IKEv2优点

为了解决IKE的诸多缺点，IKEv2与传统IKE相比有以下优点：

• 用4条消息就可以完成一个IKE SA和一对IPSec SA的协商建立，提高了协商效率。

• 删除了原有协议中的DOI、SIT以及域名标识符、提交位这些功能不强且难以理解、容易混淆的数据结构。

• 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。

• 定义了独立的通讯量选择载荷，分担了原有ID载荷的部分功能，增加了协议灵活性。

• 加入对EAP身份认证方式的支持，提高了认证方式的灵活性和可扩展性。

IKEv2的协商过程

要建立一对IPSec SA，传统IKE需要经历两个阶段：“主模式＋快速模式”或者“野蛮模式＋快速模式”。前者需要交换至少9条消息，后者也至少需要6条消息。而IKEv2建立一对IPSec SA，正常情况使用两次交换4条消息就可以完成一个IKE SA和一对IPSec SA的协商建立，如果要求建立的IPSec SA大于一对时，每一对SA只需额外增加一次交换，也就是两条消息就可以完成。这比传统IKE要简化很多。

IKEv2与EAP认证

EAP（Extensible Authentication Protocol）是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即若想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。采用EAP方式认证，可以方便的继承系统原有的认证机制。

IKEv2中支持采用EAP对协商的发起方(Initiator)进行第三方认证。响应方根据发起方消息中有无AUTH载荷来判断是否需要EAP认证。

如果没有AUTH(Authentication)载荷则表示发起方请求EAP认证，在响应方发回的Response消息选择了自己允许的EAP认证方法。发起方的下一个Request消息携带了对应于该EAP方法的认证信息，收到该消息后响应方向第三方的EAP认证服务器按照RFC 3748（Extensible Authen-tication Protocol）的规范进行认证。然后在Response消息中发回认证成功或失败的信息。

在实现中响应方可以完全不用知道具体的认证方法和过程，而仅充当发起方和EAP认证服务器的中转(pass through模式)，由发起方和EAP认证服务器来完成认证的全过程而响应方只需要得到认证结果。这样可以支持很多的认证方式，包括很多高强度的认证算法而不用增加响应方的软件复杂度。

IKEv2和IKEv1的对比：

IKEv1将交换过程分为两个阶段，两种方式：主模式和野蛮（aggressive）模式。第一阶段建立IKE自身的安全关联，协商IKE加密和认证算法与密钥；第二阶段为IPSec提供安全关联的算法和密码协商。

IKEv2简化了协商过程，在次协商中可直接产生IPSec的密钥。

(IKE可以在公有网络上协商出只有通信双方才掌握的秘密，这还要归功于DH交换----IKE中最核心的算法）