2011軟件水平考試網(wǎng)絡工程師全面復習筆記(30)

　　5.IKE 協(xié)議

　　IKE提議是如何保護數(shù)據(jù)的建議。發(fā)起IPsec連接的VPN網(wǎng)關，作為發(fā)起者會發(fā)出提議列表，提議表建議了不同的護連接的方法。

　　協(xié)商連接可以是通過VPN來保護數(shù)據(jù)流的Ipsec連接，或是IKE連接，保護IKE協(xié)商本身。

　　響應的VPN網(wǎng)關，在接收到此提議表后，就會根據(jù)自己的安全策略選擇最適合的提議，并根據(jù)已選擇的提議做出響應。如果沒有找到可接受的提議，就會做出沒有可接受提議的響應，并可能提供原因。提議包括需要的全部參數(shù)，如加密和認證數(shù)據(jù)使用的算法，以及IKE參數(shù)中描述的其他參數(shù)。

　　IKE 階段1 - IKE安全協(xié)商

　　一個IKE協(xié)商可分兩個階段。第一階段(階段1)，通過確認遠端網(wǎng)關是否具有匹配的Pre-Shared密鑰，來進行2個VPN網(wǎng)關或VPN客戶端的相互認證。

　　可是，因為我們不希望以明文方式公布太多的協(xié)商信息，所以我們還是要保護其余的IKE協(xié)商信息�？梢杂们懊婷枋龅姆椒ㄗ龅竭@一點，即通過發(fā)起者向響應者發(fā)送提議列表來完成。一旦這個工作完成，響應者選擇并接受其中的一個提議后，將嘗試著認證VPN的另一端，以確保它就是要認可的一端，并校驗遠端網(wǎng)關正是所期望的。

　　通過Pre-Shared密鑰、證書或公開密鑰加密能夠完成認證。Pre-Shared密鑰是目前最常見的認證方法。阿姆瑞特防火墻VPN模式支持Pre-Shared密鑰和證書兩種方式。

　　IKE 階段2 - IPsec安全協(xié)商

　　另一個協(xié)商是在階段2進行的，詳細說明了Ipsec的連接參數(shù)。

　　在階段2，我們將從階段1的Diffie-Hellman密鑰交換中摘取新的密鑰信息，并將其作為保護VPN數(shù)據(jù)流的會話密鑰。

　　如果使用PFS(完善的轉發(fā)機密)，每個階段2協(xié)商中，會進行新的Diffie-Hellman交換。雖然這種操作比較慢，但可確保密鑰不依賴于以前用過的任何密鑰，不從同樣的初始密鑰材料中摘取密鑰。這就保證了在不太安全的事件中，危及了某些密鑰安全時，而不衍生出并發(fā)的密鑰。

　　一旦完成階段2協(xié)商，就會建立VPN連接，以備使用。

　　2011軟考網(wǎng)絡工程師常用英文單詞和縮寫翻譯

　　2011年軟考網(wǎng)絡工程師考前必看復習題總結