PSK:最典型的就是我们去设置它,比如说前边SA建立的过程中,我们可以手工去设置,当然我们也可以在某些特殊情况下,我们预先设置彼此共享的一个秘密密钥,我们把它称之为PSK,我们利用它,利用这样一个彼此共享的一个共享密钥,来进行彼此的这样一个身份认证
PKI:当然我们可以采用像前面提到的SSL利用公共密钥,也就是公钥基础设施PKI,那么利用公开密钥和私有密钥对,以及公钥的证书,利用我们前边讲过的身份认证的机制,我们也可以实现身份认证,事实上,作为IKE这两种方式都可选,那么尤其呢作为很多情况下我们会选择公钥的方式来实现
IKE的密钥交换和SA的协商建立过程,实际上是一个比较复杂的过程,涉及的报文也比较多我们这里边不再去展开,但是我们可以概括起来说呢,实际上是经历了两个阶段:
第一个阶段建立起专用的一个秘密通道,或者说是一个安全通道IKESA,然后利用这个IKESA进一步去协商具体的IPsec的SA,事实上为什么这样做呢?
在第一阶段IKESA的协商建立过程中那么通常我们会用到公钥,比如说RSA或者DH这样一个公开密钥的加密方法,计算量是比较大的,那么有了先前建立起的IKESA之后,有了这样一个安全的通道以后,后期的对IPsecSA的协商建立过程中,就不必再使用公开密钥的加密算法了,所以它的计算效率就提高了,事实上呢,这也是我们IKE进行密钥交换和SA的协商建立过程中为什么分了两个阶段,这个也是其中的一个主要原因
