网络安全高级工程师作者程庆梅2.园区及远程安全接入技术课件.pptVIP

* IKE（The Internet Key Exchange），Internet 密钥交换。ISAKMP本身没有定义具体的密钥交换技术，而在IPSec中，采用了IKE来作为密钥交换的工具。IKE利用ISAKMP语言来定义密钥交换，由此来对安全服务进行协商。事实上，IKE定义了若干种交换方式及相关选项，它的最终结果是一个通过验证的密钥以及建立在双方认同基础上的安全服务——即所谓的“IPSec安全联盟（IPSec SA）”。 IKE主要是用来协商和建立IPSec通信双方的SA，实际上就是对双方所采用的加密算法、验证算法、封装协议和有效期进行协商，同时安全地生成以上算法所需的密钥。 * IKE使用了两个阶段的的ISAKMP，第一阶段建立ISAKMP-SA，或称为IKE-SA，第二阶段利用这个既定的安全联盟，为IPSec协商具体的安全联盟。和ISAKMP不一样，IKE为其安全联盟的属性进行了定义。这个定义即称为IPSec解释域（IPSec-DOI），该定义遵从协议RFC2407，在这个协议规定了第二阶段中需要协商的属性及其属性值，如加密算法、验证算法、PFS组件（group），SA的生命期及密钥等，并且定义了这些属性值得取值范围。 IKE定义了两个第一阶段的协商（Main Mode－主模式和Aggressive Mode—野蛮模式），CICSO支持了这两种模式，我们则只支持安全系数较高