一:
無論協商了什么樣的加密算法。DH都交換一塊長度為32byte的內存,作為key。
IKE和esp的key,分別基於這塊內存生成。
二:
當esp的算法協商沒有指定dh group時,rekey將不會交換新的秘鑰。而一直使用IKE sa的秘鑰。
這個時候,每次child rekey,只交換新的spi和nonce。
這個時候,不是PFS的。
三:
IKEv2在協商階段的兩組信息交換,
第一組包含:KEY EXCHANGE,IKE sa的算法協商。
第二組包含:AUTH身份認證,IPSEC sa的算法協商。
child sa的一組信息。包含ipsec sa的算法協商。或有可能存在的key exchange(見二)
四
IKEV1和IKEv2的消息內容,對比圖
