PIX Firewall使用手册(11)

　　第二阶段：这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时，两台对等设备均已建立了一对IPSec SA，以便提供传输应用数据所需的安全通道。SA参数之一是寿命，可配置的寿命期结束之后，SA将自动终止，因此，这个参数能提高IPSec的安全性。

　　IKE协议为协商IPSec SA建立了安全通道。借助IKE，无需人工配置每台IPSec对等设备就能实施IPSec。随着对等设备的增加，人工配置IPSec对等设备将变得异常复杂，因为每台对等设备都需要一对SA才能与借助IPSec通信的另一台对等设备通信。

　　与IPSec相似，IKE也使用一对SA在两台对等设备之间建立安全通信通道。IKE使用SA为IPSec通道安全协商SA，而不是传输用户信息。

　　用户可以人工配置SA，以便在两台对等设备之间建立IPSec通道。但是，这种方法并不安全，因为人工配置的SA不会自动过期。另外，随着对等设备的增加将出现严重的扩展问题。无论何时在网络中添加使用IPSec的对等设备都必须在每台现有对等设备上增加一对SA。基于此种原因，只有当远程对等设备不支持IKE时才使用人工配置。

　　与IPSec SA的人工配置相似，IKE SA可以通过预共享密钥建立。但是，这种方法也存在人工配置IPSec SA的扩展问题。认证机构（CA）提供了一种可扩展的方法，能够共享密钥以建立IKE SA。

　　认证机构（Certification Authorities）

　　要想了解CA帮助配置IKE的方式，应该先了解公用/专用密钥加密。公用/专有密钥也称为非对称密钥，它是一对密钥，用一个密钥加密的数据可以用另一个密钥解密。这个属性可用于解决通过非安全网络共享秘密时遇到的扩展问题。

　　产生公用/专用密钥对之后，一个密钥保密（专用密钥），另一个密钥公开（公用密钥）。当任何对等设备需要与专用密钥的所有者共享秘密时，只需使用公用密钥对信息加密即可。对原始信息解密的唯一方式是使用专用密钥。使用这种方法，无需传送对加密信息解密的秘密口令就能通过非安全网络共享加密信息。

　　公用/专用密钥对的这个独特属性还提供了一种出色的认证方法。公用密钥只能对用相应专用密钥加密的信息进行解密。如果消息可以借助某个公用密钥阅读，就可以肯定，信息的发送者拥有相应的专用密钥。