IPsec ISAKMP（转）

IPsec ISAKMP

2010-08-10 11:47:01

标签：IPsec 职场 休闲 ISAKMP

Interne 安全连接和密钥管理协议（ISAKMP）是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。

因特网安全联盟和密钥管理协议（ISAKMP）定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。SA 包括了各种网络安全服务执行所需的所有信息，这些安全服务包括 IP 层服务（如头认证和负载封装）、传输或应用层服务，以及协商流量的自我保护服务等。ISAKMP 定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架，而它们与密钥产生技术，加密算法和认证机制相独立。

ISAKMP 区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而，需要一个通用的框架用于支持 SA 属性格式，谈判，修改与删除 SA，ISAKMP 即可作为这种框架。

把功能分离为三部分增加了一个完全的 ISAKMP 实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的，而且还应该对 ISAKMP 服务器更深层次发展的分析简单化。

ISAKMP 支持在所有网络层的安全协议（如 IPSEC、TLS、TLSP、OSPF 等等）的 SA 协商。ISAKMP 通过集中管理 SA 减少了在每个安全协议中重复功能的数量。ISAKMP 还能通过一次对整个栈协议的协商来减少建立连接的时间。

ISAKMP 中，解释域（DOI）用来组合相关协议，通过使用 ISAKMP 协商安全连接。共享 DOI 的安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共享一个特定 DOI 的有效载荷数据目录解释，包括安全连接和有效载荷认证。

总之， ISAKMP 关于 DOI 定义如下方面：

• 特定 DOI 协议标识的命名模式；
• 位置字段解释；
• 可应用安全策略集；
• 特定 DOI SA 属性语法；
• 特定 DOI 有效负载目录语法；
• 必要情况下，附加密钥交换类型；
• 必要情况下，附加通知信息类型。

协议结构

8	12	16	24	32 bit
Initiator Cookie
Responder Cookie
Next Payload	MjVer	MnVer	Exchange Type	Flags
Message ID
Length

• Initiator Cookie ― Initiator Cookie：启动 SA 建立、SA 通知或 SA 删除的实体 Cookie。
• Responder Cookie ― Responder Cookie：响应 SA 建立、SA 通知或 SA 删除的实体 Cookie。
• Next Payload ― 信息中的 Next Payload 字段类型。
• Major Version ― 使用的 ISAKMP 协议的主要版本。
• Minor Version ― 使用的 ISAKMP 协议的次要版本。
• Exchange Type ― 正在使用的交换类型。
• Flags ― 为 ISAKMP 交换设置的各种选项。
• Message ID ― 唯一的信息标识符，用来识别第2阶段的协议状态。
• Length ― 全部信息（头＋有效载荷）长（八位）。