v5认证
4)Diffie-Hellman组的选择
2.DH交换
虽然名为"密钥交换",但事实上在任何时候,两台通信主机之间都不会交换真正的密钥,它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。DH交换,可以是公开的,也可以受保护。在彼此交换过密钥生成"材料"后,两端主机可以各自生成出完全一样的共享"主密钥",保护紧接其后的认证过程。
3.认证 DH交换需要得到进一步认证,如果认证不成功,通信将无法继续下去。"主密钥"结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。在这一步中,整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的"主密钥"提供机密性和完整性保证。
三、第二阶段SA(快速模式SA,为数据传输而建立的安全关联)
这一阶段协商建立IPsec SA,为数据交换提供IPSec服务。第二阶段协商消息受第一阶段SA保护,任何没有第一阶段SA保护的消息将被拒收。
第二阶段协商(快速模式协商)步骤:
1.策略协商,双方交换保护需求:
·使用哪种IPSec协议:AH或ESP
·使用哪种hash算法:MD5或SHA
·是页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
