剛接觸IPSec的時候，一直很奇怪，為什么要做兩階段的協商？先協商出來一個IKE SA，然后再IKE SA的基礎上協商出來一個IPSec SA。直接一步到位協商出IPSec SA不是很好嗎？但是在實際應用中，直接協商IPSec SA就顯得不是那么有效率了。打個比方，某公司A有個子公司B ...

〇 前言 這怕是最后一篇關於IKE，IPSEC的文字了，因為不能沒完沒了。 所以，我一直在想這個標題該叫什么。總的來說可以將其概括為：IKE NAT穿越機制的分析。 但是，同時它也回答了以下問題： （1）IKE協議交互消息概述。（2）為什么IKE除了端口500還用了端口4500 ...

strongwan sa分析(二) 目錄 strongwan sa分析(二) 名詞約定 rekey/reauth 機制分析 1 概述 2 reauth 2.1 IKEv2 ...

前言 接上篇：[ipsec][crypto] 有點不同的數字證書到底是什么 本篇內容主要是上一篇內容的延伸。抽象的從概念上理解了證書是什么之后，我們接下來 從實踐的角度出發，以IKEv2和TLS兩個協議為例子，熟悉一下數字證書認證在協議上的實現。 author: classic_tong ...

strongswan SA分析（一） 1 概念 下面主要介紹兩個本文將要闡述的核心概念。他們是SA和SP。注意，這不是一篇不需要背景知識的文章。作者認為你適合閱讀接下來內容的的前提是，你已經具備了一下三方面的知識： a. 什么是VPN。 b. 什么是IPsec，包括IKE，ESP ...

IKE/IPSec 屬於網絡層安全協議，保護 IP 及上層的協議安全。自上個世紀末面世以來，關於這兩個協議的研究、應用，已經非常成熟。協議本身，也在不斷地進化。僅以 IKE 為例，其對應的 RFC 編號從 RFC 2407/2408/2409 演化成 RFC 4306，再演化為 RFC 5996 ...

〇 ike協商的過程最終是為了SA的建立, SA的建立后, 在底層中管理過程,也是相對比較復雜的. 這里邊也經常會出現失敗的情況. 我們以strongswan為例, 在strongswan的底層SA管理由linux kernel實現, 並通過netlink與strongswan進行交互 ...

在上一篇中，搭建好了實驗環境。完整運行一次 IKE/IPSec 協議，收集相關的輸出及抓包，就可以進行協議分析。分析過程中，我們將使用 IKE 進程的屏幕輸出和 Wireshark 抓包，結合相關 RFC，利用 python 進行驗證計算。先看協議的一次完整運行（過濾掉無關報文，如下圖 ...