ike协议

A. Win7ike身份凭证不可接受怎么解决

IKE 协议(因特网密钥交换协议)

因特网密钥交换协议（IKE ）是一份符合因特网协议安全（IPSec ）标准的协议。它常用来确保虚拟专用网络VPN （virtual private network）与远端网络或者宿主机进行交流时的安全。对于两个或更多实体间的交流来说，安全协会（SA ）扮演者安全警察的作用。每个实体都通过一个密钥表征自己的身份。因特网密钥交换协议（IKE ）保证安全协会（SA ）内的沟通是安全的。 因特网密钥交换协议（IKE ）是结合了两个早期的安全协议而生成的综合性协议。它们是：Oakley 协议和SKEME 协议。因特网密钥交换协议（IKE ）是基于因特网安全连接和密钥管理协议ISAKMP （Internet Security Association and Key Management Protocol ）中TCP/IP框架的协议。因特网安全连接和密钥管理协议ISAKMP 包含独特的密钥交换和鉴定部分。Oakley 协议中指定了密钥交换的顺序，并清楚地描述了提供的服务，比如区别保护行为和鉴定行为。SKEME 协议说明了密钥交换的具体方法。尽管没有要求因特网密钥交换协议（IKE ）符合因特网协议安全（IPSec ）的内容，但是因特网密钥交换协议（IKE ）内的自动实现协商和鉴定、否则重发服务（请参考否则重发协议）、凭证管理CA （Certification Authority）支持系统和改变密码生成方法等内容均得益于因特网协议安全（IPSec ）。

Intenet 密钥交换协议(IKE)是用于交换和管理在VPN 中使用的加密密钥的. 到目前为止, 它依然存在安全缺陷. 基于该协议的重要的现实意义, 简单地介绍了它的工作机制, 并对它进行了安全性分析; 对于抵御中间人攻击和DoS 攻击, 给出了相应的修正方法; 还对主模式下预共享密钥验证方法提出了新的建议; 最后给出了它的两个发展趋势:JFK和IKEv2.

B. 目前有没有支持 IKEv2 协议的路由器/固件

1、支持第三方固件的路由器目前是在太多了
2、要具备支持3G网卡的可就不是很多咯

C. Internet密钥交换协议(IKE)的工作机制是什么在IPSEC的实现中起到什么作用

ipsec 的密钥是用ike传输的，ipsec使用对称密钥加密传输数据，使用非对称密钥加密传输数据时使用的对称密钥，以此来实现ipsec密钥的安全传输。
有疑问再追问吧~大家讨论，呵呵

D. 试说明IPSec协议体系中IKE SA的作用及其协商过程

主模式包分析 ：
1 ，2 包 交换IP地址和IKE阶段的策略
（发送方会把所有的策略都发送给接收方，接收方首先看发送方地址在不在自己的peer中
在拿自己的第一个策略依次对比发送方发来的
所有策略，如果没有匹配的，在拿第二个策略去匹配发送方发来的所有策略
直到发现匹配的为止，如果没有匹配的，那么IKE也就不会继续下去
设置合理的策略顺序可以节约一些协商时间）
A set peer name 1.1.1.1
B set peer nmae 2.2.2.2
A给B发送第一个包 ， 如果B的peer没有A的IP 地址， 就不会在继续下去
策略是 以下五个方面
1 ：authentication 方式
pre-share
数字签名
2 ： hash 方式
3 ：encryption 第五到第九的包 ，的方法 （只加密IKE的信息，不加密实际的数据）
4 ： dh group 组号: 用于安全的交换密钥 ，和生成随机密钥用于加密数据 （通 过这个方法不用传送密钥，只需要传送能计算出密钥的材料，对方计算出密钥在和自己的密钥做对比，相同则认证通过） 组号是定义已知数值的长度和数值，越大就越难求出公共密钥，就越安全
1 768
2 1024
5 ：key life （hash 是做HMAC的，需要一个密钥，密钥有个生存时间保证安全）
默认是一天
三，四个包 ：
用于DH交换 ， 交换DH 公共值（A，B） ，和随机数， 用于密钥的协商 明文交换
会协商出3个密钥 ：
skeyid_a ： 用于提供IKE消息的数据完整性和认证（用于HMAC)（auth.key)
skeyid_d : 用于计算后续的IPSEC 密钥资源
（用于对实际的数据加密，如果启用PFS ，这个key就没用了）
skeyid_e : 用于加密IKE消息 （加密IKE 第五到九个包）
五六个包 ： 认证
在加密的环境下认证
通过把一些双方都相同的材料包括pre-share-key在一起hash （HMAC）
并把hash值加密后发送给对方
如果总是重传，可能是密钥配错了

主动模式 ： 主动模式 ： 3个包完成第一阶段 ， 应用于预共享密钥 远程拨号VPN
一 ： 策略 ， DH 公共值 ， 个人信息（相同材料的hash值）明文发送给接收方
二 ： 接收方返回接收的策略和自己的DH公共值和自己的个人信息
三 ： 确认一下

第二阶段 ： 协商对具体流量加密的策略 就是 协商IPSEC SA
第二阶段的协商是基于流量触发的
一包：发送对实际流量处理的策略 (可以发送多个策略）
二包：接收方接受某个策略 （把接受的策略返回给发送方）
三包: 确认，表示隧道建立
策略有以下五种：
1 ：ACL : （如果ACL并不是完全相反的，但是是合理的，那会不会不通） ？？？？
2 ：方式 : des /3des /aes
3 ：hash :md5/ sha-1
封装 ： esp / AH （ 和第一阶段不一样的地方）
4 ：key life ：默认一小时
5 ：mode ： 隧道，传输 （也不同与第一阶段） ， （第一阶段有AH组号和认证方式）
注（如果启用PFS ,应该还可以配置一个DH group号，

E. 常见IPsec VPN所使用的通讯协议和端口号是多少

常见IPsec VPN所使用的通讯协议是UDP协议，和端口号是UDP500和UDP4500。

IPsec VPN使用UDP通讯协议，通过内部的版vpn节点发起一个权udp连接，再封装一次ipsec，送到对方，因为udp可以通过防火墙进行记忆，通过udp再封装的ipsec 包，可以通过防火墙来回传递。在没有nat设备的环境中使用UDP500作为端口号，在有nat设备的环境中使用UDP4500作为端口号。

(5)ike协议扩展阅读：

IPsec VPN作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。

IPsec VPN通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。

IPsec VPN用户访问内网资源还需为拔入到UTM25的用户分配一个虚拟的私有IP，使SSL VPN客户端的用户可以像局域网用户一样能正常访问局域网内的资源。

F. 虚接口,ike安全提议,ike对等体,ipsec安全协议,ipsec安全策略都是什么

ike是在ipsec建立连接前进行对等体检测,协商ipsec参数.为ipsec建立一个安全的环境.
这个可以说是2次认证
他们自己的sa只对自己有效.具体的书上有.书名：cisco组建安全虚拟网络

G. win7” IKEAuthIP IPSec密钥服务”“IPv6兼容助手服务“ ”windows搜索“

IKEAuthIP IPSec密钥服务来 这个可以禁止自 这个是你升级版本时候才用的着的 兼容助手不可以禁止 禁止以后好多程序都会出现不兼容现象 W搜索就是帮助你查找文件的 可留也可不留 要看LZ是否清楚自己的文件存放位置 假如模糊的话 就留着吧

H. 虚接口，ike安全提议，ike对等体，ipsec安全协议，ipsec安全策略 有什么用

起到保护被保护设备的作用。

I. ike v2协议可以使用哪些身份认证

比如说一家公司有一个分公司，互相之间想建立网络，如果用电缆直接连接，代价回太高，而且政府答也不允许。于是两边都接入当地的互联网，通过互联网建立一个虚拟的连接，数据打好包传到另一边再解开，对于两端的计算机来说和局域网一样，完全感觉不出另一台机器在外地，这就是VPN。