1、 IKE认证过程与SSL区别
2、 IPsec加密对象
3、 DH算法作用
4、 IKE SA 与IPsec SA
5、 IKE协商过程
总结
1、IKE 密钥管理协议,动态认证 IPsec对等体,协商安全服务,并可以自动生成共享密钥。
2、由于传输模式不会修改IP报文头部,所以仅仅适合PC-PC场景
隧道模式会在AH ESP报文前面加上一个外网IP,用于网关-网关通信
因此,IPSec VPN如下:
PC1--网关1——————IPsec会话——————网关2--PC2
(注意:PC与PC之间,如果是不同网段,通信必须加上网关(路由器),此时只能用隧道模式,因为传输模式不会修改IP头部)
3、IKE协商
IKE功能:
协商通信双方安全特性,参数
通信双方身份认证(基于预共享密钥方式、基于数字签名)
DH方法产生共享密钥
管理,更新,删除SA信息
第一阶段协商:
发起方-----------》本地所支持IKE策略(加密算法,hash算法,DH组,认证方式,SA生存时间)
总结:
第一阶段作用:对等体之间彼此验证,并协商出IKE SA信息,保护第二阶段IPSec SA协商过程
第二阶段作用:协商IPsec SA信息,报数IPsec数据流