Bước thứ 3 này chính là IKE pha 2. Mục đích của IKE pha 2 là để thỏa thuận các thông số an ninh IPSec sử dụng để bảo vệ đường ngầm IPSec. Chỉ có một chế độ nhanh được sử dụng cho IKE pha 2. IKE pha 2 thực hiện các chức năng sau:
* Thỏa thuận các thông số anh ninh IPSec (IPSec Security parameters), các tập chuyển đổi IPSec (IPSec transform sets).
* Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
* Định kỳ thỏa thuận lại IPSec SA để đảm bảo tính an toàn của đường ngầm * Thực hiện một trao đổi Diffie-Hellman bổ sung (khi đó các SA và các khóa mới được tạo ra, làm tăng tính an toàn cho đường ngầm).
Chế độ nhanh cũng được sử dụng để thỏa thuận lại một kết hợp an ninh mới khi kết hợp an ninh cũ đã hết hạn. Khi đó các bên có thể không cần quay trở lại bước thứ 2 nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thông mới.
a) Các tập chuyển đổi IPSec Computer Computer Host B Host A Router A Router B Thỏa thuận các tập chuyển đổi Tập chuyển đổi 30 ESP 3DES SHA Tunnel Lifetime Tập chuyển đổi 50 ESP 3DES SHA Tunnel Lifetime Tập chuyển đổi 40 ESP DES MD 5 Tunnel Lifetime
Hình 3.19: Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE pha 2 là thiết lập một phiên IPSec an toàn giữa hai điểm cuối VPN. Trước khi thực hiện được điều đó, mỗi cặp điểm cuối lần lượt thỏa thuận mức độ an toàn cần thiết (ví dụ các thuật toán xác thực và mật mã dùng trong phiên đó). Thay vì phải thỏa thuận riêng từng giao thức đơn lẻ, các giao thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao đổi giữa hai phía trong chế độ nhanh. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục, ngược lại thì phiên đó sẽ bị loại bỏ. Ví dụ router A gửi tập chuyển đổi 30 và 40 tới router B, router B kiểm tra thấy tập chuyển đổi 50 phù hợp với tập chuyển đổi 30 của router A, các thuật toán xác thực va mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh.
b) Thiết lập kết hợp an ninh
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị IP-VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này được biết đên như là một kết hơp an ninh. Thiết bị IP-VPN sau đó sẽ đanh số mỗi SA bằng một chỉ số SPI. Khi có yêu cầu gửi gói tin giữa hai đầu VPN, các thiết bị sẽ dựa vào địa chỉ đối tác, các chỉ số SPI, thuật toán IPSec được dùng để xử lý gói tin trước khi truyền trong đường ngầm. Chi tiết về SA được trình bày trong phần 3.3.1.
c) Thời gian sống của một kêt hợp an ninh
Thời gian sống của một kết hợp an ninh càng lớn thì càng có nhiều khả năng mất an toàn. Để đảm an toàn cho phiên truyền thông thì các khóa và các SA phải được thay đổi thường xuyên. Có hai cách tính thời gian sống của SA: tính theo số lượng dữ liệu
được truyền đi và tính theo giây. Các khóa và SA có hiệu lực cho đến khi hết thời gian tồn tại của SA hoặc đến khi đường ngầm bị ngắt, khi đó SA bị xóa bỏ.