IKE 阶段 1 交换
阶段 1 交换称为主模式。在阶段 1 交换中,IKE 使用公钥加密方法向对等 IKE 实体进行自我验证。结果是 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) 安全关联 (security association, SA)。ISAKMP SA 是 IKE 用于协商 IP 数据报的加密材料的安全通道。与 IPsec SA 不同,ISAKMP SA 是双向的,因此只需要一个安全关联。
IKE 在阶段 1 交换中协商加密材料的方式是可配置的。IKE 从 /etc/inet/ike/config 文件读取配置信息。配置信息包括:
-
全局参数,如公钥证书的名称
-
是否使用完全正向保密 (perfect forward secrecy, PFS)
-
受影响的接口
-
安全协议及其算法
-
验证方法
两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名。或者,证书可以由来自公钥基础结构 (public key infrastructure, PKI) 组织的 certificate authority, CA(证书颁发机构)颁发。这样的组织包括 beTrusted、Entrust、GeoTrust、RSA Security 和 Verisign。
- © 2010, Oracle Corporation and/or its affiliates