组密钥更新周期密钥更新周期( 二 ) _生活百科

?AH协议：认证报头，协议号51；用来完成第二阶段提供的功能是数据源验证、数据完整性校验和防报文重放功能；AH可以对整个数据包做认证然而AH并不加密所保护的数据。
?ESP协议：安全封装载荷，协议号50；用来完成第二阶段提供的功能是数据源验证、数据完整性校验和防报文重放功能；能提供AH的所有功能外，还可提供对数据的加密功能。
IPsec工作过程：
?之一阶段：协商如何保护流量，协商加密算法、散列算法，使用哪个DH组、协商SA生存周期、协商设备认证方式；通过DH算法交互密钥，密钥供加密算法使用保护连接，此时形成一条双向SA；为了确保两个设备之间避免出现伪装者，在做IPsec的时候需要进行设备认证。
-预共享密钥（实验室环境中使用，不够安全）
-RSA加密的随机数（使用很少）
-RSA数字证书/签名（CA颁发的证书，使用范围较广）
之一阶段协商的具体内容：
1、协商对等体之间采用何种方式做认证；预共享密钥/RSA加密的随机数/证书
2、协商双方使用何种加密算法；AES/RSA/ECC
3、协商双方使用何种散列算法；HMAC/MD5/SHA
4、协商双方使用何种DH密钥组
5、协商双方使用何种模式；主模式/野蛮模式
6、协商SA的生存周期
之一阶段有两种工作模式：主模式和野蛮模式；
主模式：在三次交换中总共用到了六条消息，最终建立了SA；

文章插图
主模式的好处：设备验证的步骤发生在安全的管理连接中，因为这个连接是在前两个步骤中构建的，因此，两个对等体需要发送给对方的任何实体信息都可以免受攻击；Site-to-Site VPN默认使用主模式。
野蛮模式（积极模式）：对于两端IP地址不是固定的情况（如ADSL拨号上网），并且双方都希望采用预共享密钥验证 *** 来创建IKE SA，就需要采用野蛮模式。另外如果发起者已知回应者的策略，采用野蛮模式也能够更快地创建IKE SA 。

文章插图
注：使用Remote-Access VPN时就一定要用野蛮模式来协商，如果用主模式的话，就会出现根据源IP地址找不到预共享密钥的情况，以至于不能生成SKEY_ID 。
两种模式的区别：
1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息，野蛮模式只需要交互3个消息。
2、主模式协商比野蛮模式协商更严谨、更安全。主模式在5、6个消息中对ID信息进行了加密。野蛮模式由于受到交换次数的限制，ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护，而野蛮模式则没有。
3、对NAT/PAT的支持：
①对预共享密钥认证：主模式不支持NAT转换，而野蛮模式支持。
②对于证书方式认证：两种模式都能支持。
4、两种模式在确定预共享密钥的方式不同；主模式只能基于IP地址来确定预共享密钥；而野蛮'模式是基于ID信息（主机名和IP地址）来确定预共享密钥。
注：在按需链路中，可以启用IKE Keepalive特性，路由器会周期性10秒/次发送IKE Keepalive报文，用于检测路径的实时连通性；在单向启用即可。
?第二阶段：协商使用哪一款安全协议加密数据（ESP或AH）、保护流量；使用ESP/AH的时候，选择哪一种加密算法和散列算法、协商是否需要再次进行DH算法生成新的密钥（PFS）、SA周期和IPSec封装模式；协商完毕形成两条单向SA 。
第二阶段协商的具体内容：
1、协商双方使用何种封装模式；隧道模式/传输模式
2、协商双方使用何种加密算法；AES/RSA/ECC
3、协商双方使用何种散列算法；HMAC/MD5/SHA
4、协商双方使用何种DH密钥组
5、协商双方使用的密钥更新周期
第二阶段只有一种工作模式：快速模式；它定义了受保护数据连接是如何在两个IPsec对等体之间构成的；快速模式有两个主要的功能：
1.协商安全参数来保护数据连接。
2.周期性的对数据连接更新密钥信息.
快速模式需要交换3个报文，这些消息都是使用IKE进行保护，这意味着将使用IKE phase1中导出来的SKEYIDe和SKEYIDa对所有分组进行加密和验证。