IKE介绍
IKE介紹
IKE負(fù)責(zé)在兩個(gè)IPSEC對(duì)等體間協(xié)商一條IPSEC遂道的協(xié)議;
?
?
IKE的包交換
?
第一二個(gè)包交換雙方IP地址,ISAKMP策略,
?????? 策略包括:1 AUTH:pre-share
????????????? 2 加密:3des
????????????? 3 hash:md5
????????????? 4 dhgroup:1,2,5
????????????? 5 時(shí)間:1天(時(shí)間不一樣也不通)
?????? 彼此NAT-T的支持的功能,如果此時(shí)的PEER不同,肯定失敗.
?
?
第三四個(gè)包交換公共值和隨機(jī)數(shù),發(fā)送方對(duì)源目IP和端口作HASH如果相同,則中間沒有NAT設(shè)備,如果不相同中間有NAT設(shè)備,需要開啟NAT-T
?
?
第一個(gè)是因式分解;第二個(gè)是離散對(duì)數(shù)
?
?
?
Xi和Xr是IKE第三4個(gè)包的交換
?
?
?
?
SKEYID_d=用于計(jì)算后續(xù)的IPSEC密鑰資源;階段2的實(shí)際加密密鑰由此衍生出來;如果開啟了PFS(完美轉(zhuǎn)發(fā)保密,保證兩個(gè)階段中的密鑰只能使用一次,但它會(huì)占用太多的資源)
SKEYID_a=提供IKE消息的數(shù)據(jù)完整性和認(rèn)證,數(shù)據(jù)和此K一塊做HASH
SKEYID_e=用于加密IKE消息;加密第一階段的56個(gè)包,和第二階段快速模式的3個(gè)包.
?
第五六個(gè)包用預(yù)共享密鑰實(shí)現(xiàn)對(duì)等體身份的驗(yàn)證.如果第一階段的密碼不正確,56個(gè)包肯定過不了,不斷的重傳反復(fù)交換.
?
轉(zhuǎn)載于:https://blog.51cto.com/sngyqd/624844
總結(jié)
- 上一篇: 概述VB.NET正则表达式简化程序代码
- 下一篇: 【技术贴】五分钟解决打开软件提示wind