互联网技术IPSec安全联盟

　在线辅导　面授招生　考试大纲　指定教材　报名时间

CREATE_IPSEC_SA交换只包含一对独立的请求/响应信息，相当于IKEvl的阶段二交换。在初始交换完成后，它可以由IKE安全联盟的任意一端发起。初始交换之后的所有报文都受到加密保护.这里采用的是在IKE?H交换头两个报文中协商的加密算法和密钥。IPSec安全联盟足通过发送CREATE_IPSEC_SA请求来创建的。
为确保IPSec安全联盟具有更强的向前加密保证，CREATEJPSEC_SA请求可以选择性地包含IKE栽荷，来进行额外的Diffie^Hellman交换。IPSec安全联盟的密钥材料是SK_d。在初始交换建立的部分IPSec安全联盟中，不能发送第二个KE载荷和Nonce。初始交换中的Nonce被用来计算IPSec安全联盟的密钥。
发起方在SA载荷中发送SA提议，在Ni载荷中发送Nonce,在KEi载荷中可选地发送Diffie-HeHman值，在TSi和TSr载荷中可选地发送提议的流萤选择器，如果SA提议中包含不同的Diffie-Hellman组，KEi必须是发起方希望响应方接受的组中的一个元素。如果猜测错误（即响应方不接受发起方推荐的KEi),就意味者CREATE_IPSEC_SA交换失败并不得不尝试一个新的KEi。头部之后的报文是加密的，报文（包含头部）使用为IKE安全联盟协商的加密算法进行完整性保护，影响应方使用相同的消息ID来响应，并在SA栽荷中答复接受的SA提议，在KEr载荷中答复Diffie-Hellman位（如果请求中包含了KEi并且所选择的加密组件中包含请求中的DH组)。如果响应方选择不同组的加密组件它必须拒绝请求，发起方应该重传请求，并且在请求中要包含响应方所选择组屮的KJEi栽荷。
为了使IKE_SA的对端可能希望传输一些关于错误或事件通知的控制信息，所以在IKEv2协议中定义了INFORMATIONAL交换。INFORMATIONAL交换只能在起始交换之后发生，并且用协商的密钥加密保护。INFORMATIONAL交换中的报文包含0个或多个通告、删除和配置载荷。INFORMATIONAL交换请求的接收端必须发出响应（否则发送者会认为报文在网络中丢失并且屯发报文）《响应可以是没有载荷的报文。INFORMATIONAL交换的请求报文也可以不包括任何栽荷。通过这种方法，一个端点可以让另一个端点证明它还可用。
INFORMATIONAL交换的基本定义如阁5-9所示。

返回目录： 通信工程师考试移动互联网安全技术汇总

编辑特别推荐：

中级通信专业实务 互联网技术教程汇总

中级通信专业实务传输与接入教程汇总

通信专业实务考试设备与环境教程汇总

通信专业实务考试交换技术教程汇总