IKE phase 1

IKE phase 1提供了两种模式：主模式和主动模式。每种模式的结果都是建立一个ISAKMP/IKE SA.IKE SA包含各种由两个对等体协商的参数。

必要参数：加密算法、散列算法、验证算法、Diffie-Hellman组，还有诸如寿命等可选参数。

crypto isakmp policy 1

encryption 3des//加密算法

hash md5//散列算法

group2//Diffie-Hellman组

lifetime//寿命

authentication pre-shared//验证算法

 

验证算法：

预共享密钥

数字签名

进行4次加密的公钥加密

进行两次加密的公钥加密

 

主模式：

第一次交换：

发起方发送一个包含cookie Ci（发起方cookie）的ISAKMP报头和一个SA有效负载（SAi）。SAi用于交流各种phase 1参数（加密算法、散列算法、验证方法、寿命等）。

第二次交换：

应答方用选定提议的参数和SA报头（SAr）以及包含cookie Cr（应答方cookie）的IKAKMP报头进行应答。应答方选择一种匹配的提议并将其返回——它不能选择不同提议中的属性。如果没有匹配的提议，应答方将返回通知有效负载，拒绝发起方的提议。

第三次与第四次交换：

交换与密钥相关的信息。

第五次与第六次交换：

确定双方的ID。

对于主模式需要指出的一点是，由于有效负载被加密，应答方不知道在与谁交流。因此，在使用预共享密钥的主模式中，只能根据发起方的源IP地址来确定其身份。

 

主动模式：

第一条消息：

发送方发送ISAKMP报头，安全关联，DH公开值，临时值（nonce）和身份ID（IDi）。

第二条消息：

应答方用选定提议的所有参数和DH公开值进行应答。该消息被验证，但没有加密。

第三条消息：

由发起方回给应答方，该消息被验证，让应答方能够确定其中的散列值是否与计算得到的散列值相同，进而确定消息是否有问题。

 

使用数字签名：

在第三次和第四次消息交换中，发起方和应答方请求对方提供证书。

第五次和第六次，交换了证书。