2024年3月25日发(作者：骆采白)

现任明教教主GETVPN第二部分

两种GETVPN的密钥

图8-13 GETVPN的密钥

GETVPN一共有如下两种加密数据的密钥:

1. 加密密钥的密钥（KEK）

在密钥服务器和组成员之间，加密密钥更新（Rekey Message）信息的密钥。

2. 加密流量的密钥（TEK）

在组成员之间，加密组成员身后网络之间流量（用户流量）的密钥。

两种GETVPN的安全关联（SA）

图8-14 GETVPN的安全关联

GETVPN一共存在如下三种类型的安全关联:

1. IKE安全关联（IKE SA）

密钥服务器使用IKE认证组成员，并且使用协商的IKE SA加密GDOI的

注册信息。

2. 密钥更新安全关联（Rekey SA）

密钥服务器周期性的发送密钥更新信息（Rekey Message），用此来更新组

成员即将过期的安全关联和密钥。密钥更新安全关联就是用来加密更新信息。

3. IPSec安全关联（IPSec SA）

配置GETVPN的本质就是用来加密组成员之间的客户流量，由密钥服务器

推送给组成员的IPSec安全关联就是用于加密组成员间的客户流量。

GETVPN的网络流量

通过分析GETVPN三种类型的安全关联，我们了解到在密钥服务器和组成

员之间，存在ISAKMP流量（GDOI被IKE第一阶段的安全关联进行保护）和

密钥更新的流量。我们以前学习过标准的ISAKMP流量使用UDP/500来进行传

输。但是在GETVPN环境ISAKMP流量使用UDP/848进行传输。并且密钥更新

信息（使用的其实也是GDOI协议，被REKEY SA的策略与KEK的密钥进行加

密保护）也是使用UDP/848进行传输。所以在密钥服务器和组成员之间只需要

放行UDP/848的GDOI流量。因为注册是有GM主动发起连接，密钥更新是由

KS主动发起连接，所以需要双向放行密钥服务器和组成员之间的UDP/848。

在GM与GM之间不存在GDOI和ISAKMP的流量，有的只是IPSec加密

后的数据。所以根据采用的封装协议不同，适当放行ESP或AH流量即可。但

是需要注意的是，这些流量的源和目的不是GM的地址，而是GM所保护网络

之间的ESP或AH流量。

2024年3月25日发(作者：骆采白)

现任明教教主GETVPN第二部分

两种GETVPN的密钥

图8-13 GETVPN的密钥

GETVPN一共有如下两种加密数据的密钥:

1. 加密密钥的密钥（KEK）

在密钥服务器和组成员之间，加密密钥更新（Rekey Message）信息的密钥。

2. 加密流量的密钥（TEK）

在组成员之间，加密组成员身后网络之间流量（用户流量）的密钥。

两种GETVPN的安全关联（SA）

图8-14 GETVPN的安全关联

GETVPN一共存在如下三种类型的安全关联:

1. IKE安全关联（IKE SA）

密钥服务器使用IKE认证组成员，并且使用协商的IKE SA加密GDOI的

注册信息。

2. 密钥更新安全关联（Rekey SA）

密钥服务器周期性的发送密钥更新信息（Rekey Message），用此来更新组

成员即将过期的安全关联和密钥。密钥更新安全关联就是用来加密更新信息。

3. IPSec安全关联（IPSec SA）

配置GETVPN的本质就是用来加密组成员之间的客户流量，由密钥服务器

推送给组成员的IPSec安全关联就是用于加密组成员间的客户流量。

GETVPN的网络流量

通过分析GETVPN三种类型的安全关联，我们了解到在密钥服务器和组成

员之间，存在ISAKMP流量（GDOI被IKE第一阶段的安全关联进行保护）和

密钥更新的流量。我们以前学习过标准的ISAKMP流量使用UDP/500来进行传

输。但是在GETVPN环境ISAKMP流量使用UDP/848进行传输。并且密钥更新

信息（使用的其实也是GDOI协议，被REKEY SA的策略与KEK的密钥进行加

密保护）也是使用UDP/848进行传输。所以在密钥服务器和组成员之间只需要

放行UDP/848的GDOI流量。因为注册是有GM主动发起连接，密钥更新是由

KS主动发起连接，所以需要双向放行密钥服务器和组成员之间的UDP/848。

在GM与GM之间不存在GDOI和ISAKMP的流量，有的只是IPSec加密

后的数据。所以根据采用的封装协议不同，适当放行ESP或AH流量即可。但

是需要注意的是，这些流量的源和目的不是GM的地址，而是GM所保护网络

之间的ESP或AH流量。