因特网密钥交换(IKE)是什么意思?

因特网密钥交换(IKE)是什么意思?

因特网密钥交换协议（IKE），用作分配这些对话用密钥的一种方法，而且在VPN端点间，规定了如何保护数据的方法。IKE主要有三项任务：为端点间的认证提供方法；建立新的IPsec连接（创建一对SA）；管理现有连接。IKE跟踪连接的方法是给每个连接分配一组安全联盟（SA）。SA描述与特殊连接相关的所有参数，包括使用的Ipsec协议(ESP/AH/二者兼有)，加密/解密和认证/确认传输数据使用的对话密钥。SA本身是单向的，每个连接需要一个以上的SA。大多数情况下，只使用ESP或AH，每个连接要创建2个SA，一个描述入站数据流，另一个描述出站数据流。同时使用ESP和AH的情况中就要创建4个SA。

因特网密钥交换协议”解决了安全通信设备中的大多数突出问题：确认双方并交换双称密钥。它创建“安全联盟”并装入“安全联盟数据库”中。“因特网密钥交换协议”经常需要一个用户空间守护进程并且不在操作系统核心中执行。“因特网密钥交换协议”使用UDP的500端口来进行通信。

“因特网密钥交换协议”功能分两个阶段。第一个阶段建立一个“因特网安全联盟密钥管理安全联盟”（ISAKMP SA：Internet Security Association Key Management Security Association）。第二阶段，“因特网安全联盟密钥管理安全联盟”用来商讨并配置IPsec的“安全联盟”（SA）。

双方的第一阶段认证经常使用基于“预先共享密钥”（PSK：pre-shared keys）、RSA 密钥（RSA keys）和 X.509证书（Racoon甚至支持Kerberos）。

第一阶段通常支持两种不同的模式：主模式和好斗模式。两种模式都鉴别对方并设置ISAKMP SA，但好斗模式只使用一半数量的信息达到这个目。这是它的缺点，因为好斗模块不支持身份保护，因此如果与预共享密钥一起使用，它容易受到“中间人攻击” （man-in-the-middle attack）。另一方面，这只是好斗模式的用途，因为主模式的内部工作形式不支持对未知的一方使用不同的预共享密钥。好斗模式不支持身份保护和用普通文字传送客户的身份，因此在认证发生前，一方知道另一方，并且不同的预共享密钥可以被不同的一方使用。