Ⅰ 虛介面,ike安全提議,ike對等體,ipsec安全協議,ipsec安全策略都是什麼
ike是在ipsec建立連接前進行對等體檢測,協商ipsec參數.為ipsec建立一個安全的環境.
這個可以說是2次認證
他們自己的sa只對自己有效.具體的書上有.書名:cisco組建安全虛擬網路
Ⅱ Win7ike身份憑證不可接受怎麼解決
IKE 協議(網際網路密鑰交換協議)
網際網路密鑰交換協議(IKE )是一份符合網際網路協議安全(IPSec )標準的協議。它常用來確保虛擬專用網路VPN (virtual private network)與遠端網路或者宿主機進行交流時的安全。對於兩個或更多實體間的交流來說,安全協會(SA )扮演者安全警察的作用。每個實體都通過一個密鑰表徵自己的身份。網際網路密鑰交換協議(IKE )保證安全協會(SA )內的溝通是安全的。 網際網路密鑰交換協議(IKE )是結合了兩個早期的安全協議而生成的綜合性協議。它們是:Oakley 協議和SKEME 協議。網際網路密鑰交換協議(IKE )是基於網際網路安全連接和密鑰管理協議ISAKMP (Internet Security Association and Key Management Protocol )中TCP/IP框架的協議。網際網路安全連接和密鑰管理協議ISAKMP 包含獨特的密鑰交換和鑒定部分。Oakley 協議中指定了密鑰交換的順序,並清楚地描述了提供的服務,比如區別保護行為和鑒定行為。SKEME 協議說明了密鑰交換的具體方法。盡管沒有要求網際網路密鑰交換協議(IKE )符合網際網路協議安全(IPSec )的內容,但是網際網路密鑰交換協議(IKE )內的自動實現協商和鑒定、否則重發服務(請參考否則重發協議)、憑證管理CA (Certification Authority)支持系統和改變密碼生成方法等內容均得益於網際網路協議安全(IPSec )。
Intenet 密鑰交換協議(IKE)是用於交換和管理在VPN 中使用的加密密鑰的. 到目前為止, 它依然存在安全缺陷. 基於該協議的重要的現實意義, 簡單地介紹了它的工作機制, 並對它進行了安全性分析; 對於抵禦中間人攻擊和DoS 攻擊, 給出了相應的修正方法; 還對主模式下預共享密鑰驗證方法提出了新的建議; 最後給出了它的兩個發展趨勢:JFK和IKEv2.
Ⅲ ikev2和ss有什麼區別
ikev2,即互聯網密鑰交換協議,與ss的主要區別如下:
一、性質不同
1、ikev2:由互聯網工程任務組(IETF)在IKEv1協議的基礎上,對協議的自動密鑰協商和安全性進行改進更新,並於2014年以RFC 7296的形式發布。
2、ss:ss是一個計算機術語,有多個含義,一是軟交換(softswitch);二是堆棧段寄存器(Stack Segment);三是慢啟動(slowstart)。
二、作用不同
1、ikev2:解決在互聯網環境下的密鑰協商問題。
2、ss:通過一套基於PC伺服器的呼叫控制軟體(Call Manager、Call Server),實現PBX功能(IP PBX)。
三、應用不同
1、ikev2:主要應用在IPsec協議族中建立安全關聯(SA)問題。
2、ss:作為堆棧段寄存器,用於存放堆棧段地基值。
Ⅳ win7」 IKEAuthIP IPSec密鑰服務」「IPv6兼容助手服務「 」windows搜索「
IPSec提供了兩種安全機制:認證和加密。認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭到改動。加密機制通過對數據進行編碼來保證數據的機密性,以防數據在傳輸過程中被他人截獲而失密。IPSec的認證包頭 (Authentication Header,AH)協議定義了認證的應用方法,封裝安全負載(Encapsulating Security Payload,E SP)協議定義了加密和可選認證的應用方法。在實際進行IP通信時,可以根據安全需求同時使用這兩種協議或選擇使用其中的一種.AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強於ESP。 在一個特定的IP通信中使用AH或ESP時,協議將與一組安全信息和服務發生關聯,稱為安全關聯(Security Association, SA)。SA可以包含認證演算法、加密演算法、用於認證和加密的密鑰。 IPSec使用一種密鑰分配和交換協議如Internet安全關聯和密鑰管理協議(Internet Security Association andKey Manageme nt Protocol,ISAKMP)來創建和維護SA。SA是一個單向的邏輯連接,也就是說,兩個主機之間的認證通信將使用兩個SA,分別用於通信的發送方和接收方。 IPSec定義了兩種類型的SA:傳輸模式SA和隧道模式SA。傳輸模式SA是在IP包頭(以及任何可選的擴展包頭)之後和任何高層協議(如TCP或UDP)包頭之前插入AH或ESP包頭,隧道模式SA 是將整個原始的IP數據報放入一個新的IP數據報中。在採用隧道模式SA時,每一個IP數據報都有兩個IP包頭:外部IP包頭和內部 IP包頭。外部IP包頭指定將對IP數據報進行IPSec處理的目的地址,內部IP包頭指定原始IP數據報最終的目的地址。傳輸模式S A只能用於兩個主機之間的IP通信,而隧道模式SA既可以用於兩個主機之間的IP通信,還可以用於兩個安全網關之間或一個主機與一個安全網關之間的IP通信。安全網關可以是路由器、防火牆或VPN設備。 做為IPv6的一個組成部分,IPSec是一個網路層協議。它只負責其下層的網路安全,並不負責其上層應用的安全,如Web、電子郵件和文件傳輸等。也就是說,驗證一個Web會話,依然需要使用SSL協議。不過,TCP/IPv6協議簇中的協議可以從IPSec中受益,例如,用於IPv6的OSPF路由協議就去掉了用於IPv4的OSP F中的認證機制。 Ipv4向Ipv6的過渡 盡管IPv6比IPv4具有明顯的先進性,但是IETF認識到,要想在短時間內將Internet和各個企業網路中的所有系統全部從IPv 4升級到IPv6是不可能的,換言之,IPv6與IPv4系統在Internet 中長期共存是不可避免的現實。為此,做為IPv6研究工作的一個部分,IETF制定了推動IPv4向IPv6過渡的方案,其中包括三個機制:兼容IPv4的IPv6地址、雙IP協議棧和基於IPv4隧道的IPv6。 兼容IPv4的IPv6地址是一種特殊的IPv6單點廣播地址,一個 IPv6節點與一個IPv4節點可以使用這種地址在IPv4網路中通信。這種地址是由96個0位加上32位IPv4地址組成的,例如,假設某節點的IPv4地址是192.56.1.1,那麼兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。 雙IP協議棧是在一個系統(如一個主機或一個路由器)中同時使用IPv4和IPv6兩個協議棧。這類系統既擁有IPv4地址,也擁有IPv6地址,因而可以收發IPv4和IPv6兩種IP數據報。 與雙IP協議棧相比,基於IPv4隧道的IPv6是一種更為復雜的技術,它是將整個IPv6 數據報封裝在IPv4數據報中,由此實現在當前的IPv4網路(如Internet)中IPv6節點與IPv4節點之間的I P通信。基於IPv4隧道的IPv6實現過程分為三個步驟:封裝、解封和隧道管理。封裝,是指由隧道起始點創建一個IPv4包頭,將 IPv6數據報裝入一個新的IPv4數據報中。解封,是指由隧道終結點移去IPv4包頭,還原原始的IPv6數據報。隧道管理,是指由隧道起始點維護隧道的配置信息,如隧道支持的最大傳輸單元(M TU)的尺寸等。 IPv4隧道有四
Ⅳ IPSec的兩種運行模式是什麼
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。
隧道模式僅僅在隧道點或者網關之間加密數據,提供了網關到網關的傳輸安全性。當數據在客戶和伺服器之間傳輸時,僅當數據到達網關才得到加密,其餘路徑不受保護。用戶的整個IP數據包被用來計算AH或ESP頭,且被加密。AH或ESP頭和加密用戶數據被封裝在一個新的IP數據包中。
傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。在傳送方式中,只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭和被加密的傳輸層數據被放置在原IP包頭後面。
(5)ike網路安全擴展閱讀:
IPSec 隧道模式的應用:
1、IPSec 隧道模式對於保護不同網路之間的通信(當通信必須經過中間的不受信任的網路時)十分有用。隧道模式主要用來與不支持 L2TP/IPSec 或 PPTP 連接的網關或終端系統進行互操作。
2、使用隧道模式的配置包括:網關到網關、伺服器到網關、伺服器到伺服器AH協議、隧道中報文的數據源鑒別、數據的完整性保護、對每組IP包進行認證,防止黑客利用IP進行攻擊。
3、應用於IP層上網路數據安全的一整套體系結構,它包括網路安全協議Authentication Header(AH)協議和 Encapsulating Security Payload(ESP)協議、密鑰管理協議Internet Key Exchange (IKE)協議和用於網路驗證及加密的一些演算法等。
Ⅵ IKE什麼意思
Internet密鑰交換協議(IKE)是用於交換和管理在VPN中使用的加密密鑰的.到目前為止,它依然存在安全缺陷.基於該協議的重要的現實意義,簡單地介紹了它的工作機制,並對它進行了安全性分析;對於抵禦中間人攻擊和DoS攻擊,給出了相應的修正方法;還對主模式下預共享密鑰驗證方法提出了新的建議;最後給出了它的兩個發展趨勢:JFK和IKEv2. Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. Internet密鑰交換(IKE)解決了在不安全的網路環境(如Internet)中安全地建立或更新共享密鑰的問題。IKE是非常通用的協議,不僅可為IPsec協商安全關聯,而且可以為SNMPv3、RIPv2、OSPFv2等任何要求保密的協議協商安全參數。 IKE屬於一種混合型協議,由Internet安全關聯和密鑰管理協議(ISAKMP)和兩種密鑰交換協議OAKLEY與SKEME組成。IKE創建在由ISAKMP定義的框架上,沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術,還定義了它自己的兩種密鑰交換方式:主要模式和積極模式。 IKE (艾克)美國五星上將 德懷特·戴維·艾森豪威爾[1](Dwight David Eisenhower昵稱
Ⅶ SA、IKE、ESP、AH、IPSEC的關系是什麼
ike是在ipsec建立連接前進行對等體檢測,協商ipsec參數.為ipsec建立一個安全的環境.
這個可以說是2次認證
他們自己的sa只對自己有效.具體的書上有.書名:cisco組建安全虛擬網路
Ⅷ IPSec是什麼它是否是一種新的加密形式
IPSec 協議不是一個單獨的協議,它給出了應用於IP層上網路數據安全的一整套體系結構,包括網路認證協議 Authentication Header(AH)、封裝安全載荷協議Encapsulating Security Payload(ESP)、密鑰管理協議Internet Key Exchange (IKE)和用於網路認證及加密的一些演算法等。IPSec 規定了如何在對等層之間選擇安全協議、確定安全演算法和密鑰交換,向上提供了訪問控制、數據源認證、數據加密等網路安全服務。
一、安全特性
IPSec的安全特性主要有:
·不可否認性 "不可否認性"可以證實消息發送方是唯一可能的發送者,發送者不能否認發送過消息。"不可否認性"是採用公鑰技術的一個特徵,當使用公鑰技術時,發送方用私鑰產生一個數字簽名隨消息一起發送,接收方用發送者的公鑰來驗證數字簽名。由於在理論上只有發送者才唯一擁有私鑰,也只有發送者才可能產生該數字簽名,所以只要數字簽名通過驗證,發送者就不能否認曾發送過該消息。但"不可否認性"不是基於認證的共享密鑰技術的特徵,因為在基於認證的共享密鑰技術中,發送方和接收方掌握相同的密鑰。
·反重播性 "反重播"確保每個IP包的唯一性,保證信息萬一被截取復制後,不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息後,再用相同的信息包冒取非法訪問權(即使這種冒取行為發生在數月之後)。
·數據完整性 防止傳輸過程中數據被篡改,確保發出數據和接收數據的一致性。IPSec利用Hash函數為每個數據包產生一個加密檢查和,接收方在打開包前先計算檢查和,若包遭篡改導致檢查和不相符,數據包即被丟棄。
·數據可靠性(加密) 在傳輸前,對數據進行加密,可以保證在傳輸過程中,即使數據包遭截取,信息也無法被讀。該特性在IPSec中為可選項,與IPSec策略的具體設置相關。
·認證 數據源發送信任狀,由接收方驗證信任狀的合法性,只有通過認證的系統才可以建立通信連接。
二、基於電子證書的公鑰認證
一個架構良好的公鑰體系,在信任狀的傳遞中不造成任何信息外泄,能解決很多安全問題。IPSec與特定的公鑰體系相結合,可以提供基於電子證書的認證。公鑰證書認證在Windows 2000中,適用於對非Windows 2000主機、獨立主機,非信任域成員的客戶機、或者不運行Kerberos v5認證協議的主機進行身份認證。
三、預置共享密鑰認證
IPSec也可以使用預置共享密鑰進行認證。預共享意味著通信雙方必須在IPSec策略設置中就共享的密鑰達成一致。之後在安全協商過程中,信息在傳輸前使用共享密鑰加密,接收端使用同樣的密鑰解密,如果接收方能夠解密,即被認為可以通過認證。但在Windows 2000 IPSec策略中,這種認證方式被認為不夠安全而一般不推薦使用。
四、公鑰加密
IPSec的公鑰加密用於身份認證和密鑰交換。公鑰加密,也被稱為"不對稱加密法",即加解密過程需要兩把不同的密鑰,一把用來產生數字簽名和加密數據,另一把用來驗證數字簽名和對數據進行解密。
使用公鑰加密法,每個用戶擁有一個密鑰對,其中私鑰僅為其個人所知,公鑰則可分發給任意需要與之進行加密通信的人。例如:A想要發送加密信息給B,則A需要用B的公鑰加密信息,之後只有B才能用他的私鑰對該加密信息進行解密。雖然密鑰對中兩把鑰匙彼此相關,但要想從其中一把來推導出另一把,以目前計算機的運算能力來看,這種做法幾乎完全不現實。因此,在這種加密法中,公鑰可以廣為分發,而私鑰則需要仔細地妥善保管。
五、Hash函數和數據完整性
Hash信息驗證碼HMAC(Hash message authentication codes)驗證接收消息和發送消息的完全一致性(完整性)。這在數據交換中非常關鍵,尤其當傳輸媒介如公共網路中不提供安全保證時更顯其重要性。
HMAC結合hash演算法和共享密鑰提供完整性。Hash散列通常也被當成是數字簽名,但這種說法不夠准確,兩者的區別在於:Hash散列使用共享密鑰,而數字簽名基於公鑰技術。hash演算法也稱為消息摘要或單向轉換。稱它為單向轉換是因為:
1)雙方必須在通信的兩個端頭處各自執行Hash函數計算;
2)使用Hash函數很容易從消息計算出消息摘要,但其逆向反演過程以目前計算機的運算能力幾乎不可實現。
Hash散列本身就是所謂加密檢查和或消息完整性編碼MIC(Message Integrity Code),通信雙方必須各自執行函數計算來驗證消息。舉例來說,發送方首先使用HMAC演算法和共享密鑰計算消息檢查和,然後將計算結果A封裝進數據包中一起發送;接收方再對所接收的消息執行HMAC計算得出結果B,並將B與A進行比較。如果消息在傳輸中遭篡改致使B與A不一致,接收方丟棄該數據包。
有兩種最常用的hash函數:
·HMAC-MD5 MD5(消息摘要5)基於RFC1321。MD5對MD4做了改進,計算速度比MD4稍慢,但安全性能得到了進一步改善。MD5在計算中使用了64個32位常數,最終生成一個128位的完整性檢查和。
·HMAC-SHA 安全Hash演算法定義在NIST FIPS 180-1,其演算法以MD5為原型。 SHA在計算中使用了79個32位常數,最終產生一個160位完整性檢查和。SHA檢查和長度比MD5更長,因此安全性也更高。
六、加密和數據可靠性
IPSec使用的數據加密演算法是DES--Data Encryption Standard(數據加密標准)。DES密鑰長度為56位,在形式上是一個64位數。DES以64位(8位元組)為分組對數據加密,每64位明文,經過16輪置換生成64位密文,其中每位元組有1位用於奇偶校驗,所以實際有效密鑰長度是56位。 IPSec還支持3DES演算法,3DES可提供更高的安全性,但相應地,計算速度更慢。
七、密鑰管理
·動態密鑰更新
IPSec策略使用"動態密鑰更新"法來決定在一次通信中,新密鑰產生的頻率。動態密鑰指在通信過程中,數據流被劃分成一個個"數據塊",每一個"數據塊"都使用不同的密鑰加密,這可以保證萬一攻擊者中途截取了部分通信數據流和相應的密鑰後,也不會危及到所有其餘的通信信息的安全。動態密鑰更新服務由Internet密鑰交換IKE(Internet Key Exchange)提供,詳見IKE介紹部分。
IPSec策略允許專家級用戶自定義密鑰生命周期。如果該值沒有設置,則按預設時間間隔自動生成新密鑰。
·密鑰長度
密鑰長度每增加一位,可能的密鑰數就會增加一倍,相應地,破解密鑰的難度也會隨之成指數級加大。IPSec策略提供多種加密演算法,可生成多種長度不等的密鑰,用戶可根據不同的安全需求加以選擇。
·Diffie-Hellman演算法
要啟動安全通訊,通信兩端必須首先得到相同的共享密鑰(主密鑰),但共享密鑰不能通過網路相互發送,因為這種做法極易泄密。
Diffie-Hellman演算法是用於密鑰交換的最早最安全的演算法之一。DH演算法的基本工作原理是:通信雙方公開或半公開交換一些准備用來生成密鑰的"材料數據",在彼此交換過密鑰生成"材料"後,兩端可以各自生成出完全一樣的共享密鑰。在任何時候,雙方都絕不交換真正的密鑰。
通信雙方交換的密鑰生成"材料",長度不等,"材料"長度越長,所生成的密鑰強度也就越高,密鑰破譯就越困難。 除進行密鑰交換外,IPSec還使用DH演算法生成所有其他加密密鑰。
Ⅸ IKE SA和IPSec SA的區別
IKE SA和IPSec SA的區別為:通道不同、加密模式不同、負責不同。
一、通道不同
1、IKE SA:IKE SA通道兩端只有一個SA,是單向的。
2、IPSec SA:IPSec SA通道兩端不止一對SA,是雙向的。
二、加密模式不同
1、IKE SA:IKE SA的加密模式為哈希演算法。
2、IPSec SA:IPSec SA的加密模式為PRF演算法。
三、負責不同
1、IKE SA:IKE SA負責數據流的建立和維護作用。
2、IPSec SA:IPSec SA負責具體的數據流控製作用。
Ⅹ IKE什麼意思求解答
Internet密鑰交換協議(IKE)是用於交換和管理在VPN中使用的加密密鑰的.到目前為止,它依然存在安全缺陷.基於該協議的重要的現實意義,簡單地介紹了它的工作機制,並對它進行了安全性分析;對於抵禦中間人攻擊和DoS攻擊,給出了相應的修正方法;還對主模式下預共享密鑰驗證方法提出了新的建議;最後給出了它的兩個發展趨勢:JFK和IKEv2. Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. Internet密鑰交換(IKE)解決了在不安全的網路環境(如Internet)中安全地建立或更新共享密鑰的問題。