IPsec_SSL VPN身份鉴别过程简要

一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》)

IKE第一阶段(主模式)

  • “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和加密证书。此消息用明文传输,所以通过wireshark等协议分析工具可以详细看到消息内容,签名证书和加密证书都可导出。

  • “消息3”由发起方发出,此时发起方已经具备响应方加密证书,开始使用数字信封加密传递密钥交换参数(用响应方加密证书中的公钥加密临时对称密钥Ski,再用Ski加密Ni和IDi),同时用明文发送本方签名证书和加密证书,并附上签名以供身份鉴别使用

  • “消息4”由响应方发出,这里要注意的是响应方在接收到“消息3”后必须使用加密证书对应的私钥才能解开其中的数字信封从而获得密钥参数,这个过程也可以认为是发起方对响应方的身份鉴别。另外,在“消息3”中还包含有发起方的签名,响应方使用消息中一起发送过来的签名证书对该签名进行验签,这个过程是响应方对发起方的身份鉴别。“消息4”与”消息3”结构相似,也是用数字信封传递密钥交换参数(用发起方加密证书中的公钥加密临时对称密钥Skr,再用Skr加密Nr和IDr),之后也附上本方签名。至此双方的身份鉴别基本完成,在“消息5”和“消息6”中双方会对密钥交换信息分别做一致性确认。

综上,IPsec VPN通道建立过程中身份鉴别主要使用签名证书,也有加密证书的参与

二、SSL VPN身份鉴别(参考国密标准《GMT 0024-2014 SSL VPN技术规范》)

SSL 握手协议(身份鉴别,安全参数协商)(注意以下*标识消息只在双向身份鉴别时出现)

  1. 服务端发送“Certificate消息”,其中包含服务端签名证书和加密证书。
  2. 服务端随即发送“Server Key Exchange消息”,在这里会使用服务端签名私钥对双方随机数和服务端加密证书进行签名。(客户端也就是通过服务端签名证书对这个签名来验证从而完成对服务端的身份鉴别)
  3. 服务端发送“*Certificate Request消息”,消息中包含要求客户端提供的证书类型列表。
  4. 服务端发送“Server Hello Done”,表示握手过程的Hello阶段结束。
  5. 客户端接收到以上消息后,需要验证服务端证书是否有效并验签完成服务端身份鉴别
  6. 客户端按“*Certificate Request消息”的要求,发送“*Certificate消息”(包含明文的签名证书和加密证书)。
  7. 客户端发送“Client Key Exchange消息”,这个消息主要包含预主密钥,该密钥由客户端产生,采用服务端的加密证书进行加密后发送给服务端
  8. 客户端发送“*Certificate Verify消息”,这个消息用于服务端鉴别客户端是否为签名证书的合法持有者。具体做法是:客户端使用sm3_hash计算自客户端hello消息开始直到本消息为止(不包括本消息)的所有握手相关消息的内容,然后使用客户端的签名私钥签名,服务端收到本消息后使用客户端签名证书验签。

综上,SSL VPN通道建立过程中身份鉴别主要使用签名证书,也有加密证书的参与

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/148832.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Jmeter排查正则表达式提取器未生效问题

今天在使用Jmeter的时候遇到一个很简单的问题,使用正则表达式提取token一直未生效,原因是正则表达式中多了一个空格。虽然问题很简单,但是觉得排查问题的方法很普适,所以记录下,也希望能够给遇到问题的大家一个参考。 …

制作 3 档可调灯程序编写

PWM 0~255 可以将数据映射到0 75 150 225 尽可能均匀电压间隔

很普通的四非生,保研破局经验贴

推免之路 个人情况简介夏令营深圳大学情况机试面试结果 预推免湖南师范大学面试结果 安徽大学面试结果 北京科技大学笔试面试结果 合肥工业大学南京航空航天大学面试结果 暨南大学东北大学 最终结果一些建议写在后面 个人情况简介 教育水平:某中医药院校的医学信息…

计算机网络(第8版)-第4章 网络层

4.1 网络层的几个重要概念 4.1.1 网络层提供的两种服务 如果主机(即端系统)进程之间需要进行可靠的通信,那么就由主机中的运输层负责(包括差错处理、流量控制等)。 4.1.2 网络层的两个层面 4.2 网际协议 IP 图4-4 网…

PyTorch实例:简单线性回归的训练和反向传播解析

文章目录 🥦引言🥦什么是反向传播?🥦反向传播的实现(代码)🥦反向传播在深度学习中的应用🥦链式求导法则🥦总结 🥦引言 在神经网络中,反向传播算法…

【Java 进阶篇】JDBC 数据库连接池 C3P0 详解

数据库连接池是数据库编程中常用的一种技术,它可以有效地管理数据库连接,提高数据库访问的性能和效率。在 Java 编程中,有多种数据库连接池可供选择,其中之一就是 C3P0。本文将详细介绍 C3P0 数据库连接池的使用,包括原…

linux内核分析:网络协议栈

从本质上来讲,所谓的建立连接,其实是为了在客户端和服务端维护连接,而建立一定的数据结构来维护双方交互的状态,并用这样的数据结构来保证面向连接的特性。TCP 无法左右中间的任何通路,也没有什么虚拟的连接,中间的通路根本意识不到两端使用了 TCP 还是 UDP。 所谓的连接…

redis持久化与调优

一 、Redis 高可用: 在web服务器中,高可用是指服务器可以正常访问的时间,衡量的标准是在多长时间内可以提供正常服务(99.9%、99.99%、99.999%等等)。但是在Redis语境中,高可用的含义似乎要宽泛一些&#x…

OpenCV利用Camshift实现目标追踪

目录 原理 做法 代码实现 结果展示 原理 做法 代码实现 import numpy as np import cv2 as cv# 读取视频 cap cv.VideoCapture(video.mp4)# 检查视频是否成功打开 if not cap.isOpened():print("Error: Cannot open video file.")exit()# 获取第一帧图像&#x…

【赠书活动第3期】《构建新型网络形态下的网络空间安全体系》——用“价值”的视角来看安全

目录 一、内容简介二、读者受众三、图书目录四、编辑推荐五、获奖名单 一、内容简介 经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。 因此,需要站在网络空间的高度看待安全与网络的…

UE5报错及解决办法

1、编译报错,内容如下: Unable to build while Live Coding is active. Exit the editor and game, or press CtrlAltF11 if iterating on code in the editor or game 解决办法 取消Enable Live Coding勾选

企业部署,springboot+vue+vue,Linux上部署mysql与redis,docker中部署nginx,jenkins。完整详细。

企业项目部署全流程笔记 前言 涉及:Linux服务器,docker,Jenkins,nginx,springoot,vue,mysql,redis,git, docker生成容器类型:MySql&#xff0c…

string类的模拟实现(万字讲解超详细)

目录 前言 1.命名空间的使用 2.string的成员变量 3.构造函数 4.析构函数 5.拷贝构造 5.1 swap交换函数的实现 6.赋值运算符重载 7.迭代器部分 8.数据容量控制 8.1 size和capacity 8.2 empty 9.数据修改部分 9.1 push_back 9.2 append添加字符串 9.3 运算符重载…

[学习笔记]ARXML - Data Format

参考AUTOSAR文档: https://www.autosar.org/fileadmin/standards/R22-11/FO/AUTOSAR_TPS_ARXMLSerializationRules.pdfhttps://www.autosar.org/fileadmin/standards/R22-11/FO/AUTOSAR_TPS_ARXMLSerializationRules.pdf 编码 arxml只允许使用UTF-8编码&#xff…

小谈设计模式(19)—备忘录模式

小谈设计模式(19)—备忘录模式 专栏介绍专栏地址专栏介绍 备忘录模式主要角色发起人(Originator)备忘录(Memento)管理者(Caretaker) 应用场景结构实现步骤Java程序实现首先&#xff…

VC++创建windows服务程序

目录 1.关于windows标准可执行程序和服务程序 2.服务相关整理 2.1 VC编写服务 2.2 服务注册 2.3 服务卸载 2.4 启动服务 2.5 关闭服务 2.6 sc命令 2.7 查看服务 3.标准程序 3.1 后台方式运行标准程序 3.2 查找进程 3.3 终止进程 以前经常在Linux下编写服务器程序…

小程序中如何开启分销

小程序共享微信生态,商家可以通过小程序来快速扩大自己的销售渠道,其中一个非常受重要的功能就是分销。通过开启分销功能,商家可以让更多的人参与到销售中来,从而提高销售额。那么,在小程序中如何开启设置分销呢&#…

Qt model/view 理解01

在 Qt 中对数据处理主要有两种方式:1)直接对包含数据的的数据项 item 进行操作,这种方法简单、易操作,现实方式单一的缺点,特别是对于大数据或在不同位置重复出现的数据必须依次对其进行操作,如果现实方式改…

1802_在Linux系统上开发ARM单机片机嵌入式软件

全部学习汇总: GreyZhang/little_bits_of_linux: My notes on the trip of learning linux. (github.com) 1. 在Linux上也有嵌入式的开发环境,或许还有很多。不过,我现在接触到的大部分还是Windows居多。这一份文件介绍的是一个mbed platform…

OK3568 forlinx系统编译过程及问题汇总

1. 共享文件夹无法加载;通过网上把文件夹加载后,拷贝文件很慢,任务管理器查看发现硬盘读写速率很低。解决办法:重新安装vmware tools。 2. 拷贝Linux源码到虚拟机,解压。 3. 虚拟机基本库安装 forlinxubuntu:~$ sudo…