在線輔導　面授招生　考試大綱　指定教材　報名時間

CREATE_IPSEC_SA交換只包含一對獨立的請求/響應信息，相當于IKEvl的階段二交換。在初始交換完成后，它可以由IKE安全聯盟的任意一端發起。初始交換之后的所有報文都受到加密保護.這里采用的是在IKE?H交換頭兩個報文中協商的加密算法和密鑰。IPSec安全聯盟足通過發送CREATE_IPSEC_SA請求來創建的。
為確保IPSec安全聯盟具有更強的向前加密保證，CREATEJPSEC_SA請求可以選擇性地包含IKE栽荷，來進行額外的Diffie^Hellman交換。IPSec安全聯盟的密鑰材料是SK_d。在初始交換建立的部分IPSec安全聯盟中，不能發送第二個KE載荷和Nonce。初始交換中的Nonce被用來計算IPSec安全聯盟的密鑰。
發起方在SA載荷中發送SA提議，在Ni載荷中發送Nonce,在KEi載荷中可選地發送Diffie-HeHman值，在TSi和TSr載荷中可選地發送提議的流螢選擇器，如果SA提議中包含不同的Diffie-Hellman組，KEi必須是發起方希望響應方接受的組中的一個元素。如果猜測錯誤（即響應方不接受發起方推薦的KEi),就意味者CREATE_IPSEC_SA交換失敗并不得不嘗試一個新的KEi。頭部之后的報文是加密的，報文（包含頭部）使用為IKE安全聯盟協商的加密算法進行完整性保護，影響應方使用相同的消息ID來響應，并在SA栽荷中答復接受的SA提議，在KEr載荷中答復Diffie-Hellman位（如果請求中包含了KEi并且所選擇的加密組件中包含請求中的DH組)。如果響應方選擇不同組的加密組件它必須拒絕請求，發起方應該重傳請求，并且在請求中要包含響應方所選擇組屮的KJEi栽荷。
為了使IKE_SA的對端可能希望傳輸一些關于錯誤或事件通知的控制信息，所以在IKEv2協議中定義了INFORMATIONAL交換。INFORMATIONAL交換只能在起始交換之后發生，并且用協商的密鑰加密保護。INFORMATIONAL交換中的報文包含0個或多個通告、刪除和配置載荷。INFORMATIONAL交換請求的接收端必須發出響應（否則發送者會認為報文在網絡中丟失并且屯發報文）《響應可以是沒有載荷的報文。INFORMATIONAL交換的請求報文也可以不包括任何栽荷。通過這種方法，一個端點可以讓另一個端點證明它還可用。
INFORMATIONAL交換的基本定義如閣5-9所示。

返回目錄： 通信工程師考試移動互聯網安全技術匯總

編輯特別推薦：

中級通信專業實務 互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總