Interne 安全連接和密鑰管理協議(ISAKMP)是 IPsec 體系結構中的一種主要協議。該協議結合認證、密鑰管理和安全連接等概念來建立政府、商家和因特網上的私有通信所需要的安全。
因特網安全聯盟和密鑰管理協議(ISAKMP)定義了程序和信息包格式來建立,協商,修改和刪除安全連接(SA)。SA 包括了各種網絡安全服務執行所需的所有信息,這些安全服務包括 IP 層服務(如頭認證和負載封裝)、傳輸或應用層服務,以及協商流量的自我保護服務等。ISAKMP 定義包括交換密鑰生成和認證數據的有效載荷。這些格式爲傳輸密鑰和認證數據提供了統一框架,而它們與密鑰產生技術,加密算法和認證機制相獨立。
ISAKMP 區別於密鑰交換協議是爲了把安全連接管理的細節從密鑰交換的細節中徹底的分離出來。不同的密鑰交換協議中的安全屬性也是不同的。然而,需要一個通用的框架用於支持 SA 屬性格式,談判,修改與刪除 SA,ISAKMP 即可作爲這種框架。
把功能分離爲三部分增加了一個完全的 ISAKMP 實施安全分析的複雜性。然而在有不同安全要求且需協同工作的系統之間這種分離是必需的,而且還應該對 ISAKMP 服務器更深層次發展的分析簡單化。
ISAKMP 支持在所有網絡層的安全協議(如 IPSEC、TLS、TLSP、OSPF 等等)的 SA 協商。ISAKMP 通過集中管理 SA 減少了在每個安全協議中重複功能的數量。ISAKMP 還能通過一次對整個棧協議的協商來減少建立連接的時間。
ISAKMP 中,解釋域(DOI)用來組合相關協議,通過使用 ISAKMP 協商安全連接。共享 DOI 的安全協議從公共的命名空間選擇安全協議和加密轉換方式,並共享密鑰交換協議標識。同時它們還共享一個特定 DOI 的有效載荷數據目錄解釋,包括安全連接和有效載荷認證。
總之, ISAKMP 關於 DOI 定義如下方面:
- 特定 DOI 協議標識的命名模式;
- 位置字段解釋;
- 可應用安全策略集;
- 特定 DOI SA 屬性語法;
- 特定 DOI 有效負載目錄語法;
- 必要情況下,附加密鑰交換類型;
- 必要情況下,附加通知信息類型。
協議結構
| 8 | 12 | 16 | 24 | 32 bit |
| Initiator Cookie | ||||
| Responder Cookie | ||||
| Next Payload | MjVer | MnVer | Exchange Type | Flags |
| Message ID | ||||
| Length | ||||
- Initiator Cookie ― Initiator Cookie:啓動 SA 建立、SA 通知或 SA 刪除的實體 Cookie。
- Responder Cookie ― Responder Cookie:響應 SA 建立、SA 通知或 SA 刪除的實體 Cookie。
- Next Payload ― 信息中的 Next Payload 字段類型。
- Major Version ― 使用的 ISAKMP 協議的主要版本。
- Minor Version ― 使用的 ISAKMP 協議的次要版本。
- Exchange Type ― 正在使用的交換類型。
- Flags ― 爲 ISAKMP 交換設置的各種選項。
- Message ID ― 唯一的信息標識符,用來識別第2階段的協議狀態。
- Length ― 全部信息(頭+有效載荷)長(八位)。