IPSec的IKEv1和IKEv2协议
IKE介绍
文章目录
IKE是一个复合协议。
因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)500 端口号,的应用层协议。
IKE负责建立和维护IKE SAs 和 IPSec SAs。功能主要体现在如下几个方面:
- 对双方进行认证
- 交换公共密钥,产生密钥资源,管理密钥
- 协商协议参数(封装、加密、验证…)
IKE的三个组件:
- SKEME:实现公钥加密认证的机制
- Oakley:基于到达两个对等体间的加密密钥的机制
- ISAKMP:在两个实体间进行分组格式及状态转换的消息交换的体系结构。
IKE有两个版本:
- IKEV1
- IKEV2-------华为默认
IKE与IPSec的关系
IKE为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
图:IKE与IPSec的关系图
IKE与IPSec的关系如上图所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。
IKEv1的三个模式
IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。
注:两个对等体间仅有一个IKE SA,它是一个双向逻辑连接。
IKEv1阶段2的目的就是建立用来传输数据的IPSec SA。IKEv1阶段2通过快速交换模式完成。由于快速交换模式使用IKEv1阶段1中生成的密钥SKEYID_ a对ISAKMP消息的完整性和身份进行验证,使用密钥SKEYID_ e对ISAKMP消息进行加密,故保证了交换的安全性。
在快速交换模式中,对等体两端协商IPSecSA的各项参数,并为数据传输衍生出密钥。