IKEv2是IPsec的一部分,主要進行相互認證、建立和維護安全關聯。
使用IKEv2的三個場景:
場景一:Security Gateway to Security Gateway,在Tunnel endpoint之間建立IPsec Tunnel,但是卻沒有實現IPsec。Note:對於Tunnel endpoint間的Tunnel來說,Protected Subnet是透明的
場景二:在protected網絡內,兩邊均實現了IPsec
場景三:受保護的主機(通常為漫游的laptop),連接回公司網絡,通過IPsec Tunnel。Note:outer IP通常是到Security Gateway,inner IP才是包的最終目的地
IPsec四步:
1.IKE_SA_INIT
2.IKE_AUTH
3.CREATE_CHILD_SA
4.THE_INFORMATIONAL_EXCHANGE
所有的IKE message都是通過request/response成對出現的
IKE_SA_INIT:
作用:協商認證參數,發起雙方提供基本的SA參數和密鑰交換材料。
HDR,IKE頭部;SA,密鑰算法;KEi,密鑰交換材料;Ni,隨機數。
Note:發起雙方是拿最高優先級的DH組進行協商,如果接收方沒有,再拿次優的DH組進行協商。
IKE_AUTH:主要任務是做認證以及創建IPsec SA
其中除了HDR,剩下的內容均是加密的,並做完整性保護(圖中SK所示)。
ID,發起方的ID;CERT,發起方證書;
AUTH,發起放的認證數據;
SAi2,發起方提交的Child SA轉換集(這里的SAi2是IPsec SA,而INIT中的SAi1是IKE SA);
TSi/TSr,Child SA流量選擇器,主要是對流量進行一些約束性的要求和控制等。
CREATE_CHILD_SA:
主要是用來進行Rekey密鑰更新的,其中又分為Rekeying IKE SAs和Rekeying Child SAs兩種。分別用來進行IKE SA的密鑰更新,以及IPsec SA的密鑰跟新。
Note:進行密鑰更新的時候,無需更改SA,即進行密鑰更新時只需要更新密鑰算法中的值(入參),而算法不進行更新。
Note:另一種PFS(Perfect Forward Secret)則是再進行Rekeying的時候對SA也進行更新,這樣就保證的不同packet之前使用不同的SA,即使某一個包被解密出來,也能保證其他包的安全。
THE_INFORMATIONAL_EXCHANGE
主要進行一些控制信息,包括但不限於delete刪除,notify通知等。