本文深入探讨了IKE协议的第一阶段协商模式,对比了主模式与主动模式的特点、作用、区别及必要性,特别是针对IP地址变动情况下的应用与选择。
IKE 的协商模式
在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和主动模式(Aggressive Mode )。
主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了3 条消息的开销。
主动模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然主动模式存在一些功能限制,但可以满足某些特定的网络环境需求。例如:远程访问时,如果响应者(服务器端)无法预先知道发起者(终端用户)的地址、或者发起者的地址总在变化,而双方都希望采用预共享密钥验证方法来创建IKE SA,那么,不进行身份保护的主动模式就是唯一可行的交换方法;另外,如果发起者已知回应者的策略,采用主动模式也能够更快地创建IKE SA。
主动模式的作用:
对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用主动模式也能够更快地创建IKE SA。
ipsec下两种模式的区别:
1、主动模式协商比主模式协商更快。主模式需要交互6个消息,主动模式只需要交互3个消息。
2、主模式协商比主动模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而主动模式由于受到交换次数的限制,ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护,而主动模式则没有。
3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而主动模式是基于ID信息(主机名和IP地址)来确定预共享密钥。
主动模式的必要性:
在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和主动模式(Aggressive Mode )。
主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了3 条消息的开销。
主动模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然主动模式存在一些功能限制,但可以满足某些特定的网络环境需求。例如:远程访问时,如果响应者(服务器端)无法预先知道发起者(终端用户)的地址、或者发起者的地址总在变化,而双方都希望采用预共享密钥验证方法来创建IKE SA,那么,不进行身份保护的主动模式就是唯一可行的交换方法;另外,如果发起者已知回应者的策略,采用主动模式也能够更快地创建IKE SA。
主动模式的作用:
对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用主动模式也能够更快地创建IKE SA。
ipsec下两种模式的区别:
1、主动模式协商比主模式协商更快。主模式需要交互6个消息,主动模式只需要交互3个消息。
2、主模式协商比主动模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而主动模式由于受到交换次数的限制,ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护,而主动模式则没有。
3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而主动模式是基于ID信息(主机名和IP地址)来确定预共享密钥。
主动模式的必要性:
两边都是主机名的时候,就一定要用主动模式来协商,如果用主模式的话,就会出现根据源IP地址找不到预共享密钥的情况,以至于不能生成SKEYID。
1、因为主模式在交换完3、4消息以后,需要使用预共享密钥来计算SKEYID,但是由于双方的ID信息在消息5、6中才会被发送,此时主模式的设备只能使用消息3、4中的源IP地址来找到与其对应的预共享密钥;如果主模式采用主机名方式,主机名信息却包含在消息5、6中,而IPSEC双方又必须在消息5、6之前找到其相应的预共享密钥,所以就造成了矛盾。
2、在主动模式中,ID信息(IP地址或者主机名)在消息1、2中就已经发送了,对方可以根据ID信息查找到对应的预共享密钥,从而计算出SKEYID。
扫一扫
5554
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
