互聯(lián)網(wǎng)技術IPSec安全聯(lián)盟

　在線輔導　面授招生　考試大綱　指定教材　報名時間

CREATE_IPSEC_SA交換只包含一對獨立的請求/響應信息，相當于IKEvl的階段二交換。在初始交換完成后，它可以由IKE安全聯(lián)盟的任意一端發(fā)起。初始交換之后的所有報文都受到加密保護.這里采用的是在IKE?H交換頭兩個報文中協(xié)商的加密算法和密鑰。IPSec安全聯(lián)盟足通過發(fā)送CREATE_IPSEC_SA請求來創(chuàng)建的。
為確保IPSec安全聯(lián)盟具有更強的向前加密保證，CREATEJPSEC_SA請求可以選擇性地包含IKE栽荷，來進行額外的Diffie^Hellman交換。IPSec安全聯(lián)盟的密鑰材料是SK_d。在初始交換建立的部分IPSec安全聯(lián)盟中，不能發(fā)送第二個KE載荷和Nonce。初始交換中的Nonce被用來計算IPSec安全聯(lián)盟的密鑰。
發(fā)起方在SA載荷中發(fā)送SA提議，在Ni載荷中發(fā)送Nonce,在KEi載荷中可選地發(fā)送Diffie-HeHman值，在TSi和TSr載荷中可選地發(fā)送提議的流螢選擇器，如果SA提議中包含不同的Diffie-Hellman組，KEi必須是發(fā)起方希望響應方接受的組中的一個元素。如果猜測錯誤（即響應方不接受發(fā)起方推薦的KEi),就意味者CREATE_IPSEC_SA交換失敗并不得不嘗試一個新的KEi。頭部之后的報文是加密的，報文（包含頭部）使用為IKE安全聯(lián)盟協(xié)商的加密算法進行完整性保護，影響應方使用相同的消息ID來響應，并在SA栽荷中答復接受的SA提議，在KEr載荷中答復Diffie-Hellman位（如果請求中包含了KEi并且所選擇的加密組件中包含請求中的DH組)。如果響應方選擇不同組的加密組件它必須拒絕請求，發(fā)起方應該重傳請求，并且在請求中要包含響應方所選擇組屮的KJEi栽荷。
為了使IKE_SA的對端可能希望傳輸一些關于錯誤或事件通知的控制信息，所以在IKEv2協(xié)議中定義了INFORMATIONAL交換。INFORMATIONAL交換只能在起始交換之后發(fā)生，并且用協(xié)商的密鑰加密保護。INFORMATIONAL交換中的報文包含0個或多個通告、刪除和配置載荷。INFORMATIONAL交換請求的接收端必須發(fā)出響應（否則發(fā)送者會認為報文在網(wǎng)絡中丟失并且屯發(fā)報文）《響應可以是沒有載荷的報文。INFORMATIONAL交換的請求報文也可以不包括任何栽荷。通過這種方法，一個端點可以讓另一個端點證明它還可用。
INFORMATIONAL交換的基本定義如閣5-9所示。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術匯總

編輯特別推薦：

中級通信專業(yè)實務 互聯(lián)網(wǎng)技術教程匯總

中級通信專業(yè)實務傳輸與接入教程匯總

通信專業(yè)實務考試設備與環(huán)境教程匯總

通信專業(yè)實務考試交換技術教程匯總