5.3 IPSec之三----密钥管理

1、密钥管理--IKE

• 因特网密钥交换协议IKE是一个安全协商SA的协议

• 功能

  • 协商安全关联

  • 进行双向实体认证

  • 用安全的方法建立密钥

  • 管理安全关联

• IKE是一种混合型协议，包括

2、密钥管理--ISAKMP

• 提供密钥管理架构

• 定义SA的建立、协商、修改、删除规程和分组格式

• 独立于密钥交换协议、加密和认证算法

• 下层由UDP协议承载，端口号为500

3、密钥管理--ISAKMP包格式

 

• 第一个载荷的类型在艾莎ISA头部中指明，最后一个载荷的下一个荷载类型为0

• 保留字段8位，全0

• 载荷长度字段16位，以字节为单位表示载荷的长度（包括载荷头部），它定义了每个载荷的边界

4、密钥管理--ISAKMP的交换类型

5、密钥管理--ISAKMP的交换阶段

阶段二的安全由阶段一的协商来保证

ISAKMP没有定义具体的密钥交换方法，可以适用于不同的密钥交换协议

6、密钥管理--IKE协议

IPSec选择的密钥交换协议是IKE

7、IKE协议--第一阶段主模式

主模式是艾莎ISA的身份保护模式，一般交换4-6个报文，实现三个任务

8、IKE协议--第一阶段野蛮模式

9、IKE协议--第二阶段快速模式