC22 主机-主机控制信息格式RFC
IPsec传输模式出现的问题
qq_47529104的博客
04-11 776
据书所述,传输模式适合的场景仅仅是在主机与主机之间的IPsec的流量保护。一开始我还不大理解,知道现在就有些眉目了。看上图的这个实验场景,在左右两端的防火墙建立ipsec传输模式隧道,感兴趣流是内网主机的网段,那么会出现什么问题? 出现的问题 当左边的主机去ping右边的主机的地址的时候,会匹配上左边防火墙上IPsec的感兴趣流,那么这就会导致防火墙为其打上IPsec的加密首部,但是原目地址还是PC1和PC2,而不像隧道模式会根据隧道两端的IP地址为其打上新的IP首部。那么此时左边的防火墙FW1根..
IPSec之IKEv1详解
sgslwms的博客
09-06 7904
该模式使用IKEv1协商阶段1生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
HCIE-Security Day33:IPSec:深入学习ipsec ikev2、IKEV1IKEV2比较
小梁的博客
04-01 5327
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私密性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
HCIE-Security Day32:IPSec:深入学习ipsec ikev1主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4167
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSec IKE一阶段协商失败,报文提示INVALID-ID-INFORMATION(18)
沉默的鹏先生
05-26 6523
环境拓扑: FW1 --- internet --- FW2 环境配置: 双方野蛮模式协商,配置对等体ID。 问题: FW1收到FW2发送的请求后,返回的响应报文是Informational 报文: 原因: INVALID-ID-INFORMATION(18)指对端发送的加密算法或者认证算法或者对等体ID和本端的配置不一致。 ...
域通信数据报方式发送失败的原因分析
码夫的专栏
10-18 7786
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty
IKEv1协商第一阶段主模式协商过程不包含以下哪些信息? DH密钥交换公共信息 IPSec提议集 IKE提议集 双方身份信息
06-10
IKEv1协商第一阶段主模式协商过程,不包含IPSec提议集。这是因为第一阶段仅用于建立IKE安全关联(SA),并且需要协商的信息已经足够建立SA,所以此时不涉及到具体的加密算法和安全协议。在第一阶段主模式协商...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值