日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
生成和交換預(yù)共享密鑰

預(yù)共享密鑰

創(chuàng)新互聯(lián)建站專(zhuān)注于高州網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供高州營(yíng)銷(xiāo)型網(wǎng)站建設(shè),高州網(wǎng)站制作、高州網(wǎng)頁(yè)設(shè)計(jì)、高州網(wǎng)站官網(wǎng)定制、微信小程序定制開(kāi)發(fā)服務(wù),打造高州網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供高州網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

讓我們以一個(gè)簡(jiǎn)單的認(rèn)證工具開(kāi)始:預(yù)共享密鑰。為了使預(yù)共享密鑰認(rèn)證正常工作,每臺(tái)主機(jī)上都定義了一個(gè)通用的密鑰。這個(gè)密鑰的定義將密鑰與遠(yuǎn)程節(jié)點(diǎn)ISAKMP身份綁定在一起。從安全性方面而言,不好的做法是在每一對(duì)節(jié)點(diǎn)使用唯一的密鑰。預(yù)共享密鑰是通過(guò)使用全局配置命令配置的。

ISAKMP身份是遠(yuǎn)程路由器向本地節(jié)點(diǎn)發(fā)送ISAKMP信息的接口。如果路由器在多個(gè)接口上支持,那么主機(jī)名應(yīng)該當(dāng)作ISAKMP身份。使用全局命令可以配置路由器在它的ISAKMP節(jié)點(diǎn)協(xié)商中發(fā)送它的主機(jī)名。在默認(rèn)情況下是使用路由器的ISAKMP接口IP地址。如果主機(jī)名選項(xiàng)被用于識(shí)別ISAKMP協(xié)商,那么遠(yuǎn)程節(jié)點(diǎn)主機(jī)需要有主機(jī)名到IP地址的映射,這是通過(guò)實(shí)現(xiàn)的。

路由器也可以使用DNS來(lái)進(jìn)行主機(jī)名解析,但是本地主機(jī)名定義速度更快而且不會(huì)因?yàn)镈NS服務(wù)器的問(wèn)題而中斷。下面是一個(gè)兩個(gè)路由器間的預(yù)共享key配置例子。本地路由器發(fā)送它的主機(jī)名,然后遠(yuǎn)程機(jī)器發(fā)送它的IP地址。首先就是本地節(jié)點(diǎn)路由器上的配置(IP地址和主機(jī)名密鑰都已經(jīng)定義了):

 
 
 
    
  
  
  
    2. 
  
  
  
  2. hostname outlan-rt01  
    3. 
  
  
  
    4. 
  
  
  
    5. 
  
  
  
  5. crypto isakmp policy 10  
    6. 
  
  
  
  6. encr 3des  
    7. 
  
  
  
  7. hash md5  
    8. 
  
  
  
  8. authentication pre-share  
    9. 
  
  
  
  9. group 2  
    10. 
  
  
  
  10. crypto isakmp key secretkey address 192.168.10.3  
    11. 
  
  
  
  11. crypto isakmp identity hostname  
    12. 
  
  
  
    13. 
  
  
  
  13. interface FastEthernet0/0  
    14. 
  
  
  
  14. ip address 172.30.80.17 255.255.255.252  
    15. 
  
  
  
    16.

遠(yuǎn)程對(duì)等路由器的配置是這樣的:

 
 
 
    
  
  
  
    2. 
  
  
  
  2. hostname inlan-rt01  
    3. 
  
  
  
    4. 
  
  
  
  4. ip host outlan-rt01 172.30.80.17  
    5. 
  
  
  
    6. 
  
  
  
    7. 
  
  
  
  7. crypto isakmp policy 10  
    8. 
  
  
  
  8. encr 3des  
    9. 
  
  
  
  9. hash md5  
    10. 
  
  
  
  10. authentication pre-share  
    11. 
  
  
  
  11. group 2  
    12. 
  
  
  
  12. crypto isakmp key secretkey address outlan-rt01  
    13. 
  
  
  
    14. 
  
  
  
  14. interface FastEthernet1/0  
    15. 
  
  
  
  15. ip address 192.168.10.3 255.255.255.252  
    16. 
  
  
  
    17.

對(duì)于這個(gè)例子有兩點(diǎn)需要注意。第一點(diǎn)要注意的是只有在本地路由器的配置中有一個(gè)ISAKMP身份定義。這是因?yàn)镮P地址是默認(rèn)發(fā)送的。第二點(diǎn)要注意的是,作為一個(gè)規(guī)則,你不應(yīng)該混合使用ISAKMP的身份方法?;蛘呷褂肐P地址,或者全使用主機(jī)名,這樣可以最小化配置錯(cuò)誤。在以后的文章中,當(dāng)我們探討拓?fù)渑渲玫膬?nèi)容時(shí),我們將更進(jìn)一步地研究如何使用主機(jī)名來(lái)進(jìn)行ISAKMP身份驗(yàn)證。

RSA 現(xiàn)時(shí)標(biāo)記現(xiàn)在我們接著學(xué)習(xí)配置RSA現(xiàn)時(shí)標(biāo)記來(lái)進(jìn)行認(rèn)證。這個(gè)ISAKMP策略例子是使用手動(dòng)地RAS密鑰認(rèn)證交換。

 
 
 
    
  
  
  
  1. crypto isakmp policy 15  
    2. 
  
  
  
  2. encr 3des  
    3. 
  
  
  
  3. hash md5  
    4. 
  
  
  
  4. authentication rsa-encr  
    5. 
  
  
  
  5. group 5  
    6. 
  
  
  
  6. lifetime 300 
    7.

如果說(shuō)我們想要在outlan-rt01和inlan-rt01間應(yīng)用上面的遠(yuǎn)程認(rèn)證密鑰例子。我們需要對(duì)ISAKMP政策做的唯一改變是增加認(rèn)證參數(shù)(在這個(gè)例子中,兩個(gè)主機(jī)使用其IP地址作為ISAKMP身份):

 
 
 
    
  
  
  
    2. 
  
  
  
  2. hostname outlan-rt01  
    3. 
  
  
  
    4. 
  
  
  
    5. 
  
  
  
  5. crypto isakmp policy 10  
    6. 
  
  
  
  6. encr 3des  
    7. 
  
  
  
  7. hash md5  
    8. 
  
  
  
  8. authentication rsa-encr  
    9. 
  
  
  
  9. group 2  
    10. 
  
  
  
    11. 
  
  
  
  11. interface FastEthernet0/0  
    12. 
  
  
  
  12. ip address 172.30.80.17 255.255.255.252  
    13. 
  
  
  
  13. 
  
  
  
  14. hostname inlan-rt01  
    15. 
  
  
  
    16. 
  
  
  
    17. 
  
  
  
  17. crypto isakmp policy 10  
    18. 
  
  
  
  18. encr 3des  
    19. 
  
  
  
  19. hash md5  
    20. 
  
  
  
  20. authentication rsa-encr  
    21. 
  
  
  
  21. group 2  
    22. 
  
  
  
    23. 
  
  
  
  23. interface FastEthernet1/0  
    24. 
  
  
  
  24. ip address 192.168.10.3 255.255.255.252 
    25.

為了對(duì)outlan-rt01和inlan-rt01進(jìn)行認(rèn)證,必須做兩件事情。首先,每個(gè)路由器都必須生成一對(duì)RSA密鑰(公開(kāi)的和私有的)。然后,它們必須共享它們的公鑰。這個(gè)基本過(guò)程在兩個(gè)路由器上是一樣的,因此我們可以看看outlan-rt01的過(guò)程。為了生成一對(duì)RAS密鑰,路由器必須定義一個(gè)的主機(jī)名和IP域名。 

 
 
 
    
  
  
  
  1. router(config)# hostname outlan-rt01  
    2. 
  
  
  
  2. outlan-rt01(config)# ip domain-name outlan.net  
    3.

一旦配置了主機(jī)名和IP域名,下一步就是生成RSA 密鑰。IOS支持可輸出和不可輸出的密鑰,而且這兩種密鑰類(lèi)型都支持RSA現(xiàn)時(shí)標(biāo)記認(rèn)證。然而,生成可輸出密鑰是個(gè)比較好的做法。這樣如果你的環(huán)境部署了認(rèn)證授權(quán),你就可以使用相同的密鑰,這使轉(zhuǎn)變更容易些。

密鑰的生成是通過(guò)使用全局配置命令完成的:對(duì)于不可輸出密鑰是。標(biāo)記(label)是可選擇的;如果沒(méi)有指定標(biāo)記,那么密鑰名稱(chēng)將是hostname.domain-name。對(duì)密鑰進(jìn)行標(biāo)記是很好的做法,因?yàn)橛袝r(shí)你會(huì)需要多個(gè)密鑰。標(biāo)記能夠確保你能找到它們并且防止你不小心誤寫(xiě)的。對(duì)于密鑰的模數(shù)在大小,IOS支持512到2048位的密鑰大小。而1024位的密鑰就已經(jīng)遠(yuǎn)遠(yuǎn)滿(mǎn)足我們的要求了。 

 
 
 
    
  
  
  
  1. outlan-rt01(config)#crypto key generate rsa exportable label outlan-rt01  
    2. 
  
  
  
  2. The name for the keys will be: outlan-rt01  
    3. 
  
  
  
  3. Choose the size of the key modulus in the range of 360 to 2048 for your  
    4. 
  
  
  
  4. General Purpose Keys. Choosing a key modulus greater than 512 may take  
    5. 
  
  
  
  5. a few minutes.  
    6. 
  
  
  
  6. How many bits in the modulus [512]: 1024%  
    7. 
  
  
  
  7. % Generating 1024 bit RSA keys, keys will be exportable...[OK]  
    8. 
  
  
  
  8. outlan-rt01(config)# 
    9.

公共密鑰現(xiàn)在我們已經(jīng)生成了RSA密鑰,我們需要將我們的公鑰放到inlan-rt01上。在開(kāi)始這個(gè)步驟時(shí),我們要看一下outlan-rt01的公鑰。從EXEC中,我們使用命令。如果在路由器上不存在密鑰,那么輸出就是這樣的:

 
 
 
    
  
  
  
  1. outlan-rt01#show crypto key mypubkey rsa  
    2. 
  
  
  
  2. outlan-rt01#  
    3.

如果存在一個(gè)或者多個(gè)密鑰,那么輸出就是這樣的:

 
 
 
    
  
  
  
  1. outlan-rt01#show crypto key mypubkey rsa outlan-rt01  
    2. 
  
  
  
  2. % Key pair was generated at: 01:03:58 UTC Apr 25 2002  
    3. 
  
  
  
  3. Key name: outlan-rt01  
    4. 
  
  
  
  4. Storage Device: not specified  
    5. 
  
  
  
  5. Usage: General Purpose Key  
    6. 
  
  
  
  6. Key is exportable.  
    7. 
  
  
  
  7. Key Data:  
    8. 
  
  
  
  8. 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 009F100B  
    9. 
  
  
  
  9. 36665972 E97AD0B1 BC863579 66B67706 F9B009E9 39FF9C24 59D64250 5B45B2EF  
    10. 
  
  
  
  10. 6F6EBA57 2635235A CCC2DEF7 11653C33 956E92BD 45ED2B4E CDEFB15F 40CCAE7C  
    11. 
  
  
  
  11. F5E06445 17FEAF2B 75BD936C E75465A0 9F7EEB52 1D387EBB E78B553B 1E56957D  
    12. 
  
  
  
  12. 4E607481 E3CF0482 8C672F6D F772170D 6B599060 BB96D7B2 9DEA29E7 CD020301 0001  
    13. 
  
  
  
  13. outlan-rt01#  
    14. 
  
  
  
  14.

有時(shí)候,可能我們喜歡只有一個(gè)密鑰,或者我們只想要一個(gè)密鑰時(shí)卻生成了兩個(gè)。為了刪除一個(gè)密鑰,我們可以在全局配置模式中運(yùn)行。一旦key被刪除,刪除結(jié)果會(huì)馬上生效且不能恢復(fù)。因此,在你決定要“化零”一個(gè)密鑰時(shí)一定要小心。下面是一個(gè)刪除一個(gè)名為outlan-rt01.outlan.net的密鑰的例子:

 
 
 
    
  
  
  
  1. outlan-rt01#config t  
    2. 
  
  
  
  2. Enter configuration commands, one per line. End with CNTL/Z.  
    3. 
  
  
  
  3. outlan-rt01(config)#crypto key zeroize rsa outlan-rt01.outlan.net  
    4. 
  
  
  
  4. % Keys to be removed are named named 'outlan-rt01.outlan.net'.  
    5. 
  
  
  
  5. % All router certs issued using these keys will also be removed.  
    6. 
  
  
  
  6. Do you really want to remove these keys? [yes/no]: yes  
    7. 
  
  
  
  7. outlan-rt01(config)#  
    8. 
  
  
  
  8. The RSA keys are stored in the private-config file on the nvram file system:  
    9. 
  
  
  
  9. outlan-rt01#dir nvram:  
    10. 
  
  
  
  10. Directory of nvram:/  
    11. 
  
  
  
  11. 27 -rw- 751 startup-config  
    12. 
  
  
  
  12. 28 ---- 24 private-config  
    13. 
  
  
  
  13. 1 -rw- 0 ifIndex-table  
    14. 
  
  
  
  14. 2 ---- 27 persistent-data  
    15. 
  
  
  
  15. 29688 bytes total (26813 bytes free)  
    16. 
  
  
  
  16. outlan-rt01#  
    17.

這樣,我們知道如何創(chuàng)建和刪除RAS密鑰了,而且我們已經(jīng)為outlan-rt01建立了一個(gè)密鑰。我們還需要配置inlan-rt01來(lái)使用這個(gè)密鑰。這是通過(guò)將outlan-rt01的RSA的公鑰添加到inlan-rt01公共密鑰鏈中實(shí)現(xiàn)的。

為了在outlan-rt01上查看這個(gè)公鑰,我們這樣運(yùn)行:

 
 
 
    
  
  
  
  1. outlan-rt01#sh crypto key mypubkey rsa outlan-rt01  
    2. 
  
  
  
  2. % Key pair was generated at: 01:40:40 UTC Apr 25 2002  
    3. 
  
  
  
  3. Key name: outlan-rt01  
    4. 
  
  
  
  4. Storage Device: not specified  
    5. 
  
  
  
  5. Usage: General Purpose Key  
    6. 
  
  
  
  6. Key is exportable.  
    7. 
  
  
  
  7. Key Data:  
    8. 
  
  
  
  8. 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E45800  
    9. 
  
  
  
  9. 259A0BB9 D0D1E847 2D9E5045 6EB03D8B 1F03F1F3 C2B93EE6 35888B31 DF2E3384  
    10. 
  
  
  
  10. 71C7C331 11D6308D E41511C5 ADC45E2B 340B458B 63DC16E7 AA9FE214 C35941F1  
    11. 
  
  
  
  11. E3A5B136 752D963C 94B7892B B8A5B1F5 D13042D9 6754DDDB 40DAEFD6 D50A0AF2  
    12. 
  
  
  
  12. 255499F6 448F7F59 E2823792 79696875 48649C7A 22838305 28622634 A3020301 0001  
    13. 
  
  
  
  13. outlan-rt01#  
    14. 
  
  
  
  14.

在我們添加密鑰到inlan-rt01公共的公鑰鏈之前,讓我們先看看這個(gè)密鑰是否已經(jīng)在inlan-rt01上定義了。(經(jīng)常檢查是個(gè)很好的方式,即使你知道它并不在那):

 
 
 
    
  
  
  
  1. inlan-rt01#sh crypto key pubkey-chain rsa  
    2. 
  
  
  
  2. Codes: M - Manually configured, C - Extracted from certificate  
    3. 
  
  
  
  3. inlan-rt01#  
    4. 
  
  
  
  4.

密鑰并不在,因此我們需要手動(dòng)定義和導(dǎo)入一個(gè)。在做這個(gè)步驟時(shí),我們必須備份outlan-rt01的密鑰或者在路由器上打開(kāi)一個(gè)EXEC會(huì)話(huà)以便我們可以備份密鑰。然后我們?cè)趇nlan-rt01上打開(kāi)EXEC會(huì)話(huà),進(jìn)入配置樣式然后進(jìn)入公鑰鏈配置模式:

 
 
 
    
  
  
  
  1. inlan-rt01#config t  
    2. 
  
  
  
  2. Enter configuration commands, one per line. End with CNTL/Z.  
    3. 
  
  
  
  3. inlan-rt01(config)#  
    4. 
  
  
  
  4. inlan-rt01(config)#crypto key pubkey-chain rsa  
    5. 
  
  
  
  5. inlan-rt01(config-pubkey-chain)#  
    6. 
  
  
  
  6. Once in keychain mode, we need to first associate an IP address with the key. The router will be using its IP address as its ISAKMP identity.  
    7. 
  
  
  
  7. inlan-rt02(config-pubkey-chain)#addressed-key 172.30.80.18  
    8. 
  
  
  
  8.

一旦輸入命令,路由器就進(jìn)入了配置公鑰模式。把這個(gè)key粘貼到keychain上,我們先輸入指令。一旦這個(gè)指令輸入,路由器就進(jìn)入公鑰配置模式,同時(shí)提示我們從其他路由器粘貼密鑰數(shù)據(jù)。我們只需要拷貝密鑰數(shù)據(jù)域(從outlan-rt01上開(kāi)始的密鑰數(shù)據(jù)):

 
 
 
    
  
  
  
  1. 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E45800  
    2. 
  
  
  
  2. 259A0BB9 D0D1E847 2D9E5045 6EB03D8B 1F03F1F3 C2B93EE6 35888B31 DF2E3384  
    3. 
  
  
  
  3. 71C7C331 11D6308D E41511C5 ADC45E2B 340B458B 63DC16E7 AA9FE214 C35941F1  
    4. 
  
  
  
  4. E3A5B136 752D963C 94B7892B B8A5B1F5 D13042D9 6754DDDB 40DAEFD6 D50A0AF2  
    5. 
  
  
  
  5. 255499F6 448F7F59 E2823792 79696875 48649C7A 22838305 28622634 A3020301 0001  
    6. 
  
  
  
  6. inlan-rt02(config-pubkey-key)#key-string  
    7. 
  
  
  
  7. Enter a public key as a hexadecimal number ....  
    8. 
  
  
  
  8. inlan-rt01(config-pubkey)#$0101 05000381 8D003081 89028181 00E45800  
    9. 
  
  
  
  9. inlan-rt01(config-pubkey)#$B03D8B 1F03F1F3 C2B93EE6 35888B31 DF2E3384  
    10. 
  
  
  
  10. inlan-rt01(config-pubkey)#$C45E2B 340B458B 63DC16E7 AA9FE214 C35941F1  
    11. 
  
  
  
  11. inlan-rt01(config-pubkey)#$A5B1F5 D13042D9 6754DDDB 40DAEFD6 D50A0AF2  
    12. 
  
  
  
  12. inlan-rt01(config-pubkey)#quit  
    13. 
  
  
  
  13. inlan-rt01(config-pubkey-key)#exit  
    14. 
  
  
  
  14. inlan-rt01(config-pubkey-chain)#exit  
    15. 
  
  
  
  15. inlan-rt01(config)#exit  
    16. 
  
  
  
  16. inlan-rt01#  
    17. 
  
  
  
  17.

為了確保密鑰已經(jīng)正確輸入,我們可以對(duì)比一下密鑰。在inlan-rt01上,運(yùn)行命令:

 
 
 
    
  
  
  
  1. inlan-rt01#sh crypto key pubkey-chain rsa address 172.30.80.17  
    2. 
  
  
  
  2. Key address: 172.30.80.17  
    3. 
  
  
  
  3. Usage: General Purpose Key  
    4. 
  
  
  
  4. Source: Manually entered  
    5. 
  
  
  
  5. Data:  
    6. 
  
  
  
  6. 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E45800  
    7. 
  
  
  
  7. 259A0BB9 D0D1E847 2D9E5045 6EB03D8B 1F03F1F3 C2B93EE6 35888B31 DF2E3384  
    8. 
  
  
  
  8. 71C7C331 11D6308D E41511C5 ADC45E2B 340B458B 63DC16E7 AA9FE214 C35941F1  
    9. 
  
  
  
  9. E3A5B136 752D963C 94B7892B B8A5B1F5 D13042D9 6754DDDB 40DAEFD6 D50A0AF2  
    10. 
  
  
  
  10. 255499F6 448F7F59 E2823792 79696875 48649C7A 22838305 28622634 A3020301 0001  
    11. 
  
  
  
  11. inlan-rt01#  
    12. 
  
  
  
  12.

然后,在outlan-rt01上運(yùn)行

 
 
 
    
  
  
  
  1. outlan-rt01#sh crypto key mypubkey rsa outlan-rt01  
    2. 
  
  
  
  2. % Key pair was generated at: 01:40:40 UTC Apr 25 2002  
    3. 
  
  
  
  3. Key name: outlan-rt01  
    4. 
  
  
  
  4. Storage Device: not specified  
    5. 
  
  
  
  5. Usage: General Purpose Key  
    6. 
  
  
  
  6. Key is exportable.  
    7. 
  
  
  
  7. Key Data:  
    8. 
  
  
  
  8. 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E45800  
    9. 
  
  
  
  9. 259A0BB9 D0D1E847 2D9E5045 6EB03D8B 1F03F1F3 C2B93EE6 35888B31 DF2E3384  
    10. 
  
  
  
  10. 71C7C331 11D6308D E41511C5 ADC45E2B 340B458B 63DC16E7 AA9FE214 C35941F1  
    11. 
  
  
  
  11. E3A5B136 752D963C 94B7892B B8A5B1F5 D13042D9 6754DDDB 40DAEFD6 D50A0AF2  
    12. 
  
  
  
  12. 255499F6 448F7F59 E2823792 79696875 48649C7A 22838305 28622634 A3020301 0001  
    13. 
  
  
  
  13. outlan-rt01#  
    14. 
  
  
  
  14. 
  
  
  
  15.

在outlan-rt01和inlan-rt01上的密鑰互相匹配了?,F(xiàn)在我們需要做的就是重復(fù)整個(gè)過(guò)程,這樣inlan-rt01的公共RSA密鑰就在outlan-rt01的RSA共公密鑰鏈上了。我敢肯定到這個(gè)時(shí)候你就理解了涉及使用RSA現(xiàn)時(shí)標(biāo)記的做法了。反復(fù)提醒自己“安全保證代價(jià)不匪——或者不容易”是沒(méi)有壞處的。


當(dāng)前標(biāo)題:生成和交換預(yù)共享密鑰
本文鏈接:http://www.dlmjj.cn/article/dpcjhjh.html