版權聲明:如有需要,可供轉載,但請註明出處:https://blog.csdn.net/City_of_skey/article/details/86618784
目錄
1、IKE
爲了解決固定祕鑰模式中VPN不安全的問題,就有了Ineternt Key Exchange(因特網祕鑰交互協議)簡稱IKE,在IKE架構中只要設置加密算法和驗證算法,IKE會定時生成加密祕鑰,以上兩部分加起來就是Security Assocition(安全聯盟)簡稱SA。
IKE有三個協議組成:
ISAKMP:定義了信息交互的體系結構,也就是消息格式
SKEME:實現公鑰加密認證機制
Oakey:實現兩個Ipsec對等體間達成加密祕鑰的基本模式機制
ISAKMP是基於UDP協議端口是500。
Security Assocition(安全聯盟)SA:
SA是通信對等體對某件事情的約定,通信雙方符合約定就建立了SA。SA決定了數據包保護的IPsec協議、加密祕鑰、認證祕鑰、祕鑰時間等。SA是單項的兩臺主機A、B之間用IPsec加密傳輸會建立兩個SA,一條是A->B,還有一條是B->A。會建立一個SAD數據庫,SAD數據庫中有的參數:SPI值、目的IP、AH/ESP協議、認證算法、加密算法、傳輸模式。
| SPI | 目的IP | 協議 | AH認證算法 | AH加密祕鑰 | 工作模式 |
| 0x1000 | 192.168.100.100 | AH | hmac-sha1 | 1111 | Transport |
如上SAD數據庫定義了目的IP是192.168.100.100,SPI是0x1000的用AH協議封裝認證算法是hmac-sh1,AH加密祕鑰是1111、工作模式是傳輸模式來加密封裝數據包。