钥匙管理
IPSec 的钥匙管理部分负责密钥的分发。IPSec架构支持两种密钥管理方式。 人工手动管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。 另一方面,自动管理系统可以随时建立新的SA密钥,并可以对较大的分布式系统上使用密钥进行定期的更新。自动管理模式是很有弹性的,但需要花费更多的时间及精力去设置,同时,还需要使用更多的软件。 IPSec的自动管理密钥协议的默认名字是ISAKMP/Oakley。互联网安全组织及密钥管理协议(Internet Security Association and Key Management Protocol ISAKMP)对互联网密钥管理的架构以及特定的协议提供支持。 Oakley 密钥使用的协议基于Diffle-Hellman 算法,但它也提供额外的安全功能。特别是Oakley包括认证用户的机制。
IPSec 及VPN 由于企业及政府用户需要把它们的专用WAN/LAN 架构与互联网连接,以便访问互联网的服务,所以他们非常热衷于部署安全的IP。用户需要把它们的网络与互联网分隔,但同时要在网上发送及接受网包。安全的IP就可以提供网上的认证及隐私机制。 因为IP安全机制是独立定义,其用途与现在的IP或IPv6不同,IP安全机制不需要依靠IPv6部署。我们可以看到安全IP的功能会首先被广泛使用,它会比IPv6先流行起来,因为对IP层的安全需求远比增加IPv6功能的需求多许多。 有了IPSec,管理人员就有了实施VPN的安全标准。此外,所有在IPSec中使用的加密及认证算法已经过仔细的研究和几年的验证,所以用户大可放心地将安全问题交付给IPSec。
