IKE (互联网密钥交换协议)
IPsec VPN needs to negociate which protocol to use including confidentical ,hash,encalpsulate,tunnel an so on
执行协商任务的协议叫IKE
object:
- 对建立IPsec的双方进行认证(预先协商认证方式)
- 通过密钥交换,产生用于加密和HMAC的随机密钥
- 协商协议参数(加密协议,散列函数,封装协议,模式,密钥有效期)
协商完成结果叫SA(安全关联),分为 IKE SA 和 IPsec SA
IKE本质协议 ISAKMP,决定IKE协商包的分装格式,交换过程和模式的切换
IKE的两个阶段 三个模式
第一阶段目的: 对建立双方进行认证,确认只有合法的peer才能建立IPsec VPN,建立一个双向的ISAKMP/IKE安全关联(SA)
第二阶段目的:根据需要加密的实际流量 来协商保护这些流量的策略
主模式(6 messages)
1——2 : 核对收到ISAKMP包的原地址,确认来源合法peer。 协商IKE策略
3——4 : DH(非对称) 交换生成密钥
5——6:认证
