IKE工作原理：

IPSec包括了一组安全和认证协议，最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接，方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书，后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份，IKE能够将VPN的规模扩展到数以千计的端点。 为确保安全的数据加密，Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ，也支持三重DES算法。

知识点内容讲解:

IKE（ Internet Key Exchange ，RFC2409）：因特网密钥交换协议是一个以受保护的方式动态协商SA的协议。

IKE的功能

协商通信参数，安全特性

认证通信对端

保护实体

用安全的方法产生，交换，建立密钥

管理，删除安全关联（SA）

IKE是一个混合的协议，它的组成：Internet密钥交换协议（IKE，RFC2409）和Internet安全关联和密钥交换协议（ISAKMP，RFC2408）、Oakley密钥确定协议（RFC2412）、IPSec Domain of Interpretation ，（IPSec DOI，RFC2407）。

IKE分两个阶段实现：

第一阶段为建立IKE本身使用的安全信道而相互交换SA（采用ISAKMP）——ISAKMP SA（双向）。

第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA——IPSec SA（单向）。

ISAKMP对具体密钥交换方法没有定义，它将此项工作留给其他协议处理。而对于IPSec协议而言，定义密钥交换就是IKE。

IKE利用ISAKMP语言来定义密钥交换。IKE定义了众多的交换方式，以及与之相关的选项。但IKE并非只能由IPSec专用，也可为其他协议协商具体的安全服务。

IKE采用了ISKMP两阶段协商机制。第一阶段建立IKE-SA，第二阶段利用建立起来的IKE　SA为IPSec协商具体安全关联。IKE在阶段1采用是ISAKMP的身份保护交换和野蛮交换方式，分别称作IKE主模式（Main mode）和野蛮模式（Aggressive mode）。IKE在阶段2定义一种快速交换模式。

IKE还定义了另外两个额外的交换均属信息方面的交换。在这种交换中，IKE通信双方可相互传达有关错误和状态的信息。

通信双方需要协定许多参数，都包含在IKE-SA中。所有参数称为一个“保护套件“，包括加密算法、散列算法、验证方法等。在一个“保护套件“内，必须加上一个“存活时间“，这决定了IKE　SA能存活多久。IKE-SA活时间越长，被破解危险性就越高。

主模式交换

    主模式交换采用是身份保护交换，共完成六条消息交换。这六条消息内容因IKE使用鉴别方式不同而有所差异。ISAKMP定义四种鉴别方式：共享密钥、数字签名、公钥加密、增强公钥加密。

    信息进行加密在这种交换，ID载荷是随第二条消息交换，这是由于发起者向响应者提出自己一些身份信息，以便响应者能够正确定位公共密钥，并对反馈给它响应加密。

野蛮模式交换

    野蛮模式与主模式差别在于，野蛮模式只需用到主模式一半消息，也不提供身份保护。

    在有些情况下，应答者无法预知发起者身份信息，这时若需使用共享密钥身份鉴别方式，应答者如何知道使用哪个共享密钥来计算呢？这就需要将身份载荷放在第一个IKE消息中，使用野蛮模式就能办到这一点。

在IKE交换协议中，只能使用快速模式（Quick Mode）协商建立IPSec　SA。快速模式的消息交换如下所示：

在第一条消息中，发起者根据本地策略要求，通过SA载荷，提议一种或多种信息安全协议（如ESP或AH），并给出安全协议的参数。在第二条消息中，应答者依据本地安全策略，从提议中做出选择，并从选中的安全协议一种或多种保护套件中选出一种，形成选择后SA，应答给发起者。

在第一、二两条消息中，都包含两个身份载荷，这与第一阶段身份载荷作用不一样，它们不用于身份鉴别，而用于为即将建立IPSec-SA协商选择器。这个选择器规定该IPSec SA将保护什么样通信。这个身份载荷数据可以是一个网段地址、一个主机地址或协议端口。

在这三个消息中，都使用散列载荷，用于对交换完整性作出保护。