互聯(lián)網(wǎng)技術(shù)IPSec安全聯(lián)盟

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

CREATE_IPSEC_SA交換只包含一對(duì)獨(dú)立的請(qǐng)求/響應(yīng)信息，相當(dāng)于IKEvl的階段二交換。在初始交換完成后，它可以由IKE安全聯(lián)盟的任意一端發(fā)起。初始交換之后的所有報(bào)文都受到加密保護(hù).這里采用的是在IKE?H交換頭兩個(gè)報(bào)文中協(xié)商的加密算法和密鑰。IPSec安全聯(lián)盟足通過發(fā)送CREATE_IPSEC_SA請(qǐng)求來創(chuàng)建的。
為確保IPSec安全聯(lián)盟具有更強(qiáng)的向前加密保證，CREATEJPSEC_SA請(qǐng)求可以選擇性地包含IKE栽荷，來進(jìn)行額外的Diffie^Hellman交換。IPSec安全聯(lián)盟的密鑰材料是SK_d。在初始交換建立的部分IPSec安全聯(lián)盟中，不能發(fā)送第二個(gè)KE載荷和Nonce。初始交換中的Nonce被用來計(jì)算IPSec安全聯(lián)盟的密鑰。
發(fā)起方在SA載荷中發(fā)送SA提議，在Ni載荷中發(fā)送Nonce,在KEi載荷中可選地發(fā)送Diffie-HeHman值，在TSi和TSr載荷中可選地發(fā)送提議的流螢選擇器，如果SA提議中包含不同的Diffie-Hellman組，KEi必須是發(fā)起方希望響應(yīng)方接受的組中的一個(gè)元素。如果猜測(cè)錯(cuò)誤（即響應(yīng)方不接受發(fā)起方推薦的KEi),就意味者CREATE_IPSEC_SA交換失敗并不得不嘗試一個(gè)新的KEi。頭部之后的報(bào)文是加密的，報(bào)文（包含頭部）使用為IKE安全聯(lián)盟協(xié)商的加密算法進(jìn)行完整性保護(hù)，影響應(yīng)方使用相同的消息ID來響應(yīng)，并在SA栽荷中答復(fù)接受的SA提議，在KEr載荷中答復(fù)Diffie-Hellman位（如果請(qǐng)求中包含了KEi并且所選擇的加密組件中包含請(qǐng)求中的DH組)。如果響應(yīng)方選擇不同組的加密組件它必須拒絕請(qǐng)求，發(fā)起方應(yīng)該重傳請(qǐng)求，并且在請(qǐng)求中要包含響應(yīng)方所選擇組屮的KJEi栽荷。
為了使IKE_SA的對(duì)端可能希望傳輸一些關(guān)于錯(cuò)誤或事件通知的控制信息，所以在IKEv2協(xié)議中定義了INFORMATIONAL交換。INFORMATIONAL交換只能在起始交換之后發(fā)生，并且用協(xié)商的密鑰加密保護(hù)。INFORMATIONAL交換中的報(bào)文包含0個(gè)或多個(gè)通告、刪除和配置載荷。INFORMATIONAL交換請(qǐng)求的接收端必須發(fā)出響應(yīng)（否則發(fā)送者會(huì)認(rèn)為報(bào)文在網(wǎng)絡(luò)中丟失并且屯發(fā)報(bào)文）《響應(yīng)可以是沒有載荷的報(bào)文。INFORMATIONAL交換的請(qǐng)求報(bào)文也可以不包括任何栽荷。通過這種方法，一個(gè)端點(diǎn)可以讓另一個(gè)端點(diǎn)證明它還可用。
INFORMATIONAL交換的基本定義如閣5-9所示。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總