今天带大家了解一下IKE协商第二阶段快速模式协商过程。
IKE协商第二阶段快速模式协商过程
第二阶段共产生3个交互报文,都是被第一阶段的ISAKMP/IKE SA中的加密算法、验证算法所保护,IKE协商第二阶段的目的是产生最终用于加密和验证IP数据报文的IPSec SA。
lPSec SA包含通信的IPSec实体双方使用ESP还是AH,对何种IP报文实施保护,双方加密和验证的密钥等。IPSec通信实体双方对于上述参数必须达成一致,否则IKE第二阶段协商将无法通过。同时为降低密钥之间的关联性,第二阶段重新进行DH交换,并计算出新的共享密钥,从而计算出IPSec SA中用于加密和验证的密钥。
第1个ISAKMP报文携带RA所配置的IPSec保护策略,即使用ESP还是AH、采用什么模式、加密IP数据使用什么加密算法、验证IP数据使用什么算法、对什么样的数据流进行保护等
RB收到RA发出的第二阶段第1个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值并与收到的HASH载荷进行比较。
若相同,RB则发出第2条ISAKMP消息,包含的载荷与RA发出的一致。
RA收到RB发出的第二阶段第2个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值并与收到的HASH载荷进行比较。
若相同,RA则发出第3条ISAKMP消息,只包含HASH载荷,用以通知RB完成第二阶段IPSec SA协商并可以使用IPSec SA对IP数据进行保护。