中国科技大学薛开平网络安全协议chaprev资料.pptVIP

* 表6.3 * * * * * * * * * * * * * * 发起者向响应者发送一个封装有建议载荷（如加密算法、认证算法及认证方式等）的SA载荷。 2。响应者发送一个SA载荷，表明它所接受的正在协商的SA建议。 3。和4。发起者和响应者交换D-H公开值和随机数（nonce），该nonce是计算共享密钥所必须的。 5。和6。发起者和响应者交换标识数据（如节点的IP地址、域名等）并认证D-H交换，这两个消息是加密的，采用3和4中交换的信息生成密钥。 * * * * * 在IKE第一阶段，采用公钥密码体制和运行密钥管理协议产生第一个共享的安全关联，被称为ISAKMP SA或第一阶段SA，该SA包含了第二阶段所需的对称加密密钥和认证密钥。 第二阶段，在ISAKMP SA的保护下运行密钥管理协议，可以产生多个IPSec SA来保护数据的安全传输，在IPSec SA中协商的是加密、认证算法，SA的生存时间，密钥长度。 * * 这里的协议（protocol）指AH or ESP，密钥的推导与SPI有关，使得每个密钥都是单向的 使用完美前向保密（PFS）描述这样一种现象，对于密钥信息的衍生而言，如果一个单独的密钥被攻破，将不会危及其他密钥保护的数据的安全性 * * IKE is a combination of 13 different subprotocols: Phase One: 8 difierent subprotocols, 2 choices for mode, and 4 choices for authentication mechanism. Phase Two: 4 difierent subprotocols: perfect forward secrecy or no PFS explicit identity information is included or not. Plus new group protocol * * * 64bit * 没有下一个时则为0 * A Domain of Interpretation (DOI) defines payload formats, exchange types, and conventions for naming security-relevant information such as security policies or cryptographic algorithms and modes. The situation may include addresses, security classifications, modes of operation (normal vs. emergency), etc. 在IPSECDOI以内，所有著名的标识符必须在IPSECDOI下面与IANA一起被登记 ,对于IPSECDOI，状况域是一个有下列值的4字节位掩码 SIT_IDENTITY_ONLY： 0x01；SIT_IDENTITY_ONLY 类型指定,安全关联将被在联系的鉴定有效负载中提供的源身份信息所标记。 SIT_SECRECY ：0x02；SIT_SECRECY类型指定安全关联在要求标记秘密的环境中正被商议 SIT_INTEGRITY ：0x04；SIT_INTEGRITY 类型指定安全关联在要求标记完整性的环境中正被商议 * * * * * * * * * A Domain of Interpretation (DOI) defines payload formats, exchange types, and conventions for naming security-relevant information such as security policies or cryptographic algorithms and modes. The situation may include addresses, security classifications, modes of operation (normal vs. emergency), etc. 在IPSECDOI以内，所有著名的标识符必须在IPSECDOI下面与IANA一起被登记 ,对于IPSECDOI，状况域是一个有下列值的4字节位掩码 SIT_IDENTITY_ONLY： 0x01；SIT_IDENTITY_ONLY 类型指定,安全关联将被在联系的鉴定有效负载中提供的源身份信息所标记。 SIT_SECRECY ：0x02；SIT_SECRECY类型指定安全关联在要求标记秘密的环境中正被商议 SIT_INTEGRITY ：0