众元教育H3CSE20200603班-IPsec SA的协商
引言:用IPSec保护一个IP包之前,必须先建立安全联盟(SA),IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保障安全性。这时就可以使用IKE自动进行安全联盟建立与密钥交换过程。Internet密钥交换(IKE)就用于动态建立SA,代表IPSec对SA进行协商。
注:SA(安全联盟)是通信对等体间对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA。
一、IKE的工作过程
刚开始讲IKE大家可能会很迷惑,IKE到底用在哪个地方?怎么用?用了之后会怎么样?请大家看下面的图片
大家可以看到整个IPSec架构中,不管使用AH协议还是ESP需要鉴别算法来保证数据的完整性,如果是ESP协议的话还会需要加密算法,而且不管是加密算法还是鉴别算法,都会使用密钥,那么通信双方如果要顺利进行通信,就得采取相同的加密算法和鉴别算法,不然一边加密或做了散列运算的数据到另一端就无法识别。而且即使配置了相同的加密算法和鉴别算法,还