4.新组模式交换通信双方通过新组模式交换协商新的Diffie-Hellman组。新组模式交换属于一种请求/响应交换。发送方发送提议的组的标识符及其特征,如果响应方能够接收提议,就用完全一样的消息应答(如图5所示)。
5.ISAKMP信息交换参与IKE通信的双方均能向对方发送错误及状态提示消息。这实际上并非真正意义上的交换,而只是发送单独一条消息,不需要确认(如图6所示)。
4.2. IKE阶段1
◆协商建立IKE安全通道所使用的参数,包括:
加密算法、Hash算法、DH算法、身份认证方法、存活时间
◆上述IKE参数组合成集合,称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。
4.3. IKE阶段2
◆双方协商IPSec安全参数,称为变换集transform set,包括: 加密算法、Hash算法、安全协议、封装模式、存活时间
IKE与IPSec安全参数的比较
4.4. IPSec SA
◆IPSec SA (安全关联,Security Association):
SA由SPD (security policy database)和SAD(SA database)组成。
IPSec SA (安全关联,Security Association):
◆SPI (Security Parameter Index),由IKE自动分配 ◆发送数据包时,会把SPI插入到IPSec头中
◆接收到数据包后,根据SPI值查找SAD和SPD,从而获知解密数据包所需的加解密算法、hash算法等。
◆一个SA只记录单向的参数,所以一个IPSec连接会有两个IPSec SA。 ◆使用SPI可以标识路由器与不同对象之间的连接。
◆达到lifetime以后,原有的IPSec SA就会被删除
◆如果正在传输数据,系统会在原SA超时之前自动协商建立新的SA,从而保证数据的传输不会因此而中断。
4.5. IPsec SA示例