3.2.1. Giới thiệu chung và các chuẩn
Bản thân giao thức IPSec không có khả năng thiết lập SA. Do đó quá trình được chia làm 2 phần: IPSec cung cấp xử lý ở mức gói và giao thức quản lý trao đổi khoá Internet thoả thuận các SA, IKE được chọn làm giao thức chuẩn để thiết lập các SA cho IPSec. IKE tạo ra một đường hầm được xác thực và mã hoá, sau đó là thoả thuận SA cho IPSec. Quá trình này yêu cầu hai hệ thống xác thực lẫn nhau và thiết lập các khoá sử dụng chung.
Được biết đến đầu tiên là ISAKMP/Oakley, trong đó ISAKMP là viết tắt của Internet Security Association and Key Management Protocol (Liên kết bảo mật Internet và Giao thức quản lý khoá).
IKE trợ giúp các nhóm liên lạc thương lượng các tham số bảo mật và các khoá xác thực trước khi một phiên IPSec an toàn được thực thi. Các tham số bảo mật được thương lượng này sẽ được định nghĩa một lần trong SA. Ngoài việc thương lượng và thiết lập các tham số bảo mật và các khoá mật mã, IKE cũng thay đổi các tham số và khoá khi được yêu cầu trong một phiên làm việc, IKE cũng chịu trách nhiệm xoá các khoá và các SA này sau khi một phiên truyền tin được hoàn tất.
Những ưu điểm chính của IKE bao gồm:
- IKE không phục thuộc vào công nghệ. Vì vậy nó có thể được dùng với bất kỳ cơ chế bảo mật nào.
- IKE mặc dù không nhanh, nhưng hiệu quả cao vì một số lượng lớn các SA được thương lượng với một số thông điệp vừa phải.
Theo cấu trúc làm việc của ISAKMP. IKE làm việc qua hai pha.
Hai pha trao đổi khoá sẽ tạo ra IKE SA và một đường hầm an toàn giữa hai hệ thống. Một phía sẽ đưa ra một trong các thuật toán, phía kia sẽ chấp nhận hoặc loại bỏ kết nối. Khi hai bên đã thống nhất được các thuật toán sẽ sử dụng thì chúng sẽ tạo khoá cho IPSec. IPSec sử dụng một khoá dùng chung khác với khoá của IKE, khoá này có được nhờ sử dụng thuật toán Diffie-Hellman một lần nữa hoặc sử dụng lại khoá dùng chung có được từ trao đổi Diffie-Hellman ban đầu. Sau khi quá trình được hoàn tất thì IPSec SA được thiết lập. Quá trình thực hiện IKE gồm 2 pha, đó là : IKE Phase I và IKE Phasse II