Bước thư hai này chính là IKE pha thứ nhất. Mục đích của IKE pha thứ nhất: * Đồng ý một tập các tham số được sử dụng để nhận thực hai bên và mật mã một phần chế độ chính và toàn bộ trao đổi thực hiện trong chế độ nhanh. Không có bản tin nào ở chế độ tấn công được mật mã nếu chế độ tấn công được sử dụng để thương lượng.
* Hai bên tham gia IP-VPN nhận thực với nhau.
* Tạo khóa để sử dụng làm tác nhân sinh ra khóa mã hóa mã hóa dữ liệu ngay sau khi thương lượng kết thúc.
Tất cả thông tin thương lượng trong chế độ chính hay chế độ tấn công, bao gồm khóa sau đó sử dụng để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên gọi là IKE SA hay ISAKMP SA (liên kết an ninh IKE hay ISAKMP). Bất kỳ bên nào trong hai bên cũng chỉ có một ISAKMP liên kết an ninh giữa chúng.
Computer Computer Host B Host A Router A Router B IKE pha 1 Chế độ chính Thương lượng chính sách Thương lượng chính sách Trao đổi Diffie -Hellman Trao đổi Diffie -Hellman Kiểm tra nhận dạng các bên Kiểm tra nhận dạng các bên
Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode)
Chế độ chính có trao đổi 6 bản tin (tức là có 3 trao đổi 2 chiều) giữa hai bên khởi tạo và biên nhận:
* Trao đổi thứ nhất: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽ được thỏa thuận giữa các đối tác.
* Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng để tạo ra tất cả các khóa bí mật và xác thực khác.
* Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác.
Chế độ nhanh thực hiện trao đổi 3 bản tin. Hầu hết các trao đổi đều được thực hiện trong trao đổi thứ nhất: thỏa thuận các tập chính sách IKE, tạo khóa công cộng Diffie-Hellman, và một gói nhận dạng có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba. Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành việc trao đổi. Cuối cùng bên khởi tạo khẳng định việc trao đổi.
a) Các tập chính sách IKE
Khi thiết lập một kết nối IP-VPN an toàn giữa hai host A và host B thông qua Internet, một đường ngầm an toàn được thiết lập giưa router A và router B. Thông qua đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thỏa thuận. Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhóm thành các tập và được gọi là tập chính sách IKE (IKE policy set). Các tập chính sách IKE được trao đổi trong IKE pha thứ nhất, trao đổi thứ nhất. Nếu một chính sách thống nhất được tìm thấy ở hai phía thì trao đổi được tiếp tục. Nếu không tìm thấy chính sách thống nhất nào, đường ngầm sẽ bị loại bỏ. Ví dụ Router A gửi các tập chính sách IKE policy 10 và IKE plicy 20 tới router B. Router B so sánh với tập chính sách của nó, IKE policy 15, với các tập chính sách nhận được từ router A . Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE policy 10 của router A và IKE policy 15 của router B là tương đương. Trong ứng dụng điểm - tới - điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE để đáp ứng nhu cầu của tất cả các đối tác từ xa.
b) Trao đổi khóa Diffie-Hellman
Trao đổi khóa Diffie-Hellman là một phương pháp mật mã khóa công khai cho phép hai bên thiết lập một khóa bí mật chung qua một môi trường truyền thông không an toàn (xem chi tiết trong chương 4). Có 7 thuật toán hay nhóm Diffie-Hellman được định
nghĩa: DH 1÷7. Trong IKE pha thứ nhất, các bên phải thỏa thuận nhóm Diffie-Hellman được sử dụng. Khi đã hoàn tất việc thỏa thuận nhóm, khóa bí mật chung sẽ được tính.
c) Xác thực đối tác
Xác thực đối tác là kiểm tra xem ai đang ở phía bên kia của đường ngâm VPN. Các thiết bị ở hai đầu đường ngầm IP-VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Trao đổi cuối cùng của IKE pha thứ nhất có mục đích như xác thực đối tác.
Có hai phương thức xác thực nguồn gốc dữ liệu chủ yếu là đối tác: Khóa chia sẻ trước (Pre-shared keys) và chữ ký số (RSA signatures). Chi tiết về các thuật toán xác thực được đề cập trong chương 4.