发布时间 : 星期日 文章IPSec VPN更新完毕开始阅读33a19abaf111f18583d05aa0
建立IPSEC vpn连接需要三个步骤
1.流量触发IPSEC
2.建立管理连接 ISAKMP/IKE,明确设备如何 验证,使用何种加密和验证算法,使用哪种DH组问题。
3.建立数据连接,明确使用何种的安全协议,针对具体的安全协议应使用加密和验证算法,以及数据的传输模式等。
ISAKMP、Oakley和SKEME。IKE和ISAKMP的不同之处在于:IKE真正定义了一个密钥交换的过程,而ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。
Oakley:定义IKE提供了一个多样化,多模式的应用,让IKE可以用在很多场合,大学开发的
SKEME:提供了IKE交换密钥的算法,方式;即,通过DH进行密钥交换和管理的方式,个人开发的
ISAKMP:它是一个框架,在该框架以内,它定义了每一次交换的包结构,每次需要几个包交换,主模式6个包交换和主动模式3个包交换,它由美国国家安全处开发,在配置IPSEC VPN的时候,只能设置它,前两个协议不能被设置。
ISAKMP(Internet Security Association Key Management Protocol,Internet安全联盟密钥管理协议)由RFC2408定义,定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架,并没有定义具体的SA格式。
ISAKMP没有定义任何密钥交换协议的细节,也没有定义任何具体的加密算法、密钥生成技术或者认证机制。这个通用的框架是与密钥交换独立的,可以被不同的密钥交换协议使用。
ISAKMP报文可以利用UDP或者TCP,端口都是500,一般情况下常用UDP协议。
ISAKMP双方交换的内容称为载荷(payload),ISAKMP目前定义了13种载荷,一个载荷就像积木中的一个“小方块”,这些载荷按照某种规则“叠放”在一起,然后在最前面添加上ISAKMP头部,这样就组成了一个ISAKMP报文,这些报文按照一定的模式进行交换,从而完成SA的协商、修改和删除等功能。
在配置IPSEC VPN的时候,只能设置它,前两个协议不能被设置, IKE是以上三个筐架协议的混合体。IP SEC强是因为他IKE强。
IKE为IPSec通信双方提供密钥材料,这个材料用于生成加密密钥和验证密钥。另外,IKE也为IPSec协议AH ESP协商SA。
IKE中有4种身份认证方式:
(1) 基于数字签名(Digital Signature),利用数字证书来表示身份,利用数字签名算法计算出一个签名来验证身份。
(2) 基于公开密钥(Public Key Encryption),利用对方的公开密钥加密身份,通过检查对方发来的该HASH值作认证。
(3) 基于修正的公开密钥(Revised Public Key Encryption),对上述方式进行修正。
(4) 基于预共享字符串(Pre?Shared Key),双方事先通过某种方式商定好一个双方共享的字符
串。
IKE目前定义了4种模式:主模式、积极模式、快速模式和新组模式。前面3个用于协商SA,最后一个用于协商Diffie Hellman算法所用的组。主模式和积极模式用于第一阶段;快速模式用于第二阶段;新组模式用于在第一个阶段后协商新的组。
VPN的类型是站点还是远程访问:都需要完成三个任务 协商何种方式建立管理连接 通过DH算法共享密钥信息 对等体进行身份验证