?IKE协议:包含三个协议的主要功能,用来完成之一阶段的自动协商加密算法、散列算法和设备身份认证;包含协商参数;产生KEY、交换KEY、更新KEY;对双方进行身份认证;对密钥进行管理;组成协议如下:
1.ISAKMP;定义了信息交换的体系结构/格式;基于UDP , 源目端口都是500
2.SKEME;实现公钥加密认证的机制
3.Oakley;提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制
?安全联盟SA:指的一组对等体之间用来保护流量手段的 ***,定义了IPSec通信对等体间使用的数据封装模式、认证和加密算法、密钥等参数;SA是单向的,两个对等体之间的双向通信至少需要两个SA,如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA 。SA由一个三元组来唯一标识 , 包括安全参数索引SPI、目的IP地址、安全协议 。
?IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA,动态协商方式建立安全联盟相对简单些;对于中、大型的动态 *** 环境中 , 推荐使用IKE协商建立SA 。
?AH协议:认证报头,协议号51;用来完成第二阶段提供的功能是数据源验证、数据完整性校验和防报文重放功能;AH可以对整个数据包做认证然而AH并不加密所保护的数据 。
?ESP协议:安全封装载荷,协议号50;用来完成第二阶段提供的功能是数据源验证、数据完整性校验和防报文重放功能;能提供AH的所有功能外,还可提供对数据的加密功能 。
IPsec工作过程:
?之一阶段:协商如何保护流量,协商加密算法、散列算法,使用哪个DH组、协商SA生存周期、协商设备认证方式;通过DH算法交互密钥,密钥供加密算法使用保护连接,此时形成一条双向SA;为了确保两个设备之间避免出现伪装者 , 在做IPsec的时候需要进行设备认证 。
-预共享密钥(实验室环境中使用,不够安全)
-RSA加密的随机数(使用很少)
-RSA数字证书/签名(CA颁发的证书,使用范围较广)
【密钥更新周期 密钥更新周期什么意思】之一阶段协商的具体内容:
1、 协商对等体之间采用何种方式做认证;预共享密钥/RSA加密的随机数/证书
2、 协商双方使用何种加密算法;AES/RSA/ECC
3、 协商双方使用何种散列算法;HMAC/MD5/SHA
4、 协商双方使用何种DH密钥组
5、 协商双方使用何种模式;主模式/野蛮模式
6、 协商SA的生存周期
之一阶段有两种工作模式:主模式和野蛮模式;
主模式:在三次交换中总共用到了六条消息,最终建立了SA;
主模式的好处:设备验证的步骤发生在安全的管理连接中 , 因为这个连接是在前两个步骤中构建的,因此,两个对等体需要发送给对方的任何实体信息都可以免受攻击;Site-to-Site VPN默认使用主模式 。
野蛮模式(积极模式):对于两端IP地址不是固定的情况(如ADSL拨号上网) , 并且双方都希望采用预共享密钥验证 *** 来创建IKE SA , 就需要采用野蛮模式 。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA 。
注:使用Remote-Access VPN时就一定要用野蛮模式来协商,如果用主模式的话,就会出现根据源IP地址找不到预共享密钥的情况,以至于不能生成SKEY_ID 。
两种模式的区别:
推荐阅读
- 元素周期表第七周期排满了吗?
- 如何屏蔽苹果手机更新系统?
- 持续更新中 三江社区新冠疫苗接种通知
- 持续更新中 绵阳新冠疫苗接种地点汇总
- 持续更新中 绵阳西山社区卫生服务中心到苗通知
- 元素周期表的族怎么分 元素周期表16个族分别是什么
- 持续更新 佛山吸入式新冠疫苗最新消息
- 如何判断原子半径大小 元素周期表中如何判断原子半径大小
- 和平精英更新不了怎么办呢? 和平精英更新不了怎么办呢苹果
- ios16.1beta4更新了啥ios16.1beta4更新内容功能介绍