为什么IPSec需要IKE？

Question

我对IKE第一阶段的需求感到困惑，据我所知，IKE使用了两个阶段，第一个阶段是交换参数，如加密、身份验证方法、哈希类型等。它为IPSec创建了一个SA，用于在第二阶段交换它的参数。为什么IPSec不能使用DH创建SA，交换参数，然后对数据使用相同的SA？

据我所知，当IPSec SAs需要创建一个新密钥时，它们在一生中仍然使用DH交换密钥，那么为什么所有这些都在另一个SA中进行呢？

谢谢。

Answer 1

仅仅是因为IPsec最初不是为包含密钥交换而构建的。事实上，IPsec的早期实现期望您手动配置IPsec密钥，从该密钥派生加密和身份验证密钥。

当它是手动确定的设置和旋转键不会缩放，他们寻找另一个解决方案，但一个不涉及重写每一个IPsec实现。

现在，您可以手动配置IPsec密钥(仿古的，没有人这样做了，您也不应该这样做)，或者您可以使用ISAKMP自动为IPsec提供密钥。

ISAKMP ()的存在是为了在不安全的媒体(因特网)上安全地建立密钥材料，供IPsec使用。

但这并不是ISAKMP所做的全部。

IPsec也不是用直接的身份验证方法编写的--验证另一端是他们说自己是谁。最初的想法是，如果双方手动配置了一个IPsec密钥，而双方手动配置了相同的会话密钥，那么很明显，如果他们复制了该密钥，那么他们确实是他们认为自己是谁。

但是，如果这些相同的IPsec密钥是在互联网上自动确定的，那么就需要有一种方法来首先验证与您安全地交换密钥的另一方是他们自称是谁。这是ISAKMP所做的另一部分。

因此，ISAKMP (Phase1)主要负责验证对方(安全)，并生成密钥供IPsec使用。然后，IPsec主要负责安全地传输数据。将这两种协议联系在一起的是因特网密钥交换(，简称IKE )。

当有人问：“为什么在ike第一阶段建立的安全隧道不用于数据传输时，写我在Reddit上写的中有更多的细节？”