IKE協議屬于一種混合型協議,它綜合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley協議和SKEME協議這三個協議。其中,ISAKMP定義了IKE SA的建立過程,Oakley和SKEME協議的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分發密鑰、驗證身份,以保證數據傳輸的安全性。IKE SA和IPSec SA需要的加密密鑰和驗證密鑰都是通過DH算法生成的,它還支持密鑰動態刷新。
IPsec(Internet Protocol Security)是為IP網絡提供安全性的協議和服務的集合,它是VPN(Virtual Private Network,虛擬專用網)中常用的一種技術。 IPsec的3個重要協議:
IKE(Internet Key Exchange,因特網密鑰交換)
IKE協議是一種基于UDP的應用層協議,它主要用于SA協商和密鑰管理。
IKE協議分IKEv1和IKEv2兩個版本,IKEv2與IKEv1相比,修復了多處公認的密碼學方面的安全漏洞,提高了安全性能,同時簡化了安全聯盟的協商過程,提高了協商效率。
IKE協議屬于一種混合型協議,它綜合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley協議和SKEME協議這三個協議。其中,ISAKMP定義了IKE SA的建立過程,Oakley和SKEME協議的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分發密鑰、驗證身份,以保證數據傳輸的安全性。IKE SA和IPSec SA需要的加密密鑰和驗證密鑰都是通過DH算法生成的,它還支持密鑰動態刷新。
AH(Authentication Header,認證頭)
AH協議用來對IP報文進行數據源認證和完整性校驗,即用來保證傳輸的IP報文的來源可信和數據不被篡改,但它并不提供加密功能。AH協議在每個數據包的標準IP報文頭后面添加一個AH報文頭,AH協議對報文的完整性校驗的范圍是整個IP報文。
ESP(Encapsulating Security Payload,封裝安全載荷)
ESP協議除了對IP報文進行數據源認證和完整性校驗以外,還能對數據進行加密。ESP協議在每一個數據包的標準IP報頭后方添加一個ESP報文頭,并在數據包后方追加一個ESP尾(ESP Trailer和ESP Auth data)。ESP協議在傳輸模式下的數據完整性校驗范圍不包括IP頭,因此它不能保證IP報文頭不被篡改。
回答所涉及的環境:聯想天逸510S、Windows 10。