当前位置:   article > 正文

IPSec的IKEv1和IKEv2协议

ikev

IPSec的IKEv1和IKEv2协议

IKE介绍


IKE是一个复合协议。

因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)500 端口号,的应用层协议。

IKE负责建立和维护IKE SAs 和 IPSec SAs。功能主要体现在如下几个方面:

  • 对双方进行认证
  • 交换公共密钥,产生密钥资源,管理密钥
  • 协商协议参数(封装、加密、验证…)

IKE的三个组件:

  • SKEME:实现公钥加密认证的机制
  • Oakley:基于到达两个对等体间的加密密钥的机制
  • ISAKMP:在两个实体间进行分组格式及状态转换的消息交换的体系结构。

IKE有两个版本:

  • IKEV1
  • IKEV2-------华为默认

IKE与IPSec的关系

IKE为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
在这里插入图片描述

图:IKE与IPSec的关系图

IKE与IPSec的关系如上图所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。

IKEv1的三个模式

在这里插入图片描述

IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。

注:两个对等体间仅有一个IKE SA,它是一个双向逻辑连接。

IKEv1阶段2的目的就是建立用来传输数据的IPSec SA。IKEv1阶段2通过快速交换模式完成。由于快速交换模式使用IKEv1阶段1中生成的密钥SKEYID_ a对ISAKMP消息的完整性和身份进行验证,使用密钥SKEYID_ e对ISAKMP消息进行加密,故保证了交换的安全性。
在快速交换模式中,对等体两端协商IPSecSA的各项参数,并为数据传输衍生出密钥。

主模式和野蛮模式</

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Guff_9hys/article/detail/765157
推荐阅读
相关标签
  

闽ICP备14008679号