ike協議

A. Win7ike身份憑證不可接受怎麼解決

IKE 協議(網際網路密鑰交換協議)

網際網路密鑰交換協議（IKE ）是一份符合網際網路協議安全（IPSec ）標準的協議。它常用來確保虛擬專用網路VPN （virtual private network）與遠端網路或者宿主機進行交流時的安全。對於兩個或更多實體間的交流來說，安全協會（SA ）扮演者安全警察的作用。每個實體都通過一個密鑰表徵自己的身份。網際網路密鑰交換協議（IKE ）保證安全協會（SA ）內的溝通是安全的。 網際網路密鑰交換協議（IKE ）是結合了兩個早期的安全協議而生成的綜合性協議。它們是：Oakley 協議和SKEME 協議。網際網路密鑰交換協議（IKE ）是基於網際網路安全連接和密鑰管理協議ISAKMP （Internet Security Association and Key Management Protocol ）中TCP/IP框架的協議。網際網路安全連接和密鑰管理協議ISAKMP 包含獨特的密鑰交換和鑒定部分。Oakley 協議中指定了密鑰交換的順序，並清楚地描述了提供的服務，比如區別保護行為和鑒定行為。SKEME 協議說明了密鑰交換的具體方法。盡管沒有要求網際網路密鑰交換協議（IKE ）符合網際網路協議安全（IPSec ）的內容，但是網際網路密鑰交換協議（IKE ）內的自動實現協商和鑒定、否則重發服務（請參考否則重發協議）、憑證管理CA （Certification Authority）支持系統和改變密碼生成方法等內容均得益於網際網路協議安全（IPSec ）。

Intenet 密鑰交換協議(IKE)是用於交換和管理在VPN 中使用的加密密鑰的. 到目前為止, 它依然存在安全缺陷. 基於該協議的重要的現實意義, 簡單地介紹了它的工作機制, 並對它進行了安全性分析; 對於抵禦中間人攻擊和DoS 攻擊, 給出了相應的修正方法; 還對主模式下預共享密鑰驗證方法提出了新的建議; 最後給出了它的兩個發展趨勢:JFK和IKEv2.

B. 目前有沒有支持 IKEv2 協議的路由器/固件

1、支持第三方固件的路由器目前是在太多了
2、要具備支持3G網卡的可就不是很多咯

C. Internet密鑰交換協議(IKE)的工作機制是什麼在IPSEC的實現中起到什麼作用

ipsec 的密鑰是用ike傳輸的，ipsec使用對稱密鑰加密傳輸數據，使用非對稱密鑰加密傳輸數據時使用的對稱密鑰，以此來實現ipsec密鑰的安全傳輸。
有疑問再追問吧~大家討論，呵呵

D. 試說明IPSec協議體系中IKE SA的作用及其協商過程

主模式包分析 ：
1 ，2 包 交換IP地址和IKE階段的策略
（發送方會把所有的策略都發送給接收方，接收方首先看發送方地址在不在自己的peer中
在拿自己的第一個策略依次對比發送方發來的
所有策略，如果沒有匹配的，在拿第二個策略去匹配發送方發來的所有策略
直到發現匹配的為止，如果沒有匹配的，那麼IKE也就不會繼續下去
設置合理的策略順序可以節約一些協商時間）
A set peer name 1.1.1.1
B set peer nmae 2.2.2.2
A給B發送第一個包 ， 如果B的peer沒有A的IP 地址， 就不會在繼續下去
策略是 以下五個方面
1 ：authentication 方式
pre-share
數字簽名
2 ： hash 方式
3 ：encryption 第五到第九的包 ，的方法 （只加密IKE的信息，不加密實際的數據）
4 ： dh group 組號: 用於安全的交換密鑰 ，和生成隨機密鑰用於加密數據 （通 過這個方法不用傳送密鑰，只需要傳送能計算出密鑰的材料，對方計算出密鑰在和自己的密鑰做對比，相同則認證通過） 組號是定義已知數值的長度和數值，越大就越難求出公共密鑰，就越安全
1 768
2 1024
5 ：key life （hash 是做HMAC的，需要一個密鑰，密鑰有個生存時間保證安全）
默認是一天
三，四個包 ：
用於DH交換 ， 交換DH 公共值（A，B） ，和隨機數， 用於密鑰的協商 明文交換
會協商出3個密鑰 ：
skeyid_a ： 用於提供IKE消息的數據完整性和認證（用於HMAC)（auth.key)
skeyid_d : 用於計算後續的IPSEC 密鑰資源
（用於對實際的數據加密，如果啟用PFS ，這個key就沒用了）
skeyid_e : 用於加密IKE消息 （加密IKE 第五到九個包）
五六個包 ： 認證
在加密的環境下認證
通過把一些雙方都相同的材料包括pre-share-key在一起hash （HMAC）
並把hash值加密後發送給對方
如果總是重傳，可能是密鑰配錯了

主動模式 ： 主動模式 ： 3個包完成第一階段 ， 應用於預共享密鑰 遠程撥號VPN
一 ： 策略 ， DH 公共值 ， 個人信息（相同材料的hash值）明文發送給接收方
二 ： 接收方返回接收的策略和自己的DH公共值和自己的個人信息
三 ： 確認一下

第二階段 ： 協商對具體流量加密的策略 就是 協商IPSEC SA
第二階段的協商是基於流量觸發的
一包：發送對實際流量處理的策略 (可以發送多個策略）
二包：接收方接受某個策略 （把接受的策略返回給發送方）
三包: 確認，表示隧道建立
策略有以下五種：
1 ：ACL : （如果ACL並不是完全相反的，但是是合理的，那會不會不通） ？？？？
2 ：方式 : des /3des /aes
3 ：hash :md5/ sha-1
封裝 ： esp / AH （ 和第一階段不一樣的地方）
4 ：key life ：默認一小時
5 ：mode ： 隧道，傳輸 （也不同與第一階段） ， （第一階段有AH組號和認證方式）
注（如果啟用PFS ,應該還可以配置一個DH group號，

E. 常見IPsec VPN所使用的通訊協議和埠號是多少

常見IPsec VPN所使用的通訊協議是UDP協議，和埠號是UDP500和UDP4500。

IPsec VPN使用UDP通訊協議，通過內部的版vpn節點發起一個權udp連接，再封裝一次ipsec，送到對方，因為udp可以通過防火牆進行記憶，通過udp再封裝的ipsec 包，可以通過防火牆來回傳遞。在沒有nat設備的環境中使用UDP500作為埠號，在有nat設備的環境中使用UDP4500作為埠號。

(5)ike協議擴展閱讀：

IPsec VPN作為一項成熟的技術，廣泛應用於組織總部和分支機構之間的組網互聯，其利用組織已有的互聯網出口，虛擬出一條「專線」，將組織的分支機構和總部連接起來，組成一個大的區域網。

IPsec VPN通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網路的IP地址，實現異地網路的互通。

IPsec VPN用戶訪問內網資源還需為拔入到UTM25的用戶分配一個虛擬的私有IP，使SSL VPN客戶端的用戶可以像區域網用戶一樣能正常訪問區域網內的資源。

F. 虛介面,ike安全提議,ike對等體,ipsec安全協議,ipsec安全策略都是什麼

ike是在ipsec建立連接前進行對等體檢測,協商ipsec參數.為ipsec建立一個安全的環境.
這個可以說是2次認證
他們自己的sa只對自己有效.具體的書上有.書名：cisco組建安全虛擬網路

G. win7」 IKEAuthIP IPSec密鑰服務」「IPv6兼容助手服務「 」windows搜索「

IKEAuthIP IPSec密鑰服務來 這個可以禁止自 這個是你升級版本時候才用的著的 兼容助手不可以禁止 禁止以後好多程序都會出現不兼容現象 W搜索就是幫助你查找文件的 可留也可不留 要看LZ是否清楚自己的文件存放位置 假如模糊的話 就留著吧

H. 虛介面，ike安全提議，ike對等體，ipsec安全協議，ipsec安全策略 有什麼用

起到保護被保護設備的作用。

I. ike v2協議可以使用哪些身份認證

比如說一家公司有一個分公司，互相之間想建立網路，如果用電纜直接連接，代價回太高，而且政府答也不允許。於是兩邊都接入當地的互聯網，通過互聯網建立一個虛擬的連接，數據打好包傳到另一邊再解開，對於兩端的計算機來說和區域網一樣，完全感覺不出另一台機器在外地，這就是VPN。