最佳答案
用IPsec保护一个IP数据包之前,必选先建立一个安全联盟(IPsec SA),IPsec SA可以手工创建或动态建立。IKE(Internet Key Exchange,互联网密钥交换)协议用来动态建立IPsec SA。
IKE并非IPsec专用,它利用ISAKMP(Internet Security Association and Key Management Protocol,互联网安全联盟和密钥管理协议)语言定义密钥交换的过程,是一种对安全服务进行协商的手段。
在IPsec的实施中,IKE为IPsec提供了自动建立IPsec SA的服务,具体有以下优点。
· IKE首先会在通信双方之间协商建立了一个安全通道(IKE SA),并在此安全通道的保护下协商建立IPsec SA,这降低了手工配置的复杂度,简化IPsec的配置和维护工作。
· IKE的精髓在于DH(Diffie-Hellman)交换技术,它通过一系列的交换,使得通信双方最终计算出共享密钥。在IKE的DH交换过程中,每次计算和产生的结果都是不相关的。由于每次IKE SA的建立都运行了DH交换过程,因此就保证了每个通过IKE协商建立的IPsec SA所使用的密钥互不相关。
· IPsec使用AH或ESP报文头中的顺序号实现防重放。此顺序号是一个32比特的值,此数溢出之前,为实现防重放,IPsec SA需要重新建立,IKE可以自动重协商IPsec SA。
如图2-1所示,IKE为IPsec协商建立SA,并把建立的参数交给IPsec,IPsec使用IKE建立的SA对IP报文加密或认证处理。
图2-1 IPsec与IKE的关系图
(0)
您好,请知:
IKE SA和IPSec SA的区别为:通道不同、加密模式不同、负责不同。
一、通道不同
1、IKE SA:IKE SA通道两端只有一个SA,是单向的。
2、IPSec SA:IPSec SA通道两端不止一对SA,是双向的。
二、加密模式不同
1、IKE SA:IKE SA的加密模式为哈希算法。
2、IPSec SA:IPSec SA的加密模式为PRF算法。
三、负责不同
1、IKE SA:IKE SA负责数据流的建立和维护作用。
2、IPSec SA:IPSec SA负责具体的数据流控制作用。
(0)
暂无评论
IKE SA和IPSec SA协商的内容也是不一样的,如下:
1. IKEv1的IKE SA协商内容
参考:***.***/assignments/ipsec-registry
a. 加密算法
b. 哈希算法
c. 认证方法 - 如证书认证、Pre-shared Key
d. PRF算法 - 用来产生加解密密钥
e. DH算法和参数
f. Key长度 - 某些算法,如AES-CBC的key长度是可变的,可以通过Attribute来协商Key长度
g. SA的生存时间
2. IKEv2的IKE SA协商内容
参考:***.***/assignments/ikev2-parameters/ikev2-parameters.xml
a. 加密算法
b. PRF算法
c. Integrity算法
d. DH算法
e. ESN - Extended Sequence Numbers
3. IPSec SA的协商内容
参考:***.***/assignments/isakmp-registry
a. ESP加密算法或AH完整性算法
b. 加密模式
c. 认证算法
d. SA生存时间
e. 压缩算法
f. DH算法和参数
g. 加密密钥长度
h. 认证密钥长度
以上均有部分内容是可选的,不是所有的参数都必须协商。上面的三个链接里都详细描述了IANA对每个阶段SA协商用到的参数,比如算法的编号等等。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论