IPSEC协商共分为两个阶段,主模式第⼀阶段共6个包,第⼆阶段共3个包。1-4个包是明⽂传输,5-9个包是加密传输。
第⼀阶段:
1.第1个包:
(1).加密算法:DES、3DES、AES... (2).认证⽅法:pre-share、RSA
(3).认证与完整性算法:MD5、SHA-1 (4).group组:1、2、5、7
(5).IKE SA的存活时间:默认24⼩时
2.第2个包:是由响应端发起,进⾏参数⽐对。
3.第3-4个包:各⾃通过DH算法形成公钥和私钥,公钥发给对端,私钥留在本地,在通过对端公钥和⾃⼰公钥私钥形成密钥
4.第5-6个包:进⾏IKE阶段协商的认证,此时第⼀阶段交互完成。
第⼆阶段:
1.第1个包:
(1).在IKE SA协商基础上形成新的KEY。 (2).封装⽅式:AH、ESP
(3).加密⽅式:DES、3DES、AES... (4).完整性算法:MD5、SHA-1 (4).IPSEC SA:默认1个⼩时 (5).两端保护⼦⽹
2.第2个包:包主要是接收端查看本地有没有⼀个IPSEC SA策略与发起⽅的⼀样,如果有,并且认证成功,感兴趣流协商成功,那么接收端会把协商成功的IPSEC SA策略发给发起端,同时也会把⾃⼰的认证Key发给发启端来进⾏双向认证
3.第3个包:包主要是发起端对接收端发来的第⼆个包进⾏确认,协商成功进⾏业务访问。
转载⾃:http://blog.sina.com.cn/s/blog_e6ea327d0102xr7x.html
因篇幅问题不能全部显示,请点此查看更多更全内容