IPsec_SSL VPN身份鉴别过程简要

这篇具有很好参考价值的文章主要介绍了IPsec_SSL VPN身份鉴别过程简要。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》)

IKE第一阶段(主模式)

  • “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和加密证书。此消息用明文传输,所以通过wireshark等协议分析工具可以详细看到消息内容,签名证书和加密证书都可导出。

IPsec_SSL VPN身份鉴别过程简要,# 密评实践,# 密码应用协议,# 国密标准,ssl,IPsec,安全

  • “消息3”由发起方发出,此时发起方已经具备响应方加密证书,开始使用数字信封加密传递密钥交换参数(用响应方加密证书中的公钥加密临时对称密钥Ski,再用Ski加密Ni和IDi),同时用明文发送本方签名证书和加密证书,并附上签名以供身份鉴别使用

IPsec_SSL VPN身份鉴别过程简要,# 密评实践,# 密码应用协议,# 国密标准,ssl,IPsec,安全

  • “消息4”由响应方发出,这里要注意的是响应方在接收到“消息3”后必须使用加密证书对应的私钥才能解开其中的数字信封从而获得密钥参数,这个过程也可以认为是发起方对响应方的身份鉴别。另外,在“消息3”中还包含有发起方的签名,响应方使用消息中一起发送过来的签名证书对该签名进行验签,这个过程是响应方对发起方的身份鉴别。“消息4”与”消息3”结构相似,也是用数字信封传递密钥交换参数(用发起方加密证书中的公钥加密临时对称密钥Skr,再用Skr加密Nr和IDr),之后也附上本方签名。至此双方的身份鉴别基本完成,在“消息5”和“消息6”中双方会对密钥交换信息分别做一致性确认。

IPsec_SSL VPN身份鉴别过程简要,# 密评实践,# 密码应用协议,# 国密标准,ssl,IPsec,安全

综上,IPsec VPN通道建立过程中身份鉴别主要使用签名证书,也有加密证书的参与

二、SSL VPN身份鉴别(参考国密标准《GMT 0024-2014 SSL VPN技术规范》)

SSL 握手协议(身份鉴别,安全参数协商)(注意以下*标识消息只在双向身份鉴别时出现)

  1. 服务端发送“Certificate消息”,其中包含服务端签名证书和加密证书。
  2. 服务端随即发送“Server Key Exchange消息”,在这里会使用服务端签名私钥对双方随机数和服务端加密证书进行签名。(客户端也就是通过服务端签名证书对这个签名来验证从而完成对服务端的身份鉴别)
  3. 服务端发送“*Certificate Request消息”,消息中包含要求客户端提供的证书类型列表。
  4. 服务端发送“Server Hello Done”,表示握手过程的Hello阶段结束。
  5. 客户端接收到以上消息后,需要验证服务端证书是否有效并验签完成服务端身份鉴别
  6. 客户端按“*Certificate Request消息”的要求,发送“*Certificate消息”(包含明文的签名证书和加密证书)。
  7. 客户端发送“Client Key Exchange消息”,这个消息主要包含预主密钥,该密钥由客户端产生,采用服务端的加密证书进行加密后发送给服务端
  8. 客户端发送“*Certificate Verify消息”,这个消息用于服务端鉴别客户端是否为签名证书的合法持有者。具体做法是:客户端使用sm3_hash计算自客户端hello消息开始直到本消息为止(不包括本消息)的所有握手相关消息的内容,然后使用客户端的签名私钥签名,服务端收到本消息后使用客户端签名证书验签。

综上,SSL VPN通道建立过程中身份鉴别主要使用签名证书,也有加密证书的参与文章来源地址https://www.toymoban.com/news/detail-729906.html

到了这里,关于IPsec_SSL VPN身份鉴别过程简要的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全防御 IPsec VPN

    目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 4.VPN技术有哪些分类? 5.IPsec技术能够提供哪些安全服务? 6.IPsec的技术架构是什么? 7.AH与ESP封装的异同? 8.IKE的作用是什么? 9.详细说明

    2024年02月08日
    浏览(44)
  • 解释SSL/TLS握手过程&如何设计一个安全的Web应用身份验证机制

    一、请解释SSL/TLS握手过程 SSL/TLS握手过程是实现安全通信的关键步骤,它确保了通信双方能够建立一个加密且可信赖的连接。以下是SSL/TLS握手过程的主要步骤: ClientHello :客户端向服务器发送一个起始握手消息,这个消息包含支持的SSL/TLS版本号、加密套件候选列表以及一个

    2024年04月10日
    浏览(40)
  • 华为IPSec VPN的配置

    目录 概念 阶段一 阶段二 IPSec的配置实验  先进行基配置,保证路由可达  配置阶段一 配置ike提案 配置ike邻居 配置阶段二 定义感兴趣流 把ipsec策略应用到接口 结果测试 IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及

    2024年02月08日
    浏览(44)
  • IPSec VPN原理与配置

    目录 一、实验原理 ipsec vpn的目的 ipsec vpn的原理 二、  IPSec VPN概念 1、什么是IPSec 2、IPSec架构 3、SA  (Security Association,安全联盟) 4、  IPSec协议封装模式 三、实验操作 四、实验配置 1、项目要求: 一、路由器RTA  1、更改路由器名字,配置端口ip,配置静态路由,实现网络

    2024年02月15日
    浏览(32)
  • IPsec VPN之安全联盟

    IPsec在两个端点建立安全通信,此时这两个端点被称为IPsec对等体。安全联盟,即SA,是指通信对等体之间对某些要素的约定,定义了两个对等体之间要用何种安全协议、IP报文的封装方式、加密和验证算法。 SA是IPsec的基础,也是其本质。对等体之间通过IPsec安全传输数据的前

    2024年04月17日
    浏览(57)
  • 安全防御之IPsec VPN篇

    目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 4.VPN技术有哪些分类? 5.IPsec技术能够提供哪些安全服务? 6.IPsec的技术架构是什么? 7.AH与ESP封装的异同? 8.IKE的作用是什么? 9.详细说明

    2024年02月08日
    浏览(54)
  • 华为路由器 IPSec VPN 配置

    需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一、首先完成网络配置 1、R1 路由器设置 2、R2路由器设置 3、测试  PC1能访问 R2 的外网地址 PC2能访问 R1 的外网地址 PC1 不能访问 PC2,反之也是 上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配

    2024年02月09日
    浏览(46)
  • 防火墙Ipsec vpn的配置

    拓补图 1.  IP地址的配置,略 2. 路由的配置 [FW1]ip route-static  0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 100.1.2.1 3. 防火墙划分区域 [FW1]firewall zone trust  [FW1-zone-trust]add interface  g1/0/0 [FW1-zone-trust]add interface g1/0/2 [FW1]firewall zone  untrust [FW1-zone-untrust]add interface  g1/0/1 [FW2]firewall zone  

    2024年02月08日
    浏览(36)
  • IPSEC VPN安全介绍以及相关实验

    目录 一、IPSEC相关的安全服务          二、IPSEC的安全协议 三、实验 IPSEC一组协议集合,用于确保在IP网络上进行通信时的安全性和保密性。它提供了一种标准化的方法,用于对IP数据包进行加密、身份验证和完整性保护。IPSEC通常用于建立虚拟私人网络VPN连接,但也可用

    2024年03月10日
    浏览(35)
  • 【华为】IPsec VPN 实验配置(地址固定)

    因为本篇文章,就是IPsec的实验配置的话,它们 两端的IP地址是固定 的 那么就用第一阶段的主模式(Main Mode) 和第二阶段的快速模式(Quick Mode)就好啦 后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦 R1为企业总部网关,R3为企

    2024年01月23日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包