(公钥加密,私钥解密) 与（私钥解密，公钥加密）公加私解

 (公钥加密,私钥解密) 与（私钥解密，公钥加密）

在非对称加密算法中，私钥用于解密和签名，公钥用于加密和认证。

DH算法是一种公共密钥交换算法

通过IKE协议自动协商密钥。IKE采用DH（Diffie-Hellman）算法在不安全的网络上安全地分发密钥。这种方式配置简单，可扩展性好，特别是在大型动态的网络环境下此优点更加突出。同时，通信双方通过交换密钥交换材料来计算共享的密钥，即使第三方截获了双方用于计算密钥的所有交换数据，也无法计算出真正的密钥，这样极大地提高了安全性。
IKE协议
因特网密钥交换IKE（Internet Key Exchange）协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上，是基于UDP（User Datagram Protocol）的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务，能够简化IPSec的配置和维护工作。
IKE支持的认证算法有：MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3。
身份保护
 身份数据在密钥产生之后加密传送，实现了对身份数据的保护。
IKE支持的加密算法有：DES、3DES、AES-128、AES-192、AES-256和SM4。
DH
DH是一种公共密钥交换方法，它用于产生密钥材料，并通过ISAKMP消息在发送和接收设备之间进行密钥材料交换。然后，两端设备各自计算出完全相同的对称密钥。该对称密钥用于计算加密和验证的密钥。在任何时候，通信双方都不交换真正的密钥。DH密钥交换是IKE的精髓所在。
PFS
完善的前向安全性PFS（Perfect Forward Secrecy）通过执行一次额外的DH交换，确保即使IKE SA中使用的密钥被泄露，IPSec SA中使用的密钥也不会受到损害。
MD5和SHA1认证算法不安全，建议使用SHA2-256、SHA2-384、SHA2-512、SM3算法。
DES和3DES加密算法不安全，建议使用AES或SM算法。