IPsec IKE:Internet 密鑰交換協定
(IPsec IKE: Internet Key Exchange Protocol)
Internet 密鑰交換(IPsec IKE)是 IPsec 體系結構中的一種主要協定。它是一種混合協定,使用部分 Oakley 和部分 SKEME,並協同 ISAKMP 提供密鑰生成材料和其它安全連繫,比如用於 IPsec DOI 的 AH 和 ESP 。
ISAKMP 只對認證和密鑰交換提出了結構框架,但沒有具體定義。ISAKM 與密鑰交換相獨立,支持多種不同的密鑰交換。IKE 是一系列密鑰交換中的一種,稱為“模式”。
IKE 可用於協商虛擬專用網(VPN),也可用於遠程用戶(其 IP 地址不需要事先知道)訪問安全主機或網路,支持客戶端協商。客戶端模式即為協商方不是安全連線發起的終端點。當使用客戶模式時,端點處身份是隱藏的。
IKE 的實施必須支持以下的屬性值:
DES 用在 CBC 模式,使用弱、半弱、密鑰檢查。
MD5[MD5] 和 SHA[SHA]。
通過預共享密鑰進行認證。
預設的組 1 上的 MODP。
另外,IKE 的實現也支持 3DES 加密;用 Tiger [TIGER] 作為 hash;數字簽名標準,RSA[RSA],使用 RSA 公共密鑰加密的簽名和認證;以及使用組 2 進行 MODP。IKE 實現可以支持其它的加密算法,並且可以支持 ECP 和 EC2N 組。
只要實現了 IETF IPsec DOI,IKE 模式就必須實施。其它 DOI 也可使用這裡描述的模式。
協定結構
IKE 信息是由 ISAKMP 頭和 SKEME 以及 Oakley 欄位聯合構成。其特定格式取決於信息狀態和模式。具體細節,請參照相關鏈路文檔。