密钥管理

动态 VPN 通过使用因特网密钥交换 (IKE) 协议进行密钥管理，为通信提供额外的安全性。 IKE 允许连接两端的 VPN 服务器按指定的时间间隔协商新密钥。

通过每次成功协商， VPN 服务器都会重新生成用于保护连接的密钥，从而使攻击者更难以从连接中捕获信息。 此外，如果使用完美正向保密，那么攻击者无法根据过去的密钥信息来派生未来密钥。

VPN 密钥管理器是 IBM对因特网密钥交换 (IKE) 协议的实现。 密钥管理器支持安全关联 (SA) 的自动协商，以及密钥的自动生成和刷新。

安全性关联 (SA) 包含使用 IPSec 协议所需的信息。 例如， SA 标识算法类型，密钥长度和生命周期，参与方和封装方式。

密钥，顾名思义，锁定或保护您的信息，直到安全到达其最终目标。

关键管理的阶段

VPN 密钥管理器在其实现中使用两个不同的阶段。

第 1 阶段

阶段 1 建立一个主密钥，从中派生后续密钥以保护用户数据流量。 即使两个端点之间尚不存在安全保护，也是如此。 VPN 使用 RSA 签名方式， ECDSA 签名方式 或预共享密钥来认证阶段 1 协商，以及建立用于保护后续阶段 2 协商期间流的 IKE 消息的密钥。

预共享密钥 是长度最多为 128 个字符的非平凡字符串。 连接的两端必须同意预共享密钥。 使用预共享密钥的优点是它们的简单性，缺点是在 IKE 协商之前，必须在频带外 (例如通过电话或通过注册邮件) 分发共享密钥。 将预共享密钥视为密码。

RSA 签名 认证比预共享密钥提供更多安全性，因为此方式使用数字证书来提供认证。 必须使用 "数字 Certificate Manager" 来配置数字证书。 VPN 对其支持的 RSA 密钥长度没有限制。 您使用的证书必须来自两个密钥服务器都信任的认证中心。

ECDSA 签名 小于具有类似加密强度的 RSA 签名，从而提高了通信效率。 ECDSA 特征符支持三个密钥长度: ECDSA-256， ECDSA-384和 ECDSA-521。 必须使用 "数字 Certificate Manager" 来配置数字证书。 您使用的证书必须来自两个密钥服务器都信任的认证中心。 在 IKEv1中不支持 ECDSA 签名。

第 2 阶段

但是，阶段 2 会协商用于保护实际应用程序数据交换的安全关联和密钥。 请记住，到目前为止，尚未实际发送任何应用程序数据。 阶段 1 保护阶段 2 IKE 消息。

阶段 2 协商完成后， VPN 将通过网络以及您为连接定义的端点之间建立安全的动态连接。 所有流经 VPN 的数据都以密钥服务器在阶段 1 和阶段 2 协商过程中商定的安全程度和效率交付。

通常，阶段 1 协商每天协商一次，而阶段 2 协商每 60 分钟或每 5 分钟刷新一次。 更高的刷新率会提高数据安全性，但会降低系统性能。 使用较短的密钥生命周期来保护最敏感的数据。

使用 IBM Navigator for i 创建动态 VPN 时，必须定义 IKE 策略以启用第 1 阶段协商，并定义数据策略以管理第 2 阶段协商。 (可选) 您可以使用 "新建连接" 向导。 向导会自动创建正确工作所需的每个配置对象 VPN ，包括 IKE 策略和数据策略。