IPsec的建立过程

IPsec是互联网工程任务组(IETE)开放的网络层安全框架协议。它不是一个单独的协议，而是一系列IP网络提供安全协议和服务集合。IPsec主要包括安全协议AH(Authentication Header)和ESP(Encapsulating Security Payload),密钥管理交换协议IKE(互联网 Key Exchange)以及一些用于网络认证和加密的算法。

IPsec建立过程

IKEV2相比于IKEV1版本，简化了新闻交换的过程，IKE V1至少需要交换6条信息。IKEV2在正常情况下，可以使用两次交换共4条信息IKE SA和一对Ipsec SA，如需建立 IPsec SA当大于一对时，每一对SA只需增加一个额外的交换，即两个信息。

IKEV2定义了三种交换:初始交换和创建子SA交换和通知交换

1、初始交换

IKE通信总是从IKE安全联盟安全联盟(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这两个交换通常由四个消息组成，在某些情况下可能会增加消息数量。所有使用IKE通信由请求/响应组成。IKE安全联盟安全联盟和IKE可在认证交换完成后建立一个IKE SA和第一对child_sa(即Ipsec SA)

2、创建子SA交换：

当一个IKE SA需要创建多对Ipsec SA需要使用创建子SA谈判多于一对的SA，另外创建子SA交换也可交换IKE SA的重协商。

创建子SA交换包括一个交换两个信息IKEv1这种交换称为阶段2交换(快速模式交换)。这种交换必须存在IKE只有在初始交换完成后才能进行，交换的发起者可以是IKE也可以是初始交换的发起者IKE初始交换的响应者。交换中的两个消息需要理由IKE保护初始交换协商的密钥。

类似于IKEV1的PFS，创建子SA可以重新进行交换阶段DH交换，生成新的密钥材料。生成密钥材料后，子SA所有的密钥都来自这种密钥材料。

3、通知交换：

运行IKE谈判的两端有时会传递一些控制信息，如错误信息或通知信息IKEV2通过通知交换完成。

通知交换必须在IKE SA在保护下进行，即通知交换只能在初始交换后进行。

IPsec IKE：互联网 是 IPsec 系统结构中的主要协议。它是一种混合协议，使用部分 Oakley 和部分 SKEME，并协同 ISAKMP 为 提供密钥生成材料等安全连接IPsec DOI 的 AH 和 ESP 。目前有两个版本，包括IKEv1和IKEv2两个版本。主要区别在于不同的谈判过程和认证方法。

认证方法分为预共享钥匙和自签证书。预共享钥匙配置相对简单，兼容性好。自签证书通过生成的钥匙和证书进行验证，安全性更高。

AH与ESP：

1、Ipsec通过AH(Authentication header，验证头)和ESP(Encapsulating Security Payload，实现两个安全协议：封装安全载荷）IP报纸封装/解封装。

AH报文头验证协议主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能。

ESp主要提供加密、数据源验证、数据完整性验证、数据完整性验证和防报重放功能。

注：AH和ESP协议提供的安全功能取决于协议采用的加密和验证算法。

2、IPsec网关的加密和验证算法所使用的密钥可以手工配置，也可以动态协商。为了密钥的安全性以及管理简单，Ipsec引入协议框架IKE协议实现安全联盟动态协商和密钥管理功能。

IKE协议建立在互联网安全联盟和密钥管理协议ISAKMP(internet security association and key management protocol)在框架上，使用DH(diffie-hellman)该算法在不安全的网络上安全地分发密钥并验证身份，以确保数据传输的安全。

IKE现分为IKE V1以及IKE V2版本，爱用IKE V2下面将重点介绍版本IKEV2Ipsec建立的过程。