当他们说IKEv1不支持非对称身份验证时，这意味着什么？

Question

我在某个地方读到，ike1不支持非对称身份验证。这是否意味着它支持PKI认证(数字证书)？

谢天谢地

Answer 1

我在某个地方读到，ike1不支持非对称身份验证。这是否意味着它支持PKI认证(数字证书)？

不，这并不意味着- IKEv1确实允许PKI认证。这意味着双方必须共享相同类型的身份验证。

为进一步解释：

IKEv1支持几种类型的身份验证:预共享密钥、证书、RSA加密的非keys (不要问)。而且，在IKEv1中，双方都必须进行身份验证(不像TLS那样，服务器必须进行身份验证，但客户端可能是匿名的)。

“不支持非对称身份验证”意味着双方必须支持相同类型的身份验证；如果一方使用证书进行身份验证，则另一方也必须使用证书进行身份验证；它不能使用预共享密钥。

之所以这样做，是因为IKEv1如何生成其密钥材料与身份验证方法(例如预共享密钥，这些密钥被搅拌到密钥生成中)捆绑在一起，并且没有关于“一方做PKI，另一边做预共享密钥”的配方。他们在IKEv2 (它确实支持“非对称身份验证”)中清理了这个问题。

Answer 2

我不知道这意味着什么。IKEv1是在RFC2409和第5.1节中指定的，它列出了许多被支持的身份验证机制，包括数字签名(包括证书)和公钥加密。实际上，方法5.4 (通过预共享密钥进行身份验证)由于计算负担较小而更常见，这可能是事实。在非常常见的用例中，IPsec隧道是在两个点之间与先前的信任关系商定的，预共享密钥将是一个自然的选择。