Giai đoạn 1 và 2 là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra.
Hình 2.10: Chế độ IKE (IKE mode)
Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 giai đoạn chính: Giai đoạn 1 và giai đoạn 2, cả hai giai đoạn này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài giai đoạn 1 và giai đoạn 2 còn có giai đoạn 1,5 tùy chọn.
Hình 2.11: Giai đoạn IKE
Giai đoạn 1:
Đây là giai đoạn bắt buộc phải có. Giai đoạn này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong giai đoạn này gọi là ISAKMP SA hay IKE SA.
Giai đoạn này sử dụng một trong 2 chế độđể thiết lập SA: Chế độ chính (Main mode) và chế độ linh hoạt (Aggressive mode).
Các thông số bảo mật bắt buộc phải thỏa thuận trong giai đoạn 1 này là: - Thuật toán mã hóa: DES, 3DES, AES.
- Thuật toán hash: MD5, SHA.
- Phương pháp chứng thực: Preshare-key, RSA.
- Thông điệp cuối cùng sẽ chứng thực bên vừa gửi.
Giai đoạn 1.5:
Đây là giai đoạn không bắt buộc. Giai đoạn 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật. Giai đoạn 1.5 sử dụng giao thức Extended Authentication (Xauth). Giai đoạn này thường sử dụng trong Remote Access VPN.
Giai đoạn 2:
Đây là giai đoạn bắt buộc, đến giai đoạn này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Quá trình thỏa thuận các thông số ở giai đoạn 2 là để thiết lập IPSec SA dựa trên những thông số của giai đoạn 1. Chế độ nhanh (Quick mode) là phương thức được sử dụng trong giai đoạn 2.
Các thông số mà chế độ nhanh (Quick mode) thỏa thuận trong giai đoạn 2: - Giao thức IPSec: ESP hoặc AH.
- Chế độ IPSec: Tunnel hoặc Transport.
- IPSec SA lifetime: Dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
- Trao đổi khóa Diffie-Hellman.
- IPSec SA của giai đoạn 2: Chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo chế độ Tunnel hay chế độ Transport.