組密鑰更新周期密鑰更新周期( 二 )

2026-05-09 生活百科

?AH協議：認證報頭，協議號51；用來完成第二階段提供的功能是數據源驗證、數據完整性校驗和防報文重放功能；AH可以對整個數據包做認證然而AH并不加密所保護的數據。
?ESP協議：安全封裝載荷，協議號50；用來完成第二階段提供的功能是數據源驗證、數據完整性校驗和防報文重放功能；能提供AH的所有功能外，還可提供對數據的加密功能。
IPsec工作過程：
?之一階段：協商如何保護流量，協商加密算法、散列算法，使用哪個DH組、協商SA生存周期、協商設備認證方式；通過DH算法交互密鑰，密鑰供加密算法使用保護連接，此時形成一條雙向SA；為了確保兩個設備之間避免出現偽裝者，在做IPsec的時候需要進行設備認證。
-預共享密鑰（實驗室環境中使用，不夠安全）
-RSA加密的隨機數（使用很少）
-RSA數字證書/簽名（CA頒發的證書，使用范圍較廣）
之一階段協商的具體內容：
1、協商對等體之間采用何種方式做認證；預共享密鑰/RSA加密的隨機數/證書
2、協商雙方使用何種加密算法；AES/RSA/ECC
3、協商雙方使用何種散列算法；HMAC/MD5/SHA
4、協商雙方使用何種DH密鑰組
5、協商雙方使用何種模式；主模式/野蠻模式
6、協商SA的生存周期
之一階段有兩種工作模式：主模式和野蠻模式；
主模式：在三次交換中總共用到了六條消息，最終建立了SA；

文章插圖
主模式的好處：設備驗證的步驟發生在安全的管理連接中，因為這個連接是在前兩個步驟中構建的，因此，兩個對等體需要發送給對方的任何實體信息都可以免受攻擊；Site-to-Site VPN默認使用主模式。
野蠻模式（積極模式）：對于兩端IP地址不是固定的情況（如ADSL撥號上網），并且雙方都希望采用預共享密鑰驗證 *** 來創建IKE SA，就需要采用野蠻模式。另外如果發起者已知回應者的策略，采用野蠻模式也能夠更快地創建IKE SA 。

文章插圖
注：使用Remote-Access VPN時就一定要用野蠻模式來協商，如果用主模式的話，就會出現根據源IP地址找不到預共享密鑰的情況，以至于不能生成SKEY_ID 。
兩種模式的區別：
1、野蠻模式協商比主模式協商更快。主模式需要交互6個消息，野蠻模式只需要交互3個消息。
2、主模式協商比野蠻模式協商更嚴謹、更安全。主模式在5、6個消息中對ID信息進行了加密。野蠻模式由于受到交換次數的限制，ID信息在1、2個消息中以明文的方式發送給對端。即主模式對對端身份進行了保護，而野蠻模式則沒有。
3、對NAT/PAT的支持：
①對預共享密鑰認證：主模式不支持NAT轉換，而野蠻模式支持。
②對于證書方式認證：兩種模式都能支持。
4、兩種模式在確定預共享密鑰的方式不同；主模式只能基于IP地址來確定預共享密鑰；而野蠻'模式是基于ID信息（主機名和IP地址）來確定預共享密鑰。
注：在按需鏈路中，可以啟用IKE Keepalive特性，路由器會周期性10秒/次發送IKE Keepalive報文，用于檢測路徑的實時連通性；在單向啟用即可。
?第二階段：協商使用哪一款安全協議加密數據（ESP或AH）、保護流量；使用ESP/AH的時候，選擇哪一種加密算法和散列算法、協商是否需要再次進行DH算法生成新的密鑰（PFS）、SA周期和IPSec封裝模式；協商完畢形成兩條單向SA 。
第二階段協商的具體內容：
1、協商雙方使用何種封裝模式；隧道模式/傳輸模式
2、協商雙方使用何種加密算法；AES/RSA/ECC
3、協商雙方使用何種散列算法；HMAC/MD5/SHA
4、協商雙方使用何種DH密鑰組
5、協商雙方使用的密鑰更新周期
第二階段只有一種工作模式：快速模式；它定義了受保護數據連接是如何在兩個IPsec對等體之間構成的；快速模式有兩個主要的功能：
1.協商安全參數來保護數據連接。
2.周期性的對數據連接更新密鑰信息.
快速模式需要交換3個報文，這些消息都是使用IKE進行保護，這意味著將使用IKE phase1中導出來的SKEYIDe和SKEYIDa對所有分組進行加密和驗證。

文章插圖
注：針對Remote-Access VPN；思科還使用了一個1.5階段，包含擴展認證Xauth和Mode config兩種模式。
在這個階段，如果啟用了DPD特性，路由器會周期性發送DPD報文，用于檢測路徑的實時連通性；需要在雙向啟用。

推薦閱讀

上一篇：義是什么結構的字以是什么結構的字

下一篇：ine原油期貨是什么意思原油期貨是什么意思？