Internet密钥交换.pdfVIP

下载 第7章 Internet密钥交换 用I P S e c保护一个 I P包之前，必须先建立一个安全联盟（ S A ）。正如前面指出的那样， S A 可以手工创建或动态建立。 I n t e r n e t密钥交换（ I K E ）用于动态建立S A 。I K E代表I P S e c对S A进 行协商，并对S A D B数据库进行填充。 由R F C 2 4 0 9 文件描述的 I K E属于一种混合型协议。它建立在由 I n t e r n e t 安全联盟和密钥管 理协议（I S A K M P ）定义的一个框架上，详情可见R F C 2 4 0 8文件。同时，I K E还实现了两种密 钥管理协议的一部分—O a k l e y和S K E M E 。此外，I K E还定义了它自己的两种密钥交换方式。 O a k l e y是由亚利桑那大学的一名安全专家 Hilarie Orman 开发的一种协议。它是一种自由 形态的协议，允许各方根据本身的速度来改进协议状态。以 O a k l e y为基础，I K E借鉴了不同模 式的思想，每个模式会产生一个类似的结果—一个通过验证的密钥交换—通过以不同的速 度进行信息交换。在 O a k l e y 中，并未定义随各消息交换何种信息。这些