CISCO文档
和第五包相似,又响应者发起。
·快速模式
有3个包共一次交换
(介绍快速模式包前简单的说下PFS(完美转发)
PFS 是在快速模式交换中产生新的DH密钥的属性。这允许使用新的DH密钥生成用于加密数据的加密密钥。 假设此处开启了PFS)
第一个消息
请求PFS的密钥交换负载
新的临时值负载
散列负载IPSec提议转换负载对 包括封装类型(AH、ESP) 模式(传输模式、隧道模式) 还有SPI 是一个32位数
被用来发起者用来唯一标示一个出口的IPSecSA
第二个消息
有响应者发起
第三个消息
正确消息的ID 以及最新的临时值的散列值。
响应者用来确定发起者是否就收到响应者在快速模式中的第一个包
避免dos攻击
现在双方都同意了IPSec SA 可以用来进行加密流量的交换。
一些小的知识点和值得注意的地方
1,对于1~4个包为明文内容,用UDP的500,以后的5~9个包都为加密内容,用UDP的4500
2,为了正确地生成密钥,每一个对等体必须找到与对方相应的预共享密钥,当有许多对等体要连接时,每一对对等体都要配置预共享密钥,这样就
会 有很多预共享密钥被配置。不过标示对等体IP地址或者主机名的负载直到下一条消息交换才会到来。因此,每一对对等体必须使用ISAKMP分组
的源地址来找到与其对等体对应的预共享密钥
3, 第二阶段的3个包主要用来协商用于加密用户数据的安全策略(只有认证和加密方法和对应算法),当第二阶段协商完毕之后,第一阶段的策略将