IPsec中IKE与ISAKMP过程分析(快速模式-消息1)

最新推荐文章于 2024-09-22 21:09:03 发布
最新推荐文章于 2024-09-22 21:09:03 发布
阅读量2.3k 收藏 5
点赞数 2
分类专栏: # 国密标准 # 密码应用协议 # 密码应用安全性评估 文章标签: 系统安全 网络安全 安全威胁分析 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ryanzzzzz/article/details/130458057
版权
文章详细分析了IPsec中IKE协议的主模式(第一阶段)和快速模式(第二阶段)的过程,包括不同消息的交互,如身份验证、密钥交换和安全策略协商。在主模式下,通过六个消息建立了ISAKMP安全联盟,而在快速模式下,利用已建立的安全联盟保护信息,协商IPsec安全策略和会话密钥。文中提到了HMAC用于确保消息完整性,并举例说明了快速模式下使用SM4-CBC加密的情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-优快云博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-优快云博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客-优快云博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息4)_搞搞搞高傲的博客-优快云博客

        IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)_搞搞搞高傲的博客-优快云博客

阶段目标过程消息
IKE第一阶段建立一个ISAKMP SA实现通信双发的身份鉴别和密钥交换,得到工作密钥

(1)HDR,SA

(2)HDR,SA,Cert_sig_r,Cert_enc_r

(3)HDR,XCHi,SIGi

(4)HDR,XCHr.SIGr

(5)HDR*,HASHi

(6)HDR*,HASHr

IKE第二阶段协商IPsec SA实现通信双方IPsec SA,得到ipsec安全策略和会话密钥

(1)HDR*,HASH(1),SA,Ni

(2)HDR*,HASH(2),SA,Nr

(3)HDR*,HASH(3)

         IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。

        在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。

        HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。

       在第二阶段变换载荷的变换ID定义如下,AH和ESP分开标识。

         变换载荷中各属性值的定义,密钥交换属性、封装模式属性和鉴别算法属性如下。

        快速模式消息1抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。

IKEIPSec详解
悦分享
08-11 5086
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式快速模式、dh算法、预共享密钥
小梁的博客
03-31 4462
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPsecIKEISAKMP过程分析快速模式-消息3)
ryanzzzzz的博客
05-01 1535
第二阶段消息3是IKE阶段最后一个消息,发送方给响应方发送一个杂凑载荷,用于对前面的交换进行鉴别。HDR之后是HASH数据结果,HASH = PRF(SKEYID_a,0|MsgID|Ni_b|Nr_b)。最后的会话密钥为KEYMAT = PRF(SKEYID_d, protocol | SPI | Ni_b | Nr_b),其中protocol和SPI从协商得到ISAKMP建议载荷中选取。
IPsec ISAKMP
weixin_33905756的博客
08-10 688
Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。 因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。SA 包括了各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服...
ENSP ipsec isakmp(自动)
weixin_57193107的博客
05-22 623
一共六步 自动isakmp 1.ike安全提议 2.ike对等体 3.定义安全流量 4.定义ipsec 安全提议 5.ipsec 安全策略 6.端口应用 先搭建好拓扑图然后配置ip [AR6]interface GigabitEthernet0/0/0 [AR6-GigabitEthernet0/0/0]ip add 100.1.1.1 30 [AR6-GigabitEthernet0/0/0]int GigabitEthernet0/0/01 [AR6-Gigabit...
IPSCE快速模式分析
weixin_34250434的博客
10-18 179
1.作用 在安全的环境中协商处理感兴趣流的策略。主要包括: (1)感兴趣流 (2)加密策略 (3)散列函数 (4)封装协议 (5)封装模式 (6)密钥的有效期 2.第一个包 发送方会把感兴趣流和相关的IPSEC策略发给对方,有对方选择合适的策略。 从上图可以看出模式快速模式,类型是HASH载荷,已经是安全环境了。 由于是加密的数据,所以在这里看不出具体的内容。 3.第...
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
结合配置、抓包来分析IKE/IPSec的整个协商过程
最新发布
网络之路Blog(其他平台同名)
09-22 1792
实际上在配置里面,只是配置了一个ike proposal 1,并没有定义详细的参数,但是这里博主说下,不管是思科、华三还是华为的设备,默认都会有一个内置的默认策略,当创建了一个porposal后,没有定义实际的配置,那么就会继承默认参数,但华为防火墙里面有一个更人性化的地方,它默认内置了一个default,并且加密认证算法都包含了几种不同强度在里面,这样的好处就是尽可能得简化用户的配置,实用默认的就可以直接建立。下一篇来进入一个正式的环境,来看看在部署了NAT安全策略后会遇到哪些问题。
IPSECIKE协商过程,主模式和野蛮模式,AH和ESP
热门推荐
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
IPsecIKE协商过程详解
Sallyyym的博客
01-20 1万+
ipsecIKE协商过程详解 IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a:用来为IKE消息保障数据的完整性以及对数据源的身份进行验证。 SKEYID_e:为后续的
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
×××中ipsecisakmp的实现(中)
weixin_34291004的博客
12-14 392
×××中ipsecisakmp的实现 说明:动态ipsec是通过isakmp的方法实现,是用户两端自动学习协商建立sa,无需手工建立。 注:由于实验条件有限,Internet有路由器代替模拟。 一、Fw-1的配置 [fw-1]inter eth0/0 [fw-1-Ethernet0/0]ip add 192.168.101.55 255...
ipsec技术isakmp(动态)应用
weixin_34337381的博客
12-14 446
IPSEC技术应用 isakmp模式 F1配置: [f1]inter eth0/0 [f1-Ethernet0/0]ip address 192.168.1.254 24 [f1-Ethernet0/0]loopback [f1-Ethernet0/0]inter eth0/1 [f1-Ethernet0/1]...
IPsec ISAKMP协议
weixin_34077371的博客
02-02 399
IPsec ISAKMP:Internet 安全连接和密钥管理协议(ISAKMP:Internet Security Association and Key Management Protocol)  Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需...
IPsecIKEISAKMP过程分析快速模式-消息2)
ryanzzzzz的博客
05-01 1281
第二阶段消息2消息1基本相同,主要区别是SA载荷中封装一个建议载荷用于确认。 消息2抓包数据如下,HDR是明文传输,之后从HASH结构开始均使用SM4-CBC加密(分组长度为16字节,密钥16字节),这里密文长度为144字节,即包含9个分组。
IPsecIKEISAKMP过程分析(主模式-消息1
ryanzzzzz的博客
04-29 5433
IPsec协议族中IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。
IPsecIKEISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1512
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IPsec ISAKMP-术语简介
weixin_34221073的博客
03-27 393
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有...
IPsec体系结构解析:IKE协议ISAKMP实现
"本文详细介绍了IPsec体系结构以及ISAKMP协议的实现流程,涉及IKE协议的两个阶段,包括主模式和野蛮模式的交换,以及ISAKMP报文的结构和各类载荷类型。" IPsec(Internet Protocol Security)是一种网络安全协议集...
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值