以下概念和术语是两个版本的 IKE 通用的。它们可能在两个版本中以不同的方式实现。
密钥协商和交换-以安全的方式交换加密材料和验证对等方身份。此流程使用非对称加密算法。两种主要方法是 RSA 和 Diffie-Hellman 协议。
IKE 在运行 IKE 守护进程的系统之间创建和管理 IPsec SA。IKE 协商一个安全信道,保护加密材料的传输。IKE 守护进程使用 /dev/random 设备从随机数生成器创建密钥。该守护进程按可配置的速率更改密钥。加密材料可供在 IPsec 策略的配置文件 ipsecinit.conf 中指定的算法使用。
Diffie-Hellman (DH) 算法-一种密钥交换算法,允许两个系统在不安全的信道上安全地生成一个共享密钥。
RSA 算法-一种非对称密钥算法,通常通过提供 X.509 证书的所有权来验证对等方系统的身份。此算法以其三个创建者(Rivest、Shamir 和 Adleman)命名。
完全正向保密 (perfect forward secrecy, PFS)-在 PFS 中,用于保护数据传输的密钥不用于派生其他密钥。此外,也不能使用保护数据传输的密钥的源派生其他密钥。因此,PFS 可防止解密以前记录的通信。
Oakley 组-用于协商 PFS。请参见 The Internet Key Exchange (IKE)(Internet 密钥交换)RFC 的第 6 节。
IKE 策略-一套 IKE 规则,用于定义 IKE 守护进程在尝试与对等方系统建立安全密钥交换信道时使用的可接受的参数。这在 IKEv2 中称作 IKE SA,或者在 IKEv1 中称作阶段 1。
这些参数包括算法、密钥大小、Oakley 组和验证方法。Oracle Solaris IKE 守护进程支持将预共享密钥和证书用作验证方法。