互聯(lián)網(wǎng)技術(shù)IPSec安全聯(lián)盟

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

CREATE_IPSEC_SA交換只包含一對獨立的請求/響應(yīng)信息，相當于IKEvl的階段二交換。在初始交換完成后，它可以由IKE安全聯(lián)盟的任意一端發(fā)起。初始交換之后的所有報文都受到加密保護.這里采用的是在IKE?H交換頭兩個報文中協(xié)商的加密算法和密鑰。IPSec安全聯(lián)盟足通過發(fā)送CREATE_IPSEC_SA請求來創(chuàng)建的。
為確保IPSec安全聯(lián)盟具有更強的向前加密保證，CREATEJPSEC_SA請求可以選擇性地包含IKE栽荷，來進行額外的Diffie^Hellman交換。IPSec安全聯(lián)盟的密鑰材料是SK_d。在初始交換建立的部分IPSec安全聯(lián)盟中，不能發(fā)送第二個KE載荷和Nonce。初始交換中的Nonce被用來計算IPSec安全聯(lián)盟的密鑰。
發(fā)起方在SA載荷中發(fā)送SA提議，在Ni載荷中發(fā)送Nonce,在KEi載荷中可選地發(fā)送Diffie-HeHman值，在TSi和TSr載荷中可選地發(fā)送提議的流螢選擇器，如果SA提議中包含不同的Diffie-Hellman組，KEi必須是發(fā)起方希望響應(yīng)方接受的組中的一個元素。如果猜測錯誤（即響應(yīng)方不接受發(fā)起方推薦的KEi),就意味者CREATE_IPSEC_SA交換失敗并不得不嘗試一個新的KEi。頭部之后的報文是加密的，報文（包含頭部）使用為IKE安全聯(lián)盟協(xié)商的加密算法進行完整性保護，影響應(yīng)方使用相同的消息ID來響應(yīng)，并在SA栽荷中答復(fù)接受的SA提議，在KEr載荷中答復(fù)Diffie-Hellman位（如果請求中包含了KEi并且所選擇的加密組件中包含請求中的DH組)。如果響應(yīng)方選擇不同組的加密組件它必須拒絕請求，發(fā)起方應(yīng)該重傳請求，并且在請求中要包含響應(yīng)方所選擇組屮的KJEi栽荷。
為了使IKE_SA的對端可能希望傳輸一些關(guān)于錯誤或事件通知的控制信息，所以在IKEv2協(xié)議中定義了INFORMATIONAL交換。INFORMATIONAL交換只能在起始交換之后發(fā)生，并且用協(xié)商的密鑰加密保護。INFORMATIONAL交換中的報文包含0個或多個通告、刪除和配置載荷。INFORMATIONAL交換請求的接收端必須發(fā)出響應(yīng)（否則發(fā)送者會認為報文在網(wǎng)絡(luò)中丟失并且屯發(fā)報文）《響應(yīng)可以是沒有載荷的報文。INFORMATIONAL交換的請求報文也可以不包括任何栽荷。通過這種方法，一個端點可以讓另一個端點證明它還可用。
INFORMATIONAL交換的基本定義如閣5-9所示。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總