IPsec VPN的交互模式

  IPsec VPN主要有主模式(MAIN node)和积极模式(aggressive mode)。

  主模式和积极模式的信息交换机制不同。

  主模式有6条消息要交换,2个一组对称。主模式中,第1、2条信息中,双方交换了一些协商信息,如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中,双方交换了公钥,在交换了公钥之后,就可以根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。第5、6条消息中交换ID,这个ID就是域名这类信息。

  我们回到第3、4条信息,提到了根据DH算法生成后续密钥,这里是个关键,在DH算法中,需要用到双方定义的预共享密钥,而当一个设备有多个对等体的情况下,就是说有多个VPN隧道的时候,设备需要使用ID信息(比如域名)来判定对应的对等体的预共享密钥,而这个信息是在第5、6条里面,这岂不是来不及了,那么也就是说这时候只能使用IP信息来判断多个对等体,然后匹配共享密钥。

  这就是主模式下,使用共享密钥配对的时候,只能使用IP地址的原因。

  而积极模式使用的是类似TCP3次握手的信息交换模式。交换的是3条信息。

  首先由sa的发起者发送一条信息给sa的接受者,sa的接受者收到第一条信息以后,会将自己的sa协商消息附上电子签名认证信息后发回给sa的发起者,这是第二条信息,第三条信息再由sa的发起者发送给sa的接受者,这条信息中包含了sa的发起者的签名认证信息。

  对于DH组,双方没有协商就进行了DH信息的交换,是固定的。

  由于其在第一条信息交换时就发送了对应的ID信息,sa的接收方可以根据该ID信息匹配对应的预共享密钥,从而计算对应的SKEYID。因此积极模式是可以使用除IP地址以外的域名来进行对等体标识的。但是由于积极模式中,是在加密身份信息的安全sa建立之前就进行了身份信息的交换,所以交换的消息都是明文的,ID信息也是明文的,这带来了安全隐患。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注