IPSEC ×××兩個階段的協商過程?

第一階段?

有主模式和積極模式2種?

注意!!!只有remote ***和Easy ***是積極模式的,其他都是用主模式來協商的 讓IKE對等體彼此驗證對方并確定會話密鑰,這個階段用DH進行密鑰交換,創建完IKE SA后,所有后續的協商都將通過加密和完整性檢查來保護?

phase 1幫助在對等體之間創建了一條安全通道,使后面的phase 2過程協商受到安全保護

第二階段?

快速模式?

協商IPSEC SA使用的安全參數,創建IPSEC SA,使用AH或ESP來加密IP數據流?

總結?

第一階段作用-----對等體之間彼此驗證對方,并協商出IKE SA,保護第二階段中IPSEC SA協商過程?

第二階段作用-----協商IPSEC 單向SA,為保護IPS數據流而創建

?

主模式協商?

IKE phase 1在IPSEC對等體間交換6條消息,這些消息的具體格式取決于使用的對等體認證方法?

一,使用預共享密鑰進行驗證的主模式(6條)?

協商過程使用ISAKMP消息格式來傳遞(UDP 500)

第一階段： ?

準備工作?

在前2條消息發送以前,發送者和接受者必須先計算出各自的cookie(可以防重放和DOS***),這些cookie用于標識每個單獨的協商交換消息?

cookie---RFC建議將源目IP,源目端口,本地生成的隨機數,日期和時間進行散列操作.cookie成為留在IKE協商中交換信息的唯一標識, 實際上cookie是用來防止DOS***的，它把和其他設備建立IPSEC所需要的連接信息不是以緩存的形式保存在路由器里，而是把這些信息HASH成個cookie值 ?

1&2消息?

消息1---發送方向對等體發送一條包含一組或多組策略提議,在策略提議中包括5元組(加密算法,散列算法,DH,認證方法,IKE SA壽命)?

消息2---接受方查看IKE策略消息,并嘗試在本地尋找與之匹配的策略,找到后,則有一條消息去回應?

注意!!!發起者會將它的所有策略發送給接受者,接受者則在自己的策略中尋找與之匹配的策略(對比順序從優先級號小的到大的)（默認策略實際就是個模版沒作用，如果認證只配置預共享的話，其他參數就會copy默認策略里的） ?

在1&2消息中報錯可能出現的原因?

1，peer路由不通?

2，crypto iskmp key沒有設置?

3，一階段的策略不匹配?

?

3&4消息?

這2條消息,用于交換DH的公開信息和隨機數?

兩個對等體根據DH的公開信息都算出了雙方相等的密植后,兩個nonce連通預共享密鑰生成第一個skeyID?

隨后便根據SKEY__ID來推算出其他幾個skeyID?

skeyID_d---用來協商出后續IPSEC SA加密使用的密鑰的?

skeyID_a---為后續的IKE消息協商以及IPSEC SA協商進行完整性檢查(HMAC中的密鑰)?

skeyID_e---為后續的IKE消息協商以及IPSEC SA協商進行加密

5&6消息?

這2條消息用于雙方彼此驗證,這個過程是受skeyID_e加密保護的?

為了正確生成密鑰,每一個對等體必須找到與對方相對應的預共享密鑰,當有許多對等體連接時,每一對對等體兩端都需要配置預共享密鑰,每一對等體都必須使用ISAKMP分組的源IP來查找與其對等體對應的預共享密鑰(此時由于ID還沒到,彼此先用HASH來彼此驗證對方)

HASH認證成分－－－SKEYID_a, cookieA, cookieB，preshare_key, SA paload,轉換集，策略 ?

在5&6消息中報錯可能出現的原因?

1，crypto iskmp key設置錯了 ?

消息6--接受者處理過程?

1,用skeyID_e對消息進行加密?

2,用ID(源IP)查找出與共享密鑰 3,skeyID_a和preshare-key等一堆東西一起來計算HASH 4,和收到的HASH做比較

第二階段(3條)?

phase 2的目標是協商IPSEC SA,而且只有一種模式,快速模式,快速模式的協商是受IKE SA保護的 ?

1&2消息?

消息1---發送方發送一條報文,其中包含HASH,IPSEC策略提議,NONCE和可選的DH,身份ID?

HASH:是用于給接受方作完整性檢查的,用于再次認證對等體(必須)HASH的成分和5－6階段一樣?

IPSEC策略提議:其中包括了安全協議,SPI,散列算法,隧道模式,IPSEC SA生命周期(必須)?

NONCE:用于防重放***,還被用作密碼生成的材料,僅當啟用PFS時用到 ID:描述IPSEC SA是為哪些地址,協議和端口建立的?

PFS(利用DH交換,可選):用了PFS后就會在第二階段重新DH出個數據加密KEY,這個KEY和以前IKE協商出來的KEY沒有任何關系,然后由這個新KEY來加密數據，只有到這個IPSEC SA的生命周期后,會再次DH出新的KEY,這樣,安全性就提高了（普通等ipec SA過期或密鑰超時時，重新生成的數據加密密鑰還是根據以階段DH出來的skeyID_d衍生出來的）（PFS啟用后，數據加密部分使用的密鑰就沒有了衍生的過程）?

DH:重新協商IPSEC SA實使用的密鑰(正常情況下IPSEC階段使用的密鑰都是由skeyID_d衍生而來,密鑰之間都有一定的關系,就算IPSEC SA超時,新的KEY還是和skeyID_d有一定的關系) ?

在1&2消息中報錯可能出現的原因 1，ipsec trasport不匹配 2，感興趣流不對稱 3，?

消息2---使用相同的消息進行相應 ?

3消息?

發送方發送第三條消息,其中包含一個HASH,其作用時確認接受方的消息以及證明發送方處于Active狀態(表示發送方的第一條消息不是偽造的)

轉載于:https://blog.51cto.com/xiaodanni83/1766190

總結

以上是生活随笔為你收集整理的IPSEC ***两个阶段的协商过程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。