IPsec-IKE-SA-和--IPsec-SA-写的比较清晰的一篇文章文章
摘要:终于明白是怎么回事了,困扰我好多天了。网上的资料鱼龙混杂,直到这位大虾的出现。第一阶段有主模式和积极模式2种只有remotevpn和Easyvpn是积极模式的,其他都是用主模式来协商的让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKESA后,所有后续的协商都将通过加密合完整性检查来保护phase1帮助在对等体之间创建了一条安全通道,使后面的phase2过程协商受到安全保护第二阶段快速模式协商IPSECSA使用的安全参数,创建IPSECSA,使用AH或ESP来加密IP数据流第一阶段详细过程主模式协商IKEphase1在IPSEC对等体间交换6条消息,这些消息的具体格式取决于使用的对等体认证方法一,使用预共享密钥进行验证的主模式(6条)协商过程使用ISAKMP消息格式来传递(UDP500)第一阶段准备工作在前2条消息发送以前,发送者和接受者必须先计算出各自的cookie(可以防重放和DOS攻击),这些cookie用于标识每个单独的协商交换消息cookie---RFC建议将源目IP,源目端口,本地生成的随机数,日期和时间进行散列操作.cookie成为留在IKE协商中交换信息的唯一标识,实际上cookie是用来防止DOS攻击的,它把和其他设备建立IPSEC所需要的连接信息不是以缓存的形式保存在路由器里,而是把这些信息HASH成个cookie值1&2消息消息1---发送方向对等体发送一条包含一组或多组策略提议,在策略提议中包括5元组(加密算法,散列算法,DH,认证方法,IKESA寿命)1.策略协商,在这一步中,就四个强制性参数值进
温馨提示:当前文档最多只能预览
5 页,若文档总页数超出了
5 页,请下载原文档以浏览全部内容。
本文档由 匿名用户 于 2022-07-14 23:10:11上传分享