Bước thư hai này chính là IKE pha thứ nhất. Mục đích của IKE pha thứ nhất: - Đồng ý một tập các tham số được sử dụng để nhận thực hai bên và mật mã một phần chếđộ chính và tồn bộ trao đổi thực hiện trong chếđộ nhanh. Khơng cĩ bản tin nào ở chếđộ tấn cơng được mật mã nếu chế độ tấn cơng được sử dụng để thương lượng.
- Hai bên tham gia IP-VPN nhận thực với nhau.
- Tạo khĩa để sử dụng làm tác nhân sinh ra khĩa mã hĩa mã hĩa dữ liệu ngay sau khi thương lượng kết thúc.
Tất cả thơng tin thương lượng trong chếđộ chính hay chếđộ tấn cơng, bao gồm khĩa sau đĩ sử dụng để tạo khĩa cho quá trình mật mã dữ liệu, được lưu với tên gọi là IKE SA hay ISAKMP SA (liên kết an ninh IKE hay ISAKMP). Bất kỳ bên nào trong hai bên cũng chỉ cĩ một ISAKMP liên kết an ninh giữa chúng.
Chế độ chính cĩ trao đổi 6 bản tin (tức là cĩ 3 trao đổi 2 chiều) giữa hai bên khởi tạo và biên nhận:
- Trao đổi thứ nhất: Các thuật tốn mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽđược thỏa thuận giữa các đối tác.
- Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khĩa bí mật chia sẻ
(shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khĩa bí mật chia sẻ được sử dụng để tạo ra tất cả các khĩa bí mật và xác thực khác.
- Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của chếđộ chính là một đường truyền thơng an tồn cho các trao đổi tiếp theo của hai
đối tác.
Chế độ nhanh thực hiện trao đổi 3 bản tin. Hầu hết các trao đổi đều được thực hiện trong trao đổi thứ nhất: thỏa thuận các tập chính sách IKE, tạo khĩa cơng cộng Diffie-Hellman, và một gĩi nhận dạng cĩ thể sử dụng để xác định nhận dạng thơng qua một bên thứ ba. Bên nhận gửi trở lại mọi thứ cần thiết để hồn thành việc trao đổi. Cuối cùng bên khởi tạo khẳng định việc trao đổi.
a) Các tập chính sách IKE
Khi thiết lập một kết nối IP-VPN an tồn giữa hai host A và host B thơng qua Internet, một đường ngầm an tồn được thiết lập giưa router A và router B. Thơng qua
đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thỏa thuận. Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhĩm thành các tập và
được gọi là tập chính sách IKE (IKE policy set). Các tập chính sách IKE được trao đổi trong IKE pha thứ nhất, trao đổi thứ nhất. Nếu một chính sách thống nhất được tìm thấy ở hai phía thì trao đổi được tiếp tục. Nếu khơng tìm thấy chính sách thống nhất nào, đường ngầm sẽ bị loại bỏ. Ví dụ Router A gửi các tập chính sách IKE policy 10 và IKE plicy 20 tới router B. Router B so sánh với tập chính sách của nĩ, IKE policy 15, với các tập chính sách nhận được từ router A . Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE policy 10 của router A và IKE policy 15 của router B là tương đương. Trong ứng dụng điểm - tới - điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm cĩ thể phải định nghĩa nhiều chính sách IKE đểđáp ứng nhu cầu của tất cả các đối tác từ xa.
b) Trao đổi khĩa Diffie-Hellman
Trao đổi khĩa Diffie-Hellman là một phương pháp mật mã khĩa cơng khai cho phép hai bên thiết lập một khĩa bí mật chung qua một mơi trường truyền thơng khơng an tồn (xem chi tiết trong chương 4). Cĩ 7 thuật tốn hay nhĩm Diffie-Hellman được
định nghĩa: DH 1÷7. Trong IKE pha thứ nhất, các bên phải thỏa thuận nhĩm Diffie- Hellman được sử dụng. Khi đã hồn tất việc thỏa thuận nhĩm, khĩa bí mật chung sẽ được tính.
c) Xác thực đối tác
Xác thực đối tác là kiểm tra xem ai đang ở phía bên kia của đường ngâm VPN. Các thiết bịở hai đầu đường ngầm IP-VPN phải được xác thực trước khi đường truyền thơng được coi là an tồn. Trao đổi cuối cùng của IKE pha thứ nhất cĩ mục đích như
xác thực đối tác.
Cĩ hai phương thức xác thực nguồn gốc dữ liệu chủ yếu là đối tác: Khĩa chia sẻ
trước (Pre-shared keys) và chữ ký số (RSA signatures). Chi tiết về các thuật tốn xác thực được đề cập trong chương 4.