IPSec的目标是用必要的安全服务保护有用的数据。
①定义感兴趣的数据流。当用户发送的业务流需要保护时,将其定义为感兴趣的数据流。VPN设备会将这种数据流通过IPSec隧道传送。对于IPSec保护的每个数据包,系统管理员必须指定数据包所用的安全服务。安全策略数据库将指定数据流所使用的IPSec协议、模式和算法。
②IKE阶段1。在对等体之间,协商并确定了一套最基本的安全服务,这一套基本的服务将保护对等体之间发生的后续通信服务。IKE阶段1的目的是协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
③IKE阶段2。IKE协商IPSec安全关联参数,并在对等体中建立相匹配的lPSec安全关联,这些安全参数用于保护端点之间交换的数据和消息。该阶段主要执行以下功能。
协商IPSec安全性参数和IPSec转换集;建立IPSec的SA;定期重协商IPSec的SA,以确保安全性;可以执行额外的DH交换。
④数据传输。基于保存在安全关联数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
⑤IPSec隧道终止。可以通过删除或超时的方式将IPSec SA终止。超过规定的秒数或当一定数量的字节通过隧道后,SA就会超时。SA终止时,密钥也会被丢弃。如果数据流需要后续的IPSec SA,则IKE将执行新的协商。协商成功后将会产生新的SA和新的密钥。