2. 互联网密钥交换协议 IKE
互联网密钥交换协议 IKE(Internet Key Exchange),对建立 IPSec的双方进行认证(需要预先协商认证方式);通过密钥交换,产生用于加密和 HMAC 的随机密钥;协商协议参数(加密协议、散列函数、封装协议、封装模式和密钥有效期)。协商完成后的结果就叫做安全关联(SA)。SA 一共有两种类型,IKE SA,ipsec SA。
一. IKE组成
SKEME(安全密钥交换机制):主要使用DH来实现密钥交换。
Oakley:决定了IPSec的框架设计,让IPSec能够支持更多的协议。
ISAKMP: IKE的本质协议,它决定了IKE协商包的封装格式,交换过程和模式的切换。
二. 两个阶段
- 第一阶段协商
对建立IPSec的双方进行认证,以确保对等体的合法性。
主要任务:相互认证
第一阶段完成,不仅表示收发双方认证通过,并且还会建立一个双向的 ISAKMP/IKE SA, 这个 SA 维护了处理 ISAKMP/IKE 流量的相关策略,而对等体双方还会继续使用这个 SA,来安全保护后续第二阶段的 IKE 快速模式1-3包交换。
(1)主模式 IKE 1-2包交换
加密策略
散列函数
DH 组
认证方式
密钥有效期
(2)主模式 IKE 3-4包交换
密钥交互
使用DH产生
密码学(二战),g和p较大时,已知a求A CPU计算速度很快,已知A求a几乎不可能,g和p的由1-2包交换的DH组大小决定
DH详解:
发起方首先随机产生g、p、a,用离散对数函数计算得出A。把 g、p、A 发送给接收方。
接收方收到后,随机产生b,使用接收到的g和p,用离散对数函数计算得到 B。然后把 B 回送给发起方。
接收方通过 A^b mod p 得到的结果, 等于发起方通过 B^a mod p 计算得到的结果,也等于 g^ab mod p。
通过 DH 算法得到了一个共享秘密 g^ab mod p。
(3)主模式数据包 5-6交换
在安全的环境下进行认证:预共享密钥认证,证书认证,RSA加密随机数认证。
第5-6包开始往后,都使用IKE 1-2包交换所协商的加密与HMAC算法进行安全保护
具体流程:
二. 第二阶段协商
- 快速模式 1-3包交换
(1)在安全的环境下,基于感兴趣流协商处理其IPSec的策略
感兴趣流
加密策略
散列函数
封装协议
封装模式
密钥有效期
(2)策略协商完毕以后就会产生相应的 IPSec SA
- 主要任务
基于具体的感兴趣流来协商相应的 IPSec SA,IKE 快速模 式交换的三个数据包都得到了安全保护(加密、完整性校验和源认证)
2. 互联网密钥交换协议 IKE相关推荐
- [RFC5996 翻译二] IKEv2 互联网密钥交换协议版本2
rfc5996 (ietf.org) 接上篇blog (59条消息) [RFC5996 翻译一] IKEv2 互联网密钥交换协议版本2_羊羊洒洒_Blog的博客-CSDN博客 3.15.配置负载 Co ...
- [RFC5996 翻译一] IKEv2 互联网密钥交换协议版本2
rfc5996 (ietf.org) 本文档介绍了 Internet 密钥交换 (IKE) 协议的第 2 版. IKE 是 IPsec 的一个组件,用于执行相互身份验证以及建立和维护安全关联 (SA) ...
- 《商用密码应用与安全性评估》第一章密码基础知识1.6密钥交换协议
密码协议是指两个或者两个以上参与者使用密码算法时,为了达到加密保护或安全认证目的而约定的交互规则. 密钥交换协议 公钥密码出现之前,密钥交换很不方便,公钥密码可以在不安 ...
- 密钥交换协议之IKEv2
1. IKEv2 1.1 IKEv2简介 IKEv2(Internet Key Exchange Version 2,互联网密钥交换协议第 2 版)是第 1 版本的 IKE 协议(本文简称 IKEv1 ...
- Diffie-Hellman密钥交换协议
Diffie-Hellman密钥交换协议 在对称加密体系中,双方要协商秘钥,Diffle-Hellman用于密钥协商,是基于离散对数困难问题的,但是他有可能遭受到中间人攻击.
- 【线上分享】下一代互联网通讯协议:QUIC
随着互联网的发展,出现了越来越多的应用场景如短视频和直播,用户对网络时延.交互体验.数据隐私的要求也越来越高.TCP协议自 1983 年诞生之后,成为当今互联网的基石,然而 TCP 在弱网.丢包率较高 ...
- 互联网打印机协议IPP分析
wireshark抓取数据包分析,并解析出打印文件名.文件.IP端口.用户名: 一.协议说明 互联网打印协议(IPP:InternetPrintingProtocol)是一个在互联网上打印的标准网络协 ...
- ipx互联网分组交换协议_什么是X.25分组交换网络协议?
ipx互联网分组交换协议 X.25 is a packet-switched network technology used long before ago. X.25 is one of the f ...
- GMSSL :SM2椭圆曲线公钥密码算法-密钥交换协议
2021SC@SDUSC 目录 一.整体架构 二.具体分析 前一篇文章写了密钥交换协议的基本流程,这一篇文章看一下代码实现 一.整体架构 整体来看这一部分有6个函数,相对重要的是序号3,4代表的函数 ...
最新文章
- python使用正则表达式判别用户输入密码的强弱并提示
- 报错解决:RequestsDependencyWarning: urllib3 (1.24.3) or chardet (3.0.4) doesn't match a supported versio
- 苹果要为app store速度奇慢付出代价
- 再译《A *路径搜索入门》之二
- 数学沉思录:古今数学思想的发展与演变 (Mario Livio 著)
- make INSTALL_MOD_PATH=path_dir modules_install
- 避免服务器成为肉鸡的应对措施
- android camera API1调用camera HAL3流程学习总结
- 公交一卡通交通卡iphone“钱包”已有此卡无法添加的解决办法
- 上海亚商投顾 早餐FM/0822新能源汽车免征购置税政策延期
- 为你的域名添加子域名(二级域名)并绑定网站
- android百度地图poi路线规划,百度地图开发之poi检索,线路规划(示例代码)
- php 国家地区码,有没有一种简单的方法可以从PHP的国家/地区代码中获取语言代码 - php...
- cat /etc/sysconfig/network-scripts/ifcfg-ens33
- 2014人人校招 笔试总结
- c语言运行不显示图片,为何加载烟花就换了一句,将图片加载进资源,结果运行中烟花不显示...
- php 许愿墙 阶段案例_许愿墙代码
- 【zz】dpdk全面分析
- PPG创业元老:美国战略只是烟雾弹 VC有苦难言
- SecureCRT 5.2.2版本下载和注册码