IKE工作过程

原创 已于 2025-08-22 09:02:51 修改 · 642 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络
于 2025-08-21 19:06:32 首次发布

一、IKE 概述

Internet密钥交换(Internet Key Exchange,简称IKE)

IKE 是一种混合协议,用于动态建立和管理 安全关联(SA)

基于 ISAKMP 框架,结合了 Oakley 和 SKEME 协议的部分功能。

使用 UDP 500端口(思科) 进行通信。

ISAKMP:定义了消息交换的体系结构,包括两个IPSEC对等体间分组形式和状态转变(定义封装格式和协商包交换的方式)

IKE使用ISAKMP消息来协商并建立SA

二、IKE 协商的两个阶段

ISAKMP sa 保护IPsec sa ,IPsec sa保护数据

阶段一:建立 ISAKMP SA(IKE SA)

    目的:建立一个双向的、受保护的通道,用于后续IPSec SA的协商。

    两种模式

        主模式(Main Mode):6条消息,提供身份保护。

        野蛮模式(Aggressive Mode):3条消息,速度更快但安全性较低。

    步骤

        协商安全策略(加密算法、哈希算法、DH组、认证方式等)。

        交换密钥计算材料,生成密钥。

        身份认证

阶段二:建立 IPSec SA

    目的:为实际的数据传输建立单向的IPSec SA。

    仅一种模式快速模式(Quick Mode),共3条消息。

    步骤

        1、安全参数(保护的协议AH/ESP,工作模式传输/隧道,加密算法,校验算法,生命周期)
        2、交换密钥计算材料,生成密钥
        3、身份认证

三、ISAKMP 报文结构

报文头部字段:

    Cookie(发起方/应答方):防DoS攻击,基于IP、端口、时间等生成。

    下一个载荷:指示后续载荷类型。

    版本号:主版本和次版本。

    交换类型:如主模式、野蛮模式、快速模式等。

    标志位:加密、提交、认证等。

    报文ID:第二阶段用于区分不同协商。

    报文长度:整个ISAKMP报文的长度。

四、ISAKMP 报文携带的载荷类型

    ISAKMP双方交换的内容称为载荷(payload)。对于一个用基于ISAKMP的密钥管理协议交换的消息来说,其构建方法是:将ISAKMP所有载荷链接到一个ISAKMP报头头。
    目前定义了13种载荷,它们都是以相同格式的头开始的。

一个完整的ISAKMP报文结构

qq99899
关注
(ipsec)IKEv1通信协商IPsec SA过程
阳光梦的专栏
01-04 113
采用IKEv1协商安全联盟主要分为两个阶段。建立IKE协议本身使用的安全通道建立一对用于数据安全传输的IPsec SA。
别再死记硬背了!用Wireshark抓包,5分钟搞懂IPSec IKE主模式和野蛮模式的区别
最新发布
weixin_28715953的博客
05-13 313
本文通过Wireshark抓包实战,详细解析了IPSec IKE主模式与野蛮模式的核心差异。主模式通过6条消息实现加密身份认证,适合高安全场景;野蛮模式仅需3条消息但身份信息明文传输,适用于动态IP环境。文章提供配置示例和Wireshark过滤技巧,帮助读者快速掌握两种模式的应用选择。
IKE协商第一阶段主模式协商过程】
mengmeng_921的博客
06-16 1562
今天带大家了解一下IKE协商第一阶段主模式协商过程。IKE协商第一阶段主模式协商过程主模式协商:包含了三次双向交换,用到了六条ISAKMP信息。第1、2个ISAKMP报文(策略交换)用于交换并协商保护ISAKMP消息的安全参数以及对等体验证方式,包含加密算法、验证算法、验证方式、ISAKMPSA生存时间等安全策略信息(即SA载荷),IPSec实体会选择双方都支持的安全策略信息。第3、4个ISAKMP报文(密钥信息交换)用于交互IKE的密钥交换载荷和随机值载荷。当IPsec实体双方完成第3、4个报文交互后,会
IPSec的IKEv1和IKEv2协议
qq_43710889的博客
02-23 9295
IPSec的IKEv1和IKEv2协议 IKE介绍 文章目录IPSec的IKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
IKEv2协议协商流程: (IKE-SA-INIT 交换)第一包
遇见你是我最美丽的意外
10-12 1万+
文章目录1. IKEv2 协商总体框架2. 第一包流程图3. openswan源码学习3.1 ikev2parent_outI1()3.2 ikev2parent_outI1_withstate()3.3 ikev2_parent_outI1_common()4. 注意事项4.1 关于此报文中涉及的对IKEv2引入的“新特性”说明4.2 在IKEv1与IKEv2在SA载荷结构上的不同之处: 1. IKEv2 协商总体框架 IKEv1协议建立一对IPSec SA,使用主动模式需要9个报文,使用野蛮模式需
网络安全技术】IPsec——IKE (Internet Key Exchange)
TheSysy的博客
12-06 2862
IKE,ISAKMP
IKE协商
zljszn的博客
10-26 3316
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IKE 3
jianchaolv的专栏
08-24 2928
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
8.21IPSEC安全基础后篇,IKE工作过程
2301_80167301的博客
08-21 1278
单向通信需独立SA(如A→B与B→A需分别配置)单条VPN连接通常包含4个SA(出/入方向各一对)IKE全称为互联网密钥交换,用于动态建立、维护和删除SA。IKE为协议簇,包含多种子协议,主要功能包括密钥协商和认证。ISAKMP协议定义了消息交换体系和状态转换流程,为IKE核心协议。完整性校验哈希值用于应答方验证报文完整性,该值可见于报文特定字段。
数据传输安全-IKE工作过程
2201_75767965的博客
08-27 1810
IKE是一种混合型协议,用于在IPSec通信双方之间,动态地、自动地建立、协商、管理和删除安全关联(SA)。❓“DH交换是在哪个阶段完成的?为什么它不怕被窃听?"DH交换是在IKE阶段一的第3和第4个报文中完成的。它不怕被窃听是因为其安全性基于计算离散对数的数学难题。虽然双方在网络上明文传输了各自的DH公钥(g^a mod p和g^b mod p),但窃听者无法从这些公钥中反算出双方的私钥a和b,因此也就无法计算出双方最终协商出的共享秘密。这个共享秘密本身从未在链路上出现過。
结合配置、抓包来分析IKE/IPSec的整个协商过程
weixin_41286041的博客
08-18 1364
IKE/ISKAMP的协商过程这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)IKE与IPSEC相关的配置回顾当19...
IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
热门推荐
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
IKE协商流程
u010427192的博客
07-14 1240
IKE协商流程
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 1万+
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
pz641的博客
05-19 7070
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式中,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。本文介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理。一、IKE动态协商综述手工方式建立SA存在配置复杂、不支持发起方地址动态变化、建立的
IKEv1协商安全联盟过程
belief928的博客
05-11 3202
主要分为两个阶段: 第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA; 第二阶段,利用第一阶阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec SA 目录 IKEv1阶段1协商过程 IKEv1阶段2协商过程 IKEv1阶段1协商过程 IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将进行加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。 IKEv1阶段1支持两种协商模..
IPSEC实验(站点到站点)
m0_54183357的博客
05-17 2795
本实验介绍了在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
IKE 协议
bytxl的专栏
09-11 1万+
http://lulu1101.blog.51cto.com/4455468/817872 IKE 协议简介    1.       IKE 协议 IPSec  的安全联盟可以通过手工配置的方式建立,但是当网络中节点增多时,手工配置将非常困难,而且难以保证安全性。这时就要使用 IKE(Internet Key Exchange,因特网密钥交换)自动地进行安全联盟建立与密钥交换的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值