从定义上来看,IKE SA负责IPSec SA的建立和维护,起控制作用;IPSec SA负责具体的数据流加密。
IPSec工作在网络层,一般用于两个子网之间的通信。IPSec主要分为两个环节。
第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥。
第二环节使用IPSec安全策略和密钥对数据进行保护。
总结:
一、通道不同
1、IKE SA:IKE SA通道两端只有一个SA,是单向的。
2、IPSec SA:IPSec SA通道两端不止一对SA,是双向的。
二、加密模式不同
1、IKE SA:IKE SA的加密模式为哈希算法。
2、IPSec SA:IPSec SA的加密模式为PRF算法。
三、负责不同
1、IKE SA:IKE SA负责数据流的建立和维护作用。
2、IPSec SA:IPSec SA负责具体的数据流控制作用。