• RFC2408：Internet Security Association and Key Management Protocol (ISAKMP)
• RFC2409：The Internet Key Exchange (IKE)
• RFC2412：The OAKLEY Key Determination Protocol

IKEv2简介

IPsec隧道两端通过共享密钥对IP报文提供机密性、完整性、以及数据来源认证服务。共享密钥可以手工建立，也可以通过协商方式自动建立。IKE协议定义了自动协商共享密钥的机制，并用于建立和维护IPsec安全联盟。IKEv2（Internet Key Exchange Version 2，互联网密钥交换协议第2版）是第1版本的IKE协议（本文简称IKEv1）的增强版本，它在保留了IKEv1中的大部分特性的基础上引入了一些新特性。

IKEv2与IKEv1相同，具有一套自保护机制，可以在不安全的网络上安全地进行身份认证、密钥分发、建立IPsec SA。相对于IKEv1，IKEv2具有抗攻击能力和密钥交换能力更强以及报文交互数量较少等特点。

IKEv2的协商过程

要建立一对IPsec SA，IKEv1需要经历两个阶段，至少需要交换6条消息。在正常情况下，IKEv2只需要进行两次交互，使用4条消息就可以完成一个IKEv2 SA和一对IPsec SA的协商建立，如果要求建立的IPsec SA的数目大于一对，则每增加一对IPsec SA只需要额外增加一次交互，也就是两条消息就可以完成，这相比于IKEv1简化了设备的处理过程，提高了协商效率。

IKEv2定义了三种交互：初始交换、创建子SA交换以及通知交换。

下面简单介绍一下IKEv2协商过程中的初始交换过程。

如图3-1所示，IKEv2的初始交换过程中包含两个交换：IKE_SA_INIT交换（两条消息）和IKE_AUTH交换（两条消息）。

• IKE_SA_INIT交换：完成IKEv2 SA参数的协商以及密钥交换；
• IKE_AUTH交换：完成通信对等体的身份认证以及IPsec SA的创建。

这两个交换过程顺序完成后，可以建立一个IKEv2 SA和一对IPsec SA。

创建子SA交换：当一个IKE SA需要创建多个IPsec SA时，使用创建子SA交换来协商多于一个的SA，另外还可用于进行IKE SA的重协商功能。

通知交换：用于传递控制信息，例如错误信息或通告信息。