IPsec之IKE协商过程详解

2023-10-27 19:48
文章标签 详解 过程 ipsec 协商 ike

本文主要是介绍IPsec之IKE协商过程详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

IPsec之IKE协商过程详解
IKE第一阶段

IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。

IKE协商第一阶段,参与通信的双方会生成4个秘密:

SKEYID:后续三个都建立在它的基础上,由它推算出。

SKEYID_d:用于为ipsec衍生出加密的材料。

SKEYID_a:用来为IKE消息保障数据的完整性以及对数据源的身份进行验证。

SKEYID_e:为后续的IKE协商及IPSEC SA协商进行加密。

SKEYID的生成取决于使用哪种验证算法,常用的有
1)预共享密钥
2)证书(数字签名)

主模式采用三次交换,共交换6条信息

在消息发送之前,协商发起者和响应者必须计算产生cookie,用于唯一标识每个单独的协商交换,cookie使用源/目的ip地址、随机数字、日期和时间进行MD5计算得出,并且会被放入消息1的ISAKMP头中,用于标识一个单独的协商交换。

预共享密钥

1)消息1和消息2:策略协商,交换双方的cookie和SA载荷。

消息1:协商发起者在SA载荷中携带协商IKE SA的各项参数(5元组),包括IKE的散列类型、加密算法、认证方法、DH组、SA存活期。

消息2:响应者查看IKE策略消息,在本地寻找与之匹配的策略,找到后发回一条消息去响应。

第一次交换后,通信双方生成用于产生DH共享密钥的DH值。生成方法是双方各自使用一个随机数字,通过DH算法对随机数字进行计算得出一个DH值Xa和Xb,然后双方再根据DH算法各得出一个伪随机值值Ni和Nr。

2)消息3和消息4:DH交换和伪随机值nonce交换

这一过程中,双方交换Xa和Xb,并通过交换所得的对方的DH值(Xa或Xb)与自己计算的随机值(Ni或Nr)进行运算就可以得到一个只有双方知道的共享秘密。

此共享秘密并不进行传输,传输的是DH值,即使被第三方截获了也无法计算出共享秘密。

第二次交换后,生成密钥SKEYID,SKEYID_d,SKEYID_a,SKEYID_e所需的各种材料都已被交换或计算出来,就可以得出这些密钥。

3)消息5和消息6:双方身份验证

第三次交换对标识载荷和散列载荷进行交换,标识载荷包含了发起者的标识信息,IP地址或者主机名(根据IP可以采用主模式或野蛮模式,如果是主机名则只能采用野蛮模式)。散列载荷包含对上一过程中产生的三组密钥进行hash运算得出的值。这两个载荷使用SKEYID_e进行加密。交换后如果双方散列载荷中的hash值相同,那么双方认证成功。IKE第一阶段主模式共享密钥方式交换也就完成了。

证书(数字签名)

如果是采用证书认证方式,不同的是SKEYID的计算公式和第三阶段的交换方式。下面说一下主模式第三次交换中消息负载的发送:

证书方式下第三次交换的消息比预共享密钥的消息多两个载荷:

签名载荷:使用自己的私钥加密部分消息的hash值,然后使用SKEYID_e加密发送给对方;

证书载荷:将自己的证书使用SKEYID_e加密后发送给对方。

野蛮模式仅交换3个消息

野蛮模式协商过程中,第1条消息发起者发送5元组,DH公共值(上文中的Xa或Xb),随机值nonce(上文中的Ni或Nr)以及身份资料。第2条消息响应者回应一个选定的5元组,DH公共值,nonce,身份材料以及一个验证载荷:对于预共享密钥来说是一个散列载荷,对于证书认证来说是一个签名载荷。第3条消息发起者发送一个验证载荷。

主模式和野蛮模式对比

野蛮模式由于在第一个消息中就携带了身份信息,本身无法对此进行保护,降低了协商的安全性,但也因此使其不依赖于ip地址身份标识,有了更多的灵活应用。

1)对等体标识:主模式只能采用ip地址方式标识对等体,而野蛮模式可以采用ip地址或name;

2)NAT支持:主模式不支持NAT转换,野蛮模式支持。

3)野蛮模式传输的消息少,效率更高。

IKE第二阶段

无论第一阶段采用哪种模式,其目的都是进行身份认证并为第二阶段的交换提供保护。第二阶段的目的是生成ipsec SA.采用快速模式,交换3个消息。

快速模式使用SKEYID_a保障数据的完整性以及对数据源的身份进行验证;使用SKEYID_e整个协商过程进行加密。需要协商出SA的各项特征。快速模式需要从SKEYID_d中衍生出用于生成ipsec SA的密钥。

这篇关于IPsec之IKE协商过程详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/287965

相关文章

Python ZIP文件操作技巧详解

《PythonZIP文件操作技巧详解》在数据处理和系统开发中,ZIP文件操作是开发者必须掌握的核心技能,Python标准库提供的zipfile模块以简洁的API和跨平台特性,成为处理ZIP文件的首选... 目录一、ZIP文件操作基础三板斧1.1 创建压缩包1.2 解压操作1.3 文件遍历与信息获取二、进阶技

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-

Java中的@SneakyThrows注解用法详解

《Java中的@SneakyThrows注解用法详解》:本文主要介绍Java中的@SneakyThrows注解用法的相关资料,Lombok的@SneakyThrows注解简化了Java方法中的异常... 目录前言一、@SneakyThrows 简介1.1 什么是 Lombok?二、@SneakyThrows

Java中字符串转时间与时间转字符串的操作详解

《Java中字符串转时间与时间转字符串的操作详解》Java的java.time包提供了强大的日期和时间处理功能,通过DateTimeFormatter可以轻松地在日期时间对象和字符串之间进行转换,下面... 目录一、字符串转时间(一)使用预定义格式(二)自定义格式二、时间转字符串(一)使用预定义格式(二)自

Redis Pipeline(管道) 详解

《RedisPipeline(管道)详解》Pipeline管道是Redis提供的一种批量执行命令的机制,通过将多个命令一次性发送到服务器并统一接收响应,减少网络往返次数(RTT),显著提升执行效率... 目录Redis Pipeline 详解1. Pipeline 的核心概念2. 工作原理与性能提升3. 核

Python正则表达式语法及re模块中的常用函数详解

《Python正则表达式语法及re模块中的常用函数详解》这篇文章主要给大家介绍了关于Python正则表达式语法及re模块中常用函数的相关资料,正则表达式是一种强大的字符串处理工具,可以用于匹配、切分、... 目录概念、作用和步骤语法re模块中的常用函数总结 概念、作用和步骤概念: 本身也是一个字符串,其中

Nginx location匹配模式与规则详解

《Nginxlocation匹配模式与规则详解》:本文主要介绍Nginxlocation匹配模式与规则,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、环境二、匹配模式1. 精准模式2. 前缀模式(不继续匹配正则)3. 前缀模式(继续匹配正则)4. 正则模式(大

Android实现在线预览office文档的示例详解

《Android实现在线预览office文档的示例详解》在移动端展示在线Office文档(如Word、Excel、PPT)是一项常见需求,这篇文章为大家重点介绍了两种方案的实现方法,希望对大家有一定的... 目录一、项目概述二、相关技术知识三、实现思路3.1 方案一:WebView + Office Onl

Java实现优雅日期处理的方案详解

《Java实现优雅日期处理的方案详解》在我们的日常工作中,需要经常处理各种格式,各种类似的的日期或者时间,下面我们就来看看如何使用java处理这样的日期问题吧,感兴趣的小伙伴可以跟随小编一起学习一下... 目录前言一、日期的坑1.1 日期格式化陷阱1.2 时区转换二、优雅方案的进阶之路2.1 线程安全重构2

Java中的JSONObject详解

《Java中的JSONObject详解》:本文主要介绍Java中的JSONObject详解,需要的朋友可以参考下... Java中的jsONObject详解一、引言在Java开发中,处理JSON数据是一种常见的需求。JSONObject是处理JSON对象的一个非常有用的类,它提供了一系列的API来操作J