在GM的某接口上应用了A2A VPN的相关GDOI安全策略后,GM会向KS发起注册,这个注册过程包括两个阶段的协商:IKE协商和GDOI协商,具体内容如下:
-
第一阶段为IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,建立IKE SA。
IKE协商过程,详情请参见《Huawei AR系列 V200R010 配置指南-IPSec配置》中的“IKE协议”。
-
第二阶段为GDOI协商:在第一阶段建立的IKE SA的保护下GM与KS进行GDOI协商,并从KS下载密钥信息(KEK、TEK)。
具体的协商过程如图1所示。
-
GM获取管理员配置的组ID,向KS发送所在组的ID。
-
KS对收到的组ID进行验证,验证通过后,KS根据GM提供的组ID向GM发送相应组的GDOI安全策略(例如保护的数据流信息、认证算法、加密算法、封装模式等)。
-
GM对收到的GDOI安全策略进行验证,如果这些策略是可接受的(例如认证算法和加密算法是可支持的),则向KS发送确认消息。
-
KS收到GM的确认消息后,向GM发送密钥信息(KEK、TEK)。
通过这个过程,GM将从KS上获取的GDOI安全策略和密钥保存到了本地,并生成TEK SA和KEK SA。其中TEK SA用于保护GM间的数据流,KEK SA用于保护GM和KS间的密钥更新消息。
236
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
