IKE-phase1-negotiation讲义.doc

?  HYPERLINK /galdys/article/details/7729302 IPSEC VPN连接建立(IKE)详解 IPSEC构建站点到站点连接的基本过程 对于站点到站点的会话，构建连接的基本过程如下： 一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话（触发流量） 如果没有存在VPN的连接，那么ISAKMP/IKE阶段1开始，两个对等体协商如何保护管理连接。 Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。 在安全管理连接中来执行设备验证。 ISAKMP/IKE阶段1结束，阶段2开始；对等体协商参数和密钥信息用来保护数据连接（这是在安全管理连接下实现的，或者你也可以选择性的再次使用Diffie?hellman) 数据连接被建立，阶段2结束，VPN网关现在可以通过数据连接来保护用户流量。 最终，管理连接和数据连接将会超时，并重新构建连接 ISAKMP/IKE阶段1中的工作模式分为主模式和积极模式（或野蛮模式） ISAKMP/IKE阶段1： 一.管理连接在阶段1建立，它是一个双向的过程。源和目标都是使用的UDP?500 二.在ISAKMP/IKE阶段1将会发生三件事情：建立双向的ISAKMP?SA ?????　1.安全关联建立和安全参数协商（加密算法，HASH算法，DH组，身份认证）。 ???????2.DH算法（密钥交换） ???????3.对等体认证（pre-shared,rsa-sig,加密随即数） 三.ISAKMP/IKE阶段1基本上负责建立一个安全的管理连接，然后，执行这 3个步骤有两种模式： ????????1.主模式；（Main?mode) ????????2.积极模式,或者被称为侵略模式(Aggressive?mode) 主模式 执行3步双向交换过程，总共6?个数据包 主模式的好处：设备验证的步骤发生在安全的管理连接中，因为这个连接是在前两个步骤中构建的，因此，两个对等体需要发送给对方的任何实体信息都可以免受攻击。 站点到站点和使用证书做设备验证的远程访问使用的默认模式 主模式管理连接的状态： 状态 ??????????????解释 MM_NO-STATE?处于阶段1的主模式过程中，SP未协商好，SA未建立好 MM_SA_SETUP?处于主模式中，SP协商好，初始化SA建立好 MM_KEY-EXCH?处于主模式中，发生了DH交换，计算密钥KDH，并生成许多密钥 MM_KEY_AUTH?处于主模式中，成功完成对等体的身份认证，阶段1完成，阶段二开始了； 注意：这里的第5个包应该是IDi不是IDr。X、Y就是交互的公钥N是随机数　 1：发起者send一个cookie?Ci?和SA负载（SAI:encryption?algorithm,hash?algorithm,authentication?method,lifetime?,and?so?on)用来协商参数 ? 2：响应者发送一个SAr（已经挑选的安全参数）和cookie?Cr:?如果没有可以挑选的参数，响应者会返回一个负载拒绝；（return?a?notify?payload?rejecting?proposals) 3和4：?互相交换生成KEY的材料（公钥和一些随机数据），一旦KEY材料被交换，将会产生四个不同的KEY; ??1:??KDH＝DH算法（用自己的私钥+对方公钥） ??2:??SKEYID=hash?(pre-shared?key?,Ni?|?Nr)? ??3:??SKEYIDd=hash(SKEYID,?KDH|?Ci?|?Cr?|?0?)?作为阶段2生成KEY的材料 ??4:?SKEYIDa?=?hash(SKEYID,?SKEYIDd?|??KDH|?Ci?|?Cr?|?1)?用来ISAKMP包完整性用的key ??5:?SKEYIDe=hash(SKEYID,SKEYIDa?|??KDH|?Ci?|?Cr?|?2?)?用来加密ISAKMP包的key 5和6：完成设备认证，使用SKEYIDe进行加密，SKEYIDa?进行HASH认证（HASH_i,HASH_r)所涉及的算法都是最前面两个包协商出来的；最重要的是在这次交换中还有个ID交换（IDi,IDr); ???6.HASHi?=?hash(SKEYID,?X|Y|Ci|Cr|SAr|IDi)? ??????????????7.HASHr?=?hash(SKEYID,?X|Y|Cr|Ci|SAi|IDr)? 总结：主模式=1个双向ISAKMP?SA+2次加密+3次交换+4个状态+5个KEY+6个包+7步运算 IKE积极模式 只进行3次交换以便协商密钥和进行验证. 优点：建立管理连接的时候速度快； 缺点；发送的实体信息都