2011软件水平考试网络工程师全面复习笔记(30)

　　5.IKE 协议

　　IKE提议是如何保护数据的建议。发起IPsec连接的VPN网关，作为发起者会发出提议列表，提议表建议了不同的护连接的方法。

　　协商连接可以是通过VPN来保护数据流的Ipsec连接，或是IKE连接，保护IKE协商本身。

　　响应的VPN网关，在接收到此提议表后，就会根据自己的安全策略选择最适合的提议，并根据已选择的提议做出响应。如果没有找到可接受的提议，就会做出没有可接受提议的响应，并可能提供原因。提议包括需要的全部参数，如加密和认证数据使用的算法，以及IKE参数中描述的其他参数。

　　IKE 阶段1 - IKE安全协商

　　一个IKE协商可分两个阶段。第一阶段(阶段1)，通过确认远端网关是否具有匹配的Pre-Shared密钥，来进行2个VPN网关或VPN客户端的相互认证。

　　可是，因为我们不希望以明文方式公布太多的协商信息，所以我们还是要保护其余的IKE协商信息。可以用前面描述的方法做到这一点，即通过发起者向响应者发送提议列表来完成。一旦这个工作完成，响应者选择并接受其中的一个提议后，将尝试着认证VPN的另一端，以确保它就是要认可的一端，并校验远端网关正是所期望的。

　　通过Pre-Shared密钥、证书或公开密钥加密能够完成认证。Pre-Shared密钥是目前最常见的认证方法。阿姆瑞特防火墙VPN模式支持Pre-Shared密钥和证书两种方式。

　　IKE 阶段2 - IPsec安全协商

　　另一个协商是在阶段2进行的，详细说明了Ipsec的连接参数。

　　在阶段2，我们将从阶段1的Diffie-Hellman密钥交换中摘取新的密钥信息，并将其作为保护VPN数据流的会话密钥。

　　如果使用PFS(完善的转发机密)，每个阶段2协商中，会进行新的Diffie-Hellman交换。虽然这种操作比较慢，但可确保密钥不依赖于以前用过的任何密钥，不从同样的初始密钥材料中摘取密钥。这就保证了在不太安全的事件中，危及了某些密钥安全时，而不衍生出并发的密钥。

　　一旦完成阶段2协商，就会建立VPN连接，以备使用。

　　2011软考网络工程师常用英文单词和缩写翻译

　　2011年软考网络工程师考前必看复习题总结