IKE phase 1提供了两种模式:主模式和主动模式。每种模式的结果都是建立一个ISAKMP/IKE SA.IKE SA包含各种由两个对等体协商的参数。
必要参数:加密算法、散列算法、验证算法、Diffie-Hellman组,还有诸如寿命等可选参数。
crypto isakmp policy 1
encryption 3des//加密算法
hash md5//散列算法
group2//Diffie-Hellman组
lifetime//寿命
authentication pre-shared//验证算法
验证算法:
预共享密钥
数字签名
进行4次加密的公钥加密
进行两次加密的公钥加密
主模式:
第一次交换:
发起方发送一个包含cookie Ci(发起方cookie)的ISAKMP报头和一个SA有效负载(SAi)。SAi用于交流各种phase 1参数(加密算法、散列算法、验证方法、寿命等)。
第二次交换:
应答方用选定提议的参数和SA报头(SAr)以及包含cookie Cr(应答方cookie)的IKAKMP报头进行应答。应答方选择一种匹配的提议并将其返回——它不能选择不同提议中的属性。如果没有匹配的提议,应答方将返回通知有效负载,拒绝发起方的提议。
第三次与第四次交换:
交换与密钥相关的信息。
第五次与第六次交换:
确定双方的ID。
对于主模式需要指出的一点是,由于有效负载被加密,应答方不知道在与谁交流。因此,在使用预共享密钥的主模式中,只能根据发起方的源IP地址来确定其身份。
主动模式:
第一条消息:
发送方发送ISAKMP报头,安全关联,DH公开值,临时值(nonce)和身份ID(IDi)。
第二条消息:
应答方用选定提议的所有参数和DH公开值进行应答。该消息被验证,但没有加密。
第三条消息:
由发起方回给应答方,该消息被验证,让应答方能够确定其中的散列值是否与计算得到的散列值相同,进而确定消息是否有问题。
使用数字签名:
在第三次和第四次消息交换中,发起方和应答方请求对方提供证书。
第五次和第六次,交换了证书。
原文:http://www.cnblogs.com/Tiphannie/p/5118578.html