版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
日期:2012年10月17日版权所有,严禁以盈利为目的传播杭州华三通信技术有限公司ISSUE1.0IKE原理以及协商过程示例IPSec是安全领域常用的一组协议,IKE是其中之一,但是IKE不仅仅能用于IPsec学习IKE需要具备一定的安全知识需要了解各种加密算法、验证算法引入掌握IKE基本原理熟悉IKE的报文结构熟悉预共享密钥的认证方式熟悉MAIN模式的协商过程课程目标学习完本课程,您应该能够:什么是IKEIKE(InternetKeyExchange,因特网密钥交换协议,RFC2409):是以受保护的方式动态协商安全联盟的一种协议。IKE的功能:协商通信双方安全特性、参数进行通信双方身份认证用安全的方法产生,交换密钥管理、更新、删除安全联盟(SA)什么是SASA(SecurityAssociation,安全联盟)通信实体之间经过协商建立起来的一种协定,从而决定了哪些数据需要保护、采用什么算法来保护等。SA是单向的,因此每个安全通信单体必须要有两种SA,一个入方向
,一个出方向IKE的安全机制DH(DiffieHellman)交换技术;IKE具有完善的数据认证方式。DH算法Diffie-Hellman(DH)交换及密钥分发:DH密钥交换是一种公共密钥加密系统。利用DH交换技术,我们可以在一个不受保护的通信信道上,在交换双方建立一个安全的共享密钥会话。p和gxyPEER1PEER2C=gx
modpD=gy
modpCy
modpDx
modp
dmodp=cmodp=gmodpxyxyIKE的数据认证身份认证:身份认证确认通信双方的身份。我司设备先支持两种认证方法:预共享密钥(pre-shared-key)认证和基于数字签名(rsa-signature)的认证。基于预共享密钥(Pre_SharedKey):双方事先约定好一个共享的密钥。基于数字签名(DigitalSignature):利用数字证书来表示身份,利用数字签名算法计算出一个签名来验证身份。身份保护:身份保护在传送中保护身份数据。身份数据在密钥产生之后加密传送,实现了对身份数据的保护。IKE基本组成IKE属于一种混合型协议,建立在由ISAKMP定义的一个框架之上,定义了自己的密钥管理方式。IKE协商报文以ISAKMP协议封装,学习IKE有必要先了解ISAKMP协议、ISAKMP头结构,ISAKMP载荷等。ISAKMP协议ISAKMP(InternetSecurityAssociationKeyManagementProtocol,Internet安全联盟密钥管理协议):RFC2408。ISAKMP只是为协商、修改、删除SA的方法提供了一个通用的框架,并没有定义具体的SA格式。这个通用的框架是与密钥交换独立的,可以被不同的密钥交换协议使用。ISAKMP的消息头UDP端口号500发起者和响应者的cookies表示报文头部紧跟的载荷类型交换的具体类型2---main模式,4---Aggressive模式消息的唯一标示符载荷(Payload)安全联盟[SA]密钥交换[KE]身份[ID]常见载荷随机数[Nonce]散列[HASH]IKE协商阶段阶段1这个阶段要协商的SA称为IKESA,该SA是为了保证阶段2的安全通信。阶段2这个阶段要协商的SA是密钥交换协议最终要协商的SA。阶段1所协商的一个SA可以用于协商多个阶段2的SA。举例:预共享密钥主模式+Quick
发起者回应者阶段I变换#n…SAi变换#1提议ISAKMP头(CKY-I)IP+UDP头变换#x提议SArISAKMP头(CKY-I,CKY-R)IP+UDP头HASH_IIDiiISAKMP头(CKY-I,CKY-R)IP+UDP头HASH_RIDirISAKMP头(CKY-I,CKY-R)IP+UDP头IKESA协商DH变换身份认证KE(gXi)ISAKMP头(CKY-I,CKY-R)IP+UDP头NiKE(gXr)ISAKMP头(CKY-I,CKY-R)IP+UDP头Nr消息1&2:Cookie交换与IKESA协商消息1、2通过交换SA载荷进行协商IKE安全提议。IKE协商发起端FW1IKE协商响应端FW2计算Cookie-i=MD5(源目IP、随机数、日期和时间)(1)Cookie-I,SA计算Cookie-r=MD5(源目IP、随机数、日期和事件)根据消息1携带的载荷协商IKE安全提议。(2)Cookie-I,
Cookie-r,SA消息1发起Cookie协商IKE第一阶段模式下一个载荷最后一个载荷DOI=1表示第二阶段用于IPSec加密算法验证算法身份认证算法选择DH组SA更新方法和周期消息2协商一个自己支持的提议响应Cookie协商消息3&4:DH密钥交换与生成交换DH变换的公共密钥、随机数,从而生成IKE
SA相关密钥;消息3、4通过交换KE和Nonce载荷交换生成密钥的信息。IKE协商发起端FW1IKE协商响应端FW2计算C=
gxmodp;生成大随机数Ni。(3)
Cookie-i,Cookie-r,C,Ni计算D=
gymodp;生成大随机数Nr。(4)Cookie-i,Cookie-r,D,Nr消息3交换是未经加密的密钥交换载荷交换DH变换公开值随机值Ni,用于密钥生成消息4随机值Nr,用于密钥生成交换DH变换公开值密钥交换载荷消息5&6:认证并建立一个安全通道消息5、6通过交换ID载荷和HASH载荷对对等体进行验证,这些信息都是加密的。IKE协商发起端FW1IKE协商响应端FW2计算gxymodp;根据Pre-sharedKEY、DH秘密、大随机数计算密钥。(5)
Cookie-i,Cookie-r,IDi,HASH_i计算gxymodp;根据Pre-sharedKEY、DH秘密、大随机数计算密钥。(6)Cookie-i,Cookie-r,IDr,HASH_r加密信息阶段
IIIDurIDuiKE(gXi)HASH1NiSAuiISAKMP头(CKY-I,CKY-R)IP+UDP头IDurIDuiKE(gXr)HASH2NrSAurISAKMP头(CKY-I,CKY-R)IP+UDP头HASH3ISAKMP头(CKY-I,CKY-R)IP+UDP头发起者回应者IKE第二阶段IKE协商发起端FW1IKE协商响应端FW2利用安全密钥、M_ID、随机数Ni’、SAi等信息计算hash1;Cookie-i,Cookie-r,hash1,Sai,Ni’Cookie-i,Cookie-r,hash2,SAi,Nr’利用安全密钥、M_ID、随机数Nr’、SAr等
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 大班听评课记录15篇
- 2024年秋学期第二次学情检测九年级道法试题
- 《房性室性心律失常》课件
- 《儿科基础》课件
- 2024年呼吸内科护理计划
- 嘉定工程钢平台施工方案
- 2024年乡镇扶贫工作计划年度工作计划
- 新幼儿园园长工作计划
- 行政事务部工作计划总结及计划
- 如何制定寒假计划
- TD/T 1066-2021 不动产登记数据库标准(正式版)
- 校服供货服务方案
- 手术室不良事件警示教育
- 公需科2024广东公需课《新质生产力与高质量发展》试题(含答案)继续教育
- 19S406建筑排水管道安装-塑料管道
- 《烹饪原料》课件-基础调味品
- 2024年4月自考00051管理系统中计算机应用试题及答案含评分标准
- 数学的天空智慧树知到期末考试答案2024年
- 生物安全-转基因生物的安全、应用与管理智慧树知到期末考试答案2024年
- 健康与免疫智慧树知到期末考试答案2024年
- 科普管理工作总结报告
评论
0/150
提交评论