一.引言
原想着在链接:IPSEC VPN详解中把它一起讲完的,害怕一开始体系太大各位理解不了,于是单独拿出来作为一个知识点作为讲解,望大家看完后加强对IPSEC VPN的理解。
二.IKE介绍
Internet密钥交换协议(IKE),属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。其中:
(1) 因特网安全连接和密钥管理协议ISAKMP包含独特的密钥交换和鉴定部分。
(2)Oakley协议中指定了密钥交换的顺序。
(3)SKEME协议说明了密钥交换的具体方法。
但这些在IPSEC里面我们都不具体了解,我们要知道IKE是为了搭建SA(安全联盟),来在SA基础下对数据包提供安全服务
三.IKE协议与IPSEC VPN的逻辑关系
1.IPSEC的实现基础是SA(安全联盟),也正是IKE协议动态建立 SA来保障IPSEC的实现。
2.IKE为对等题之间生成并提供密钥,这为IPSEC中的安全协议AH/ESP共同组成加密算法
四.SA介绍
定义
安全联盟SA(Security Association):在ipsec中,俩加密点经过IKE协议协商建立的一种关系,他为双方提供俩用哪种安全协议保护数据安全,应用的算法标识,以及密钥和密钥的生存周期。
与ipsec的关系
SA是IPSEC的基础,也是IPSEC实现的本质
通俗描述
实际上ipsec就是在ipsec对等体之间提供某种约定,或者提供一定的参数,当通信点A与B传递消息时,SA会为其提供约定的工作模式(传输模式或则隧道模式),或则为安全协议提供所需要的密钥。
注意事项
安全联盟时单向的,如果要在俩个对等体之间实现双向通信,那么至少需要建立俩个安全联盟来对俩个方向的数据进行保护。
有趣的是你可以一边设置为AH,一边设置为ESP.
五.IKE的工作流程
目的
想要IPSEC保护业务数据在对等题之间转发,就必须要建立SA(安全联盟),SA的建立方法有多种这里我们采用internet密钥交换(IKE)的方法动态建立SA。具体工作流程分为阶段一和阶段二来实现。
阶段一
主模式
解析:
一二步重点在于交换协商各种策略(加密算法,认证方法,SA存活时间),为后续IPSEC SA的建立打下基础
三四步重在与交换并生成密钥,为后续的使用做下铺垫
五六步就用前面产生的密钥相互认证,从而互相认证对方,从而建立ISAKMP SA.
野蛮模式
解析:
第一步传过去就有了各种策略(加密算法,认证方法。。。)
第二步回包确认策略,并发送“认证散列值”来(hash)
第三步返回所确认的散列值,确认一致性
比较俩者区别:
阶段二
解析:阶段二采用快速模式,在第一阶段协商的ISAKMP SA的基础上去再次协商各自安全参数(加密算法,hash算法,安全协议,封装模式,存活时间)从而升级为IPSEC SA,达成建立最终SA(安全联盟)的目的。
六.检验分析
第一阶段检验:
第二阶段检验:
七.尾言
以上为基于IPSEC讲解的IKE协议知识点,望大家能结和IPSEC VPN详解去理解他,去理解IKE的实现目的和方式,望大家能好好掌握!!!加油