IKE什么意思
Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势:JFK和IKEv2. Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. Internet密钥交换(IKE)解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。IKE是非常通用的协议,不仅可为IPsec协商安全关联,而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式:主要模式和积极模式。 IKE (艾克)美国五星上将 德怀特·戴维·艾森豪威尔[1](Dwight David Eisenhower昵称
试说明IPSec协议体系中IKE SA的作用及其协商过程
主模式包分析 :
1 ,2 包 交换IP地址 和 IKE阶段的策略
(发送方会把所有的策略都发送给接收方,接收方首先看发送方地址在不在自己的peer中
在拿自己的第一个策略依次对比发送方发来的
所有策略,如果没有匹配的,在拿第二个策略去匹配发送方发来的所有策略
直到发现匹配的为止,如果没有匹配的,那么IKE也就不会继续下去
设置合理的策略顺序可以节约一些协商时间)
A set peer name 1.1.1.1
B set peer nmae 2.2.2.2
A给B发送第一个包 , 如果B的peer没有A的IP 地址, 就不会在继续下去
策略是 以下五个方面
1 :authentication 方式
pre-share
数字签名
2 : hash 方式
3 :encryption 第五到第九的包 ,的方法 (只加密IKE的信息,不加密实际的数据)
4 : dh group 组号: 用于安全的交换密钥 ,和生成随机密钥用于加密数据 (通过这个方法不用传送密钥,只需要传送能计算出密钥的材料,对方计算出密钥在和自己的密钥做对比,相同则认证通过) 组号是定义已知数值的长度和数值,越大就越难求出公共密钥,就越安全
1 768
2 1024
5 :key life (hash 是做HMAC的,需要一个密钥,密钥有个生存时间保证安全)
默认是一天
三,四个包 :
用于DH交换 , 交换DH 公共值(A,B) ,和随机数, 用于密钥的协商 明文交换
会协商出3个密钥 :
skeyid_a : 用于提供IKE消息的数据完整性和认证(用于HMAC)(auth.key)
skeyid_d : 用于计算后续的IPSEC 密钥资源
(用于对实际的数据加密,如果启用PFS ,这个key就没用了)
skeyid_e : 用于加密IKE消息 (加密IKE 第五到九个包)
五六个包 : 认证
在加密的环境下认证
通过把一些双方都相同的材料包括pre-share-key在一起hash (HMAC)
并把hash值加密后发送给对方
如果总是重传,可能是密钥配错了
主动模式 : 主动模式 : 3个包完成第一阶段 , 应用于预共享密钥 远程拨号VPN
一 : 策略 , DH 公共值 , 个人信息(相同材料的hash值)明文发送给接收方
二 : 接收方返回接收的策略和自己的DH公共值和自己的个人信息
三 : 确认一下
第二阶段 : 协商对具体流量加密的策略 就是 协商 IPSEC SA
第二阶段的协商是基于流量触发的
一包:发送对实际流量处理的策略 (可以发送多个策略)
二包:接收方接受某个策略 (把接受的策略返回给发送方)
三包: 确认,表示隧道建立
策略有以下五种:
1 :ACL : (如果ACL并不是完全相反的,但是是合理的,那会不会不通) ????
2 :方式 : des /3des /aes
3 :hash:md5/ sha-1
封装 : esp / AH ( 和第一阶段不一样的地方)
4 :key life :默认一小时
5 :mode : 隧道,传输 (也不同与第一阶段) , (第一阶段有AH组号和认证方式)
注(如果启用PFS ,应该还可以配置一个DH group号,
华为路由器上如何设置IKE对等体
创建IKE对等体:
[route] ike peer peer-1 //对等体名为peer-1
exchange-mode aggressive //交换模式为野蛮模式
pre-shared-key cipher ******** //设置预共享密钥
id-type name //以名称作为IKE协商过程中使用的ID类型
remote-name route1 //对端安全网关名称
/* remote-address x.x.x.x */ 这步可省,因为前面ID-TYPE选的是NAME
乔丹Spiz'ike特点
球鞋名称:Nike Air Jordan Spiz'ike
发行年份:2007年
穿着球员:暂无
主要技术:
Air Sole
推荐理由:继Jordan Dub-Zero之后又一款集众多Air Jordan系列鞋款之精髓于一身的球鞋
总结评价:Nike品牌专门为美国导演斯派克·李所推出的球鞋,实际意义以纪念性为主,并不是单纯意义上的篮球鞋
发售价格:限量发售,目前市面售价约1500元人民币
Jordan Spiz'ike,继Nike品牌在2005年推出Jordan Dub-Zero之后,又一款以嫁接和拼装的设计方式而限量发售的精美鞋款。
或许,当你在第一眼看到Jordan Spiz'ike的时候,你并不会认为这款非常奇怪的球鞋所拥有的整体设计有多么的精美;又或许,当Jordan Dub-Zero尚且还没在你记忆中消失之前,你会在潜意识当中对Nike品牌这种频繁应用嫁接设计方法的行为而感到些许的厌烦;不过,当你在真正了解了Jordan Spiz'ike所拥有的设计初衷、并从里到外对Jordan Spiz'ike所拥有的独特设计进行一番细细的品味之后,相信你会就此而推翻此前的想法并确信:Jordan Spiz'ike的确可以被视为是一款非常难得的精美作品,而因为此款球鞋实际上又是Nike品牌专门为美国著名导演斯派克·李而推出的纪念鞋款,所以从某种意义上来说,Jordan Spiz'ike已经不再是纯粹意义上的篮球鞋,你应该认为它是一本故事书、或者认为它是一部正在讲述Air Jordan系列与斯派克·李之间所发生的美妙故事的电影……
众所周知,从Nike Air Jordan III开始,Nike品牌在针对Air Jordan系列的推广上便开始与著名导演斯派克·李进行合作,而如今掐指算来,2007年正好是Air Jordan III问世20周年,换句话说也就是,Air Jordan系列与导演斯派克·李之间所展开的初次合作距今已有整整20年之久。因此,在2007年来到我们身边的时候,Nike品牌便开始着手实施自己早就已经打算好的一系列纪念方式。不久之前,火星人Mars版本的Nike Air Jordan IV的推出实际上就已经在向我们预告斯派克·李在阔别之后将会强势回归,而如今,Jordan Spiz'ike的推出则让人们有再一次的机会去重温Air Jordan系列与斯派克·李之间所拥有的美妙故事。
简单来说,Jordan Spiz'ike所拥有的设计是以Nike Air Jordan III的框架结构为基础,而后以融合Nike Air Jordan IV、Nike Air Jordan V、及Nike Air Jordan VI的个性设计而形成。因此,在Jordan Spiz'ike所拥有的设计当中,你能看到Nike Air Jordan III身上充满诱惑的裂纹皮、你能看到Nike Air Jordan IV身上独有的鞋带扣、你能看到Nike Air Jordan V使用过的鞋带锁和曾在鞋面上应用过的透气网、你还能看到曾在Nike Air Jordan VI身上出现过的另类鞋舌——总而言之,Jordan Spiz'ike实际上就是上述四款经典Air Jordan系列球鞋的合成品,配合着其球鞋内衬上一个个暗藏玄机的图案,你很难说它不是一款独特而又精美的球鞋。