首先当两个路由器或防火墙启用IPSEC的时候,我们以其中之一为起点。A- B,那么A开始发送IKE的数据报文。报文是UDP的类型,封装在端口500里面。
首先是第一个信息被发送,主要内容是COOKIE号码,标识一个唯一的IPSEC会话,也有防止重放的功能。它的建立是通常是基于IP地址,端口的号码,时间和日期等等进行一个散列算法,生成一个8位的随机数。对方的COOKIE为0。
内容还包含一个SA负载,还有提议负载,转换负载。sa的负载是定位这个ISAKMP是为了IPSEC工作。因为IKE是一个标准的协议,所以在SA负载中通过DOI,解释域,来说明这条消息交换用于IPSEC。
提议负载的内容包含一个提议号,协议ID,SPI,转换号,其中SPI为0,转换号指向了相应的转换负载
转换负载的内容是加密的参数,如des,dh算法,存活时间,hash算法等等。
阶段一的第2个包(明文):第2个包的作用主要是:通过查找第一个包的安全提议。给发送者回复一个确认的安全提议。下图是第二个包的抓包内容。
![\"main_2\"](\"http://www.baidu.com/2019/04/03/IPSec-VPN%E4%B9%8BIKE%E5%8D%8F%E8%AE%AE%E8%AF%A6%E8%A7%A3/main_2.png\")
第二个包是响应方响应一个信息,主要内容就是对方的COOKIE号码,和一个提议和一个策略,注意,这个提议和策略是和开始里面的一个对应的,否则,就回一个失败信息。
阶段一的第3个包(明文):第三个包的作用:如果发起方接受了安全提议,就给对方发送密钥生成信息,对方用来生成IKE的秘钥。
![\"main_3\"](\"http://www.baidu.com/2019/04/03/IPSec-VPN%E4%B9%8BIKE%E5%8D%8F%E8%AE%AE%E8%AF%A6%E8%A7%A3/main_3.png\")
初始方然后回应第三个信息,内容是自己的公钥,发给对方,注意,此处我的理解是素数已经交换完毕,公钥就是根据自己随机产生的私钥加上素数和一个产生器g三者来产生的。同时传输一个随机数NI。
阶段一第四个包(明文):主要作用:协商相应方给协商发起方发送密钥生成信息,使得协议发起方能生成密钥。
![\"mian_4\"](\"http://www.baidu.com/2019/04/03/IPSec-VPN%E4%B9%8BIKE%E5%8D%8F%E8%AE%AE%E8%AF%A6%E8%A7%A3/mian_4.png\")
接收方回应自己的公钥给初始方。包含一个随机数NR。
然后双方各自计算出共享的密钥,一共有三个密钥,SKEYID_a,d,e,其中d是根据z=pfs(pre-shared key,cookie_i,cookie_ni,nl|0),其中d用来给第二阶段提供密钥的素材。a用来对IKE的数据进行认证,e用来加密整个IKE协商的数据。
1
2
3
4
5
6
7
8
9
10
11
12
13
K值为推导SKEYID使用
SKEYID ------基准密钥
使用预共享密钥
SKEYID = prf(pre-shared-key, Ni|Nr)
使用数字证书
SKEYID = prf(Ni | Nr, K)
通过SKEYID推导三个密钥
SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥
SKEYID_a = prf(SKEYID, SKEYID_d | K | Ci | Cr | 1)---------验证密钥,对数据进行验证
SKEYID_e = prf(SKEYID, SKEYID_a | K | Ci | Cr | 2)---------加密密钥
当使用预共享密钥认证与主模式时,密钥可以只能通过对等点的IP地址来标识,因为必须使用HASH_I,在启动程序处理IDir之前计算。野蛮模式允许更大范围的预共享密钥标识符被使用。此外,野蛮模式允许双方进行维护多个不同的预共享密钥,并确定正确的密钥一个特定的交换。
阶段一的第5个包(密文):主要作用:发起方发送身份和验证数据。
![\"main_5\"](\"http://www.baidu.com/2019/04/03/IPSec-VPN%E4%B9%8BIKE%E5%8D%8F%E8%AE%AE%E8%AF%A6%E8%A7%A3/main_5.png\")
本文链接: http://ike62.immuno-online.com/view-704067.html
