IPsec ***

                                                                 IPSEC ×××部分知识点

           首先注意一点：ipsec目前只支持IPv4单播      

一.密钥安全方面，有IKE负责，数据安全方面，有ipsec负责，但是IKE也是ipsec   的 一 部分，不能独立存在。存在两个SA分别为

ISAKMP Security Association（IKE SA）

IPsec Security Association（IPsec SA）在这里注意一点就是IKE SA=ISAKMP SA

IKE SA的lifetime默认为86,400 seconds，即一天，默认没有volume limit。

用户的数据流量真正是在IPsec SA上传递的，而不是在IKE SA；IPsec SA直接为用户数据流服务，IPsec SA中的所有安全策略都是为了用户数据流的安全。

IPsec SA的lifetime默认为3600 seconds，即1小时；默认volume limit为4,608,000 Kbytes，即4.608 Gbyte。

 因为SA有两个，分为IKE SA和IPsec SA，两个SA分别定义了如何保护密钥以及如何保护数据，其实这两个SA都是由IKE建立起来的，所以将IKE的整个运行过程分成了两个Phase（阶段），即 ：

IKE Phase One

IKE Phase Two

IKE Phase One

 IKE Phase One的主要工作就是建立IKE SA（ISAKMP SA），IKE SA的服务对象并不是用户数据，而是密钥流量，以及为IPsec SA服务的；IKE SA的协商阶段被称为main mode（主模式），IKE也是需要保护自己的流量安全的（这些流量并非用户流量），所以IKE SA之间也需要协商出一整套安全策略，否则后续的密钥和IPsec SA的建立就不能得到安全保证；IKE SA之间需要协商的套安全策略包括：

认证方式（Authentication）

共总有Pre-Shared Keys (PSK)，Public Key Infrastructure (PKI)，RSA encrypted nonce，默认为PKI。

加密算法（Encryption）

总共有DES，3DES，AES 128，AES 192，AES 256，默认为DES。

Hash算法（HMAC）

总共有SHA-1，MD5，默认为SHA-1。

密钥算法（Diffie-Hellman）

Groups 1 （768 bit），Group 2（1024 bit），Group 5（1536 bit），默认为Groups 1 （768 bit）。

 

Lifetime

随用户定义，默认为86,400 seconds，但没有volume limit。

 

IKE Phase Two

IKE Phase Two的目的是要建立IPsec SA，由于IKE SA的服务对象并不是用户数据，而是密钥流量，以及为IPsec SA服务的，IKE SA是为IPsec SA做准备的，所以如果没有IKE SA，就不会有IPsec SA；IPsec SA是基于IKE SA来建立的，建立IPsec SA的过程称为 快速模式（quick mode）。IPsec SA才是真正为用户数据服务的，用户的所有流量都是在IPsec SA中传输的，用户流量靠IPsec SA来保护，IPsec SA同样也需要协商出一整套安全策略，其中包括：

 

加密算法（Encryption）

总共有DES，3DES，AES 128，AES 192，AES 256，默认为DES。

 

Hash算法（HMAC）

总共有SHA-1，MD5，默认为SHA-1。

　

Lifetime

随用户定义，默认为3600 seconds，即1小时；默认volume limit为4,608,000 Kbytes，即4.608 Gbyte。

 

IPsec SA中没有协商认证方式（Authentication）和密钥算法（Diffie-Hellman），因为IKE SA时已经认证过了，所以后面已经不需要再认证；并且密钥是在IKE SA完成的，所以在IPsec SA中也就谈不了密钥算法了，但也可以强制再算。

转载于:https://blog.51cto.com/chenlishan/785824