IPsec中IKE与ISAKMP过程分析(主模式-消息1)

这篇具有很好参考价值的文章主要介绍了IPsec中IKE与ISAKMP过程分析(主模式-消息1)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

        IPsec协议族中IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。

        GMT 0022-2014 IPSec VPN 技术规范 标准参考。

        ISAKMP,internet secrity assocaition and key management protocol, 互联网安全联盟和密钥管理协议定义了建立、协商、修改和删除安全联盟的过程和报文格式,并定义了交换密钥产生和鉴别数据的载荷格式。这些格式为传输密钥和鉴别信息提供了一致的框架。

        IKE,internet key exchange,密钥交换协议则定义了协商、建立、删除安全联盟的过程和报文格式。具体协议报文使用UDP 500或4500端口传输。

        IPsec IKE包括二个阶段,第一阶段主模式和第二阶段快速模式。

阶段 目标 过程 消息
IKE第一阶段 建立一个ISAKMP SA 实现通信双发的身份鉴别和密钥交换,得到工作密钥

(1)HDR,SA

(2)HDR,SA,Cert_sig_r,Cert_enc_r

(3)HDR,XCHi,SIGi

(4)HDR,XCHr.SIGr

(5)HDR*,HASHi

(6)HDR*,HASHr

IKE第二阶段 协商IPsec SA 实现通信双方IPsec SA,得到ipsec安全策略和会话密钥

(1)HDR*,HASH(1),SA,Ni

(2)HDR*,HASH(2),SA,Nr

(3)HDR*,HASH(3)

        阶段一消息1,由发起方到响应方(明文发送)。消息中包含有:HDR(一个ISAKMP头)和SA(建议载荷的安全联盟载荷,建议载荷中封装有变换载荷)。数据格式如下,发起方和响应方cookie都是随机生成,这里交换类型为身份保护类型即主模式取值为2。

        SA中建议载荷是发起方告知响应方它优先选择的安全协议以及希望协商中的SA采用的相关安全机制。变换载荷则是发起发告知响应方为一个具体的协议(AH或者ESP)提供不同的安全机制。

    IPsec中IKE与ISAKMP过程分析(主模式-消息1)

         下面按照这个抓包实例说明。

        (1)HDR头中:发起发SPI随机数,响应方SPI当前为0(等待响应方赋值),下一个载荷是SA,交换类型是主模式。

        (2)SA载荷中:下一个载荷是Vendor ID(若为0则表示后面没有载荷),SA的载荷类型为Proposal,协议是ISAKMP,封装有3个变换载荷proposal transform。

IPsec中IKE与ISAKMP过程分析(主模式-消息1)

        (3)变换载荷#0,生命周期86400秒=24小时,加密算法SM4(129),杂凑算法SM3(20),公钥数字信封鉴别方式DE(10),公钥算法SM2(2)-这里wireshark并没有将t=20解释为“非对称算法类型”,但并不影响协议过程。后面的#1和#2,相同方法分析,不再重复。IPsec中IKE与ISAKMP过程分析(主模式-消息1)

         IKE支持下一个载荷类型见下方的列表。

IPsec中IKE与ISAKMP过程分析(主模式-消息1)

         变换载荷中,IKE attribute的取值定义如下。

        IPsec中IKE与ISAKMP过程分析(主模式-消息1)

         响应方在收到发起方消息1后,会发送消息2(如下抓包),这次时间有限,下次再具体来说。

IPsec中IKE与ISAKMP过程分析(主模式-消息1)文章来源地址https://www.toymoban.com/news/detail-432198.html

到了这里,关于IPsec中IKE与ISAKMP过程分析(主模式-消息1)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析

    6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析 利用Wireshark捕获网页访问过程中产生的应用协议报文,还原Web服务中报文的交互过程,为了防止网页直接从本地缓存中获取,我们首先需要清空浏览器保存的历史记录或者数据,具体操作步骤如下 清空浏览器保

    2024年02月16日
    浏览(50)
  • 网络安全协议之IPSec协议

    IPSec即IP安全协议 网络层在传输的时候可能会遭到攻击,这时我们需要用IPSec协议来进行保护 就像使用SSL协议来保护传输层一样 IPSec经常用于建立虚拟专用网络(VPN),它通过对IP数据包进行加密和认证,来提供两台计算机之间的安全加密通信 1. AH只提供认证和完整性保护,不

    2024年02月12日
    浏览(37)
  • 网络协议 — IPSec 安全隧道协议族

    2024年02月06日
    浏览(60)
  • 5.2 IPSec之二----安全协议

    1、安全协议 认证头AH协议只提供认证服务 封装安全荷载协议ESP提供认证和加密两种服务 认证服务是可选的,加密服务必须实现   2、认证头协议AH 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部

    2024年02月07日
    浏览(35)
  • IPsec、安全关联、网络层安全协议

    ·IP 几乎不具备任何安全性, 不能保证 :         1.数据机密性         2.数据完整性         3.数据来源认证 ·由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的 IP 数据报。 · IPsec 提供了标准、健壮且包含广泛的机

    2024年02月19日
    浏览(49)
  • 网际层的安全协议——IPSec

    1. IPSec概述 旨在网际层实现IP分组端到端的安全传输 实际是一个协议包,由一组安全协议组成(包括AH、ESP、SA和IKE等) 序号 协议 功能 1 SA (Security Association) 用于描述双方 如何 安全地通信 2 AH (Authentication Header) 实现数据完整性检测 3 ESP (Encapsulating Security Payload) 实现

    2024年02月11日
    浏览(42)
  • IPsec (主模式,野蛮模式)

    客户需求: R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问 #配置ip地址 #创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段 #创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据 私网之间可以互通 查看ike 的安全联盟 ipsec的安全联盟 重启ipsec进程 Reset ipsce sa Reset ike sa 客户需

    2024年02月08日
    浏览(32)
  • IPsec_SSL VPN身份鉴别过程简要

    一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》) IKE第一阶段(主模式) “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和加密证书。此消息用明文传输,所以通过wireshark等协议分析工具可以详细看到消息

    2024年02月07日
    浏览(62)
  • 网络安全——网络层IPSec安全协议(4)

    作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录 前言 一.IPSec安全协议 1.IPSec提供的安全服务 2.IPSec结构 3.IPSce提供的两种机制 二.Authentication Header 协议 1. Authentication Heade

    2024年02月03日
    浏览(39)
  • 第五章 ip层安全协议——IPsec(郑大网安自用)

    提供如下3种服务: 数据完整性验证 通过哈希函数(如MD5)产生的校验来保证 数据源身份认证 通过在计算验证码时加入一个共享密钥来实现 防重放攻击 AH报头中的序列号可以防止重放攻击 格式、封装:…… 运行模式 传输模式 AH插入到IP首部(包括IP选项字段)之后、传输层

    2024年02月19日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包