IPsec的建立过程

IPsec是Internet工程任务组(IETE)制定的一个开放的网络层安全框架协议。它其实不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。IPsec主要包括安全协议AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload),密钥管理交换协议IKE(InternetKeyExchange)和用于网络认证及加密的一些算法等。

　　IPsec建立进程

IKEV2相比于IKEV1版本，简化了消息交换的进程，IKEV1最少需要交换6条消息。IKEV2正常情况下使用2次交换共4条消息就能够完成一个IKESA和一对IpsecSA，如果要求建立IPsecSA大于一对时，每对SA只需额外增加1次交换，也就是2条消息就能够完成。

IKEV2定义了三种交换：初始交换、创建子SA交换和通知交换

　　1、初始交换

IKE通讯总是从IKE安全同盟初始交换(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这2个交换通常由4条消息组成，在某些场景下消息数目可能会增加。所有使用IKE的通讯都由要求/响应组成。IKE安全同盟初始交换和IKE认证交换完成后可以建立一个IKESA和第一对child_sa(即IpsecSA)

　　2、创建子SA交换：

当一个IKESA需要创建多对IpsecSA时，需要使用创建子SA交换来协商多于一对的SA，另外创建子SA交换还可以用于进行IKESA的重协商。

创建子SA交换包括一个交换两个消息。在IKEv1中这个交换称为阶段2交换(快速模式交换)。这个交换一定要在IKE初始交换完成以后才能进行，交换的发起者可以是IKE初始交换的发起者，也能够是IKE初始交换的响应者。在交换中的两个消息需要由IKE初始交换协商的密钥进行保护。

类似于IKEV1的PFS，创建子SA交换阶段可以重新进行一次DH交换，生成新的密钥材料。生成密钥材料后，子SA的所有密钥都从这个密钥材料衍生出来。

　　3、通知交换：

运行IKE协商的两端有时会传递一些控制信息，例如毛病信息还是通告信息，这些信息在IKEV2中是通过通知交换完成的。

通知交换一定要在IKESA保护下进行，也就是说通知交换只能产生在初始交换以后。

IPsecIKE：Internet秘钥交换协议，是IPsec体系结构中的一种主要协议。它是一种混合协议，使用部份Oakley和部份SKEME，并协同ISAKMP提供密钥生成材料和其它安全连系，比如用于IPsecDOI的AH和ESP。目前存在两个版本，包括IKEv1和IKEv2两个版本。主要区分在于协商进程、认证方法不同。

认证方式分为预同享秘钥和自签证书两种，预同享秘钥在配置上相对简单，兼容性较好。自签证书通过生成的秘钥和证书进行验证，安全性更高。

　　AH与ESP：

1、Ipsec通过AH(Authenticationheader，验证头)和ESP(EncapsulatingSecurityPayload，封装安全载荷)两个安全协议实现IP报文的封装/解封装。

AH是报文头验证协议，主要提供数据源验证、数据完全性验证和防报文重放功能，不提供加密功能。

ESp是封装安全载荷协议，主要提供加密、数据源验证、数据完全性验证和防报文重放功能。

注：AH和ESP协议提供的安全功能依赖于协议采取的加密、验证算法。

2、IPsec网关的加密和验证算法所使用的密钥可以手工配置，也能够动态协商。为了密钥的安全性和管理简单，Ipsec协议框架中引入IKE协议实现安全同盟动态协商和密钥管理功能。

IKE协议建立在Internet安全同盟和密钥管理协议ISAKMP(internetsecurityassociationandkeymanagementprotocol)框架之上，采取DH(diffiehellman)算法在不安全的网络上安全的分发密钥、验证身份，以保证数据传输的安全性。

IKE现分为IKEV1和IKEV2版本，爱快使用IKEV2版本，下面会侧重讲授下IKEV2Ipsec建立的进程。

TikTok千粉号购买平台：https://tiktokusername.com/