认证密钥:IKE支持使用预共享密钥、RSA密钥或者暂时)、数字认证和可扩展认证Extended Authentication,Xauth)来进行认证管理。

IKE可以在三种模式下操作:主模式、积极模式和快速模式。其中主模式和积极模式都实现相同的目标,即建立初始化阶段和第1阶段的IKE SA。第一阶段的SA引导了IKE过程。一旦第一阶段的协商完成,快速模式就可以用于第二阶段的IKE操作,它允许全SA协商和在SA过期时刷新SA信息。

主模式、积极模式和快速模式之间的不同与安全级别和消息交换数量有关。主模式有六种信息交换模式三种是在创建者中,三种是在响应者中)。主模式始于连接创建者发起一个保证Diffie-Hellman密钥交换安全的协商SA。一旦协商的SA建立,用于快速模式认证、IKE认证和SA加密的Diffie-Hellman密钥就会生成并交换,实现身份认证管理。

积极模式从连接创建者生成一个Diffie-Hellman密钥开始,目标是得到一个第一阶段的SA和节点的身份。然后响应者回复一个SA和身份认证数据,以及完成数据验证过程的创建者。整个的积极模式交换是在没有SA协商完成的,所有交换的数据都是不加密的。所以虽然与第1阶段有同样的交换信息,但一个更安全而另一个更快速。而且虽然快速模式与积极模式使用了相同数量的报文交换,但是快速模式更依赖在第1阶段协商中建立的身份认证和安全完整性。但至少现在我们应该很清楚IPsec的所有东西都是协商的。IPsec协议节点间支持的安全服务是在两个节点建立通信时协商的。根据节点如网关、主机)的不同类型,它会支持多个或一个IKE策略。当一个会话被初始化,连接的节点会发送它所有支持的IKE策略。远程节点会比较目标策略和它的最高优先级策略及按优先级从高到低顺序的后续策略,然后返回一个匹配的响应。只有两个节点都支持IPsec协议服务才能够在此运用。

例如,节点A能够支持数据加密和完整性验证服务,但节点B仅仅支持数据加密服务。因些节点A和B都需要有一个通用的IKE策略。这样,A将需要有两个不同的IKE策略:一个支持数据和完整性服务的策略,还有一个仅支持数据服务的策略。为了使节点A和B能够通信,就只能使用数据加密服务。如果节点A仅仅有一个支持数据或完整性的IKE策略,那么IKE将会终止它们之间的协商,这样节点将不会建立一个IPsec连接。


共2页: 上一页12下一页

相关内容