IPSec VPN与对称密钥

Question

在处理基于IPSec的VPN时，我理解对称密钥交换存在一个轻微的“问题”。显然，您不能通过VPN发送密钥，因为它们用于保证通过VPN发送的信息的机密性。所以你必须使用某种替代路线。

现在，我知道IPSec包含了这个过程，IKE。但是，IKE能在VPN中工作吗？我在这方面找到了一篇有趣的文章，但当它到了我当前问题的答案时，它似乎会突然退让，让我假设使用了一些常见的算法，比如DES、AES、Blowfish、RC4等等，加密的密钥就会被清晰地发送出去。

以下是本文：http://csrc.nist.gov/publications/nistpubs/800-77/sp800-77.pdf (第2.2节)

因此，当涉及到使用IPSec的VPN上的对称密钥传输时，密钥是如何发送的？

Answer 1

如果您查看艾克维基百科页面，它将描述如何建立对称密钥。IKE由两个阶段组成。第一阶段协商IKE-SA，建立一个安全的通道来传输密钥.密钥用于加密进一步的通信。第二阶段建立IPSec，其中包含用于IPSec所保护的流量的算法和密钥等。wiki页面声明它使用Diffie-Hellman密钥交换来创建用于派生密钥的共享秘密。希望这能帮上忙。

Answer 2

艾克是一种在两台机器之间建立会话密钥的协议。机器协商执行密钥协议的算法。这方面有两种算法：

• 使用预共享密钥:这两台机器已经共享了一个共同的秘密值，并在此基础上进行了扩展。这个最初的秘密是如何被分享的是“超出范围”。上一次我用预共享密钥配置IPsec时，我在SSH会话中手动传输了该密钥。
• 用非对称密码学的魔力。这一项不需要共享秘密，但必须商定一些根公钥。对于IKE，这通常依赖于X.509证书。

由于VPN是一个用于传输IP数据包的系统(在保护层内)，所以它应该与运行在IP数据包上的任何东西(包括IKE )兼容。然而，事情通常是按相反顺序进行的: IPsec是一个虚拟专用网；那么，如果您已经拥有了一个虚拟专用网，那么您为什么要干预IPsec呢？

Answer 3

我相信实际的密钥是在第一阶段的消息3和4中交换的。IPsec使用Diffie-Hellman密钥交换机制交换密钥。就预共享密钥而言，它在消息5和6期间使用，即用于身份建立，而不是用于使用在第1阶段中消息3和4之后获得的对称密钥加密encryption.The身份详细信息。