文档介绍:IKE共定义了5种交
换。阶段1有两种模式的交换:对身份进行保护的“主模式”交换以及根据基本ISAKMP文档制订的“野蛮模
式”交换。阶段2交换使用“快速模式”交换。IKE自己定义了两种交换:1为通信各方间协商一个新的
DiffieIKE共定义了5种交
换。阶段1有两种模式的交换:对身份进行保护的“主模式”交换以及根据基本ISAKMP文档制订的“野蛮模
式”交换。阶段2交换使用“快速模式”交换。IKE自己定义了两种交换:1为通信各方间协商一个新的
DiffieHellman组类型的“新组模式”交换;2在IKE通信双方间传送错误及状态消息的ISAKMP信息交换。
,经过三个步骤,共交换了六条消息。三个步骤分别是策略
协商交换、DiffieHellman共享值、nonce交换以及身份验证交换(如图2所示)。
,但只交换三条消息:头两条消息协商策略,交换
DiffieHellman公开值必需的辅助数据以及身份信息;第二条消息认证响应方;第三条消息认证发起方,
并为发起方提供在场的证据(如图3所示)。3.
快速模式交换快速模式交换通过三条消息建立IPsecSA:头两条消息协商IPsecSA的各项参数值,并生
成IPsec使用的密钥;第二条消息还为响应方提供在场的证据;第三条消息为发起方提供在场的证据(如
图4所示)。-Hellman组。新组模式交换属于一种请求/
响应交换。发送方发送提议的组的标识符及其特征,如果响应方能够接收提议,就用完全一样的消息应答
(如图5所示)。
与IKE通信的双方均能向对方发送错误及状态提示消息。这实际上并非真正意义上的交换,而只是发送单
独一条消息,不需要确认(如图6所示)。
三、
护IKE使用DiffieHellman组中的加密算法。IKE共定义了五个DiffieHellman组,其中三个组使用乘幂算法(模数位数分别是768、1024、1680位),另两个组使用椭圆曲线算法(字段长度分别是155、185
位)。因此,IKE的加密算法强度高,密钥长度大。、2交换中,IKE
通过交换验证载荷(包含散列值或数字签名)保护交换消息的完整性,并提供对数据源的身份验证。IKE
列举了四种验证方法:1预共享密钥;2数字签名;3公钥加密;4改进的公钥加密。
击对任何交换来说,第一步都是cookie交换。每个通信实体都生成自己的cookie,cookie提供了一定程
度的抗拒绝服务攻击的能力。如果在进行一次密钥交换,直到完成cookie交换,才进行密集型的运算,比
如DiffieHellman交换所需的乘幂运算,则可以有效地抵抗某些拒绝服务攻击,如简单使用伪造IP源地址
进行的溢出攻击。、插入、删除、修改消息,反射消息回到发送者,
重放旧消息以及重定向消息。ISAKMP的特征能阻止这些攻击成功。(PFS),
指即使攻击者破解了一个密钥,也只能还原这个密钥加密的数据,而不能