建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
温馨提示

抱歉,您需设置社区昵称后才能参与社区互动!

前往修改
我再想想

浙江经贸学院

话题 : 21 成员 : 65

加入HCSD

IKEv1和IKEv2对比,场景和原理

XueMian 2020/10/14 723

IKEv1 VS IKEv2:


IKEv2更快,引入了EAP,支持远程接入解决方案,整合了多个技术,比如DPD NAT-T。支持消息确认,感兴趣流协商,抵御DDOS攻击(源认证,生成一个根据时间产生的cookie值,让对方下次发送带这个cookie值)

image.png

image.png
image.pngimage.png
image.png

IKEv2没有主模式和野蛮模式,正常情况使用2次交换共4条消息即可完成协商IKE SA和IPSec SA

image.png

Message3 : HDR,SK{IDi,证书,和证书请求,IDr,AUTH,SAi2,TSi,TSr}


SK:加密载荷 证明{}中是加密的


IDi:主模式第五个包的ID


IDr:发送方ID


AUTH:相当于主模式第五个包的HASH_i    <skeyid+Idi+前面参数>


SAi2:快速模式的IPSec的Proposal


TSi,TSr:感兴趣流(V2感兴趣流可以协商)

image.png

IKEv2,B验证A的身份主要有三种方式:如果是预共享秘钥的方式 ,B通过验证AUTH字段,是一个HASH值,HASH的内容是ID值、skeyid,前面交互过的值


如果B计算出来的AUTH值和A发送过来的AUTH值,就验证成功了A的身份;


如果是数字证书:1.B获得CA证书  2.B验证CA证书合法性(CA颁发的证书为合法证书,检查CA用私钥加密的"签名")  3.身份验证(通过AUTH值,通过证书中A的公钥解密AUTH。B自己计算一次AUTH,相同则为A)


1.协议建立区别:


IKEv1分为两个阶段,第一阶段分为两个模式:主模式和野蛮模式,主模式协商6个报野蛮模式3个包协商IKE SA,协商IPSec SA需要3个包,


而IKEv2协商IKE  SA和IPSec SA只需要4个包,协商速度更快


正常情况IKEv2协商一对IPSec SA只需要2(协商IKE SA)+2(协商IPSec SA)=4条消息。后续每建立一对IPSec SA只会增加2条消息


2.终端接入区别


增加了EAP方式的身份认证。IKEv2通过EAP协议解决了远程接入用户认证的问题,彻底摆脱了L2TP的牵制。IKEv2已经广泛引用于远程接入网络中了


IKEv2增加EAP身份认证,支持远程访问接入,而IKEv1不支持,需要结合L2TP进行认证


3.IKEv2整合多个技术,dpd,nat-t


回复 (1)

Jack20
0 1
2020/10/22 13:31

感谢分享~

上划加载中
标签
您还可以添加5个标签
  • 没有搜索到和“关键字”相关的标签
  • 云产品
  • 解决方案
  • 技术领域
  • 通用技术
  • 平台功能
取消

XueMian

角色:校园大使

话题:13

发消息
发表于2020年10月14日 16:53:12 7231
直达本楼层的链接
楼主
倒序浏览 只看该作者
IKEv1和IKEv2对比,场景和原理

IKEv1 VS IKEv2:


IKEv2更快,引入了EAP,支持远程接入解决方案,整合了多个技术,比如DPD NAT-T。支持消息确认,感兴趣流协商,抵御DDOS攻击(源认证,生成一个根据时间产生的cookie值,让对方下次发送带这个cookie值)

image.png

image.png
image.pngimage.png
image.png

IKEv2没有主模式和野蛮模式,正常情况使用2次交换共4条消息即可完成协商IKE SA和IPSec SA

image.png

Message3 : HDR,SK{IDi,证书,和证书请求,IDr,AUTH,SAi2,TSi,TSr}


SK:加密载荷 证明{}中是加密的


IDi:主模式第五个包的ID


IDr:发送方ID


AUTH:相当于主模式第五个包的HASH_i    <skeyid+Idi+前面参数>


SAi2:快速模式的IPSec的Proposal


TSi,TSr:感兴趣流(V2感兴趣流可以协商)

image.png

IKEv2,B验证A的身份主要有三种方式:如果是预共享秘钥的方式 ,B通过验证AUTH字段,是一个HASH值,HASH的内容是ID值、skeyid,前面交互过的值


如果B计算出来的AUTH值和A发送过来的AUTH值,就验证成功了A的身份;


如果是数字证书:1.B获得CA证书  2.B验证CA证书合法性(CA颁发的证书为合法证书,检查CA用私钥加密的"签名")  3.身份验证(通过AUTH值,通过证书中A的公钥解密AUTH。B自己计算一次AUTH,相同则为A)


1.协议建立区别:


IKEv1分为两个阶段,第一阶段分为两个模式:主模式和野蛮模式,主模式协商6个报野蛮模式3个包协商IKE SA,协商IPSec SA需要3个包,


而IKEv2协商IKE  SA和IPSec SA只需要4个包,协商速度更快


正常情况IKEv2协商一对IPSec SA只需要2(协商IKE SA)+2(协商IPSec SA)=4条消息。后续每建立一对IPSec SA只会增加2条消息


2.终端接入区别


增加了EAP方式的身份认证。IKEv2通过EAP协议解决了远程接入用户认证的问题,彻底摆脱了L2TP的牵制。IKEv2已经广泛引用于远程接入网络中了


IKEv2增加EAP身份认证,支持远程访问接入,而IKEv1不支持,需要结合L2TP进行认证


3.IKEv2整合多个技术,dpd,nat-t


点赞 举报
分享

分享文章到朋友圈

分享文章到微博

Jack20

角色:导师

话题:88

发消息
发表于2020年10月22日 13:31:59
直达本楼层的链接
沙发
只看该作者

感谢分享~

点赞1 评论 引用 举报

游客

您需要登录后才可以回帖 登录 | 立即注册