一、何为安全联盟

IPsec在两个端点建立安全通信，此时这两个端点被称为IPsec对等体。安全联盟，即SA，是指通信对等体之间对某些要素的约定，定义了两个对等体之间要用何种安全协议、IP报文的封装方式、加密和验证算法。SA是IPsec的基础，也是其本质。对等体之间通过IPsec安全传输数据的前提是在对等体之间成功建立SA。

SA是单向逻辑连接，一般情况下要成对建立，即入方向报文的SA和出方向报文的SA，为了在对等体A和对等体B之间建立IPSec隧道，需要建立两个安全联盟，其中，SA1规定了从对等体A发送到对等体B的数据采取的保护方式，SA2规定了从对等体B发送到对等体A的数据采取的保护方式。

SA的个数还与安全协议有关，若只使用AH或者ESP保护两个对等实体之间的流量，则每个对等实体有连个S，每个方向一个，若对等体同时使用了AH和ESP，那么每个对等实体需要4个，每个方向两个，分别对应AH和ESP。

IPsec为每一个SA打上了唯一的三元组标识，来区分不同方向的SA，三元组包括了SPI（安全参数索引）、目的IP地址和使用的安全协议号（AH或ESP），SPI是唯一标识SA而生成的一个32比特的数值，被封装在AH报文头和ESP报文头中。

1、手工配置

所谓手工配置就是用户在对等体两端手工配置参数，两端参数匹配和协商通过即可建立IPsec SA，手工配置方式较为复杂，适用于小型静态环境。

2、自动协商

由IKE生成和维护，即IKE方式，通信双方基于各自配置的IPsec策略匹配和协商建立SA，不需要用户干预。IKE建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上，是基于UDP（User Datagram Protocol）的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务，能够简化IPSec的配置和维护工作。分为IKEv1、IKEv2，后者比前者效率高。

3、两者差异

对比项	手工配置	自动协商
加密/验证密钥配置和刷新方式	易出错，密钥管理成本高	密钥通过DH算法生成，动态刷新，密钥管理成本低
SPI取值	手动配置	随机生成
生存周期	无生成周期限制，SA永久存在	由双方的生成周期参数控制，SA动态刷新
安全性	低	高
适用场景	小型静态环境	小、中、大型网络

二、IKEv1协商安全联盟

由阶段1为阶段2做准备，阶段1建立了IKE SA，建立完成后对等体间的ISAKMP消息都通过加密和验证，保证了阶段2的协商，阶段2主要是建立用来传输数据的IPsec SA。

1、IKEv1协商阶段1

①协商建立IKE SA的参数，包括了加密算法、验证算法、身份认证方法、认证算法、DH组标识、IKE SA生存周期等；

②使用DH算法交换密钥材料，并生成密钥。对等体双发使用这些密钥材料各自生成用于对ISAKMP消息加密和验证的对称密钥；

③对等体之间身份认证，使用预共享密钥、数字证书或者数字信封认证等方式验证设备身份。

IKEv1阶段1协商有两种模式，分别为主模式和野蛮模式。

①查找匹配提议不包括IKE SA生存周期；

②交换密钥信息，不同身份认证方法的密钥计算方式是不同的，最终会产生三个密钥，SKEYID_a，SKEYID_e，SKEYID_d，SKEYID_a是ISAKMP消息完整性校验密钥，SKEYID_e是ISAKMP消息加密密钥，SKEYID_d用于衍生出IPsec报文的加密和验证密钥。

与主模式相比，野蛮模式减少了交换信息的数目，提高了协商的速度，但是没有对身份信息进行加密保护。

2、IKEv1协商阶段2

阶段2目的是建立安全传输数据的IPsec SA，并为数据传输衍生出密钥，这一阶段采用了快速模式，该阶段使用阶段1的SKEYID_a对ISAKMP消息的完整性和身份进行校验，使用SKEYID_e对ISAKMP消息进行加密。

①协商发起方发送本端的安全参数和身份认证信息：安全参数包括被保护的数据流、安全协议、加密算法和认证算法等需要协商的参数。身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等，可以再次认证对等体。

②协商响应方发送确认的安全参数和身份认证信息并生成新的密钥：IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出，以保证每个IPSec SA都有自己独一无二的密钥。

如果启用PFS（完美向前保密），则需要再次应用DH算法计算出一个共享密钥，然后参与上述计算，因此在参数协商时要为PFS协商DH密钥组，防止SKEYID_d泄露导致IPsec VPN受到侵犯。

③发送方发送确认信息，确认与响应方可以通信，协商结束。

三、IKEv2协商安全联盟

IKEv1无论是主模式+快速模式，还是野蛮模式+快速模式，前者至少需要9条消息，后者至少需要6条消息，因此IKEv2简化了过程，最少需要4条就可以完成一对IPsec SA的建立。

1、初始交换

正常情况下，IKEv2通过初始交换就可以完成第一对IPSec SA的协商建立。包括了IKE SA初始交换（IKE_SA_INIT交换）和IKE认证交换（IKE_AUTH交换）。

①第一对（IKE_SA_INIT）：完成IKE SA的参数协商，包括协商加密和验证算法，交换临时随机数和DH交换。最后生成3三密钥：

SKEYID_a用于第二对消息完整性校验；

SKEYID_e用于加密第二对消息；

SKEYID_d用于衍生出IPsec报文的加密和验证密钥。

②第二对（IKE_AUTH）：以加密方式完成身份认证、对前两条信息的认证和IPSec SA的参数协商。

2、创建子SA交换

当一个IKE SA需要创建多对IPSec SA时，需要使用创建子SA交换来协商多于一对的IPSec SA。另外，创建子SA交换还可以用于IKE SA的重协商。

创建子SA交换包含一个交换两条消息，对应IKEv1协商阶段2，交换的发起者可以是初始交换的协商发起方，也可以是初始交换的协商响应方。创建子SA交换必须在初始交换完成后进行，交换消息由初始交换协商的密钥进行保护。

如果启用PFS，创建子SA交换需要额外进行一次DH交换，生成新的密钥材料。生成密钥材料后，子SA的所有密钥都从这个密钥材料衍生出来。

3、通知交换

运行IKE协商的两端有时会传递一些控制信息，例如错误信息或者通告信息，这些信息在IKEv2中是通过通知交换完成的。通知交换必须在IKE SA保护下进行，也就是说通知交换只能发生在初始交换之后。

四、IKEv1和IKEv2对比

---

参考资料：防火墙和VPN技术与实践——李学昭