初识ISAKMP

在互联网环境中进行通信,由于双方都无法直接接触对方,而且互联网本身是一个开放的环境,因而信息的安全性难以得到保障。一般情况下,当我们讨论网络安全的时候,至少要考虑这几个问题:信息加密、身份认证和数据的完整性。对于某些特殊的场景,可能还需要考虑访问控制和信息的不可否认性等问题。

 

为了实现在互联网环境中进行安全通信,RFC2048定义了名为ISAKMP的安全框架。它结合了认证、密钥管理和安全关联的概念来在互联网上建立起安全的通信。

 

在这个框架中,安全关联是指两个网络实体间共享的一组安全属性,比如加密算法和模式等。ISAKMP它的主要作用就是协商和管理安全关联,以及密钥。为了实现这一功能,ISAKMP定义了一系列的消息和过程。

 

但是ISAKMP只是一个框架而已,它并不规定采用什么样的密钥交换算法,也不关注各个加密算法、认证算法和完整性算法的实现。这样做的好处在于,框架本身有很好的可扩展性。如果在将来的某一天,我们发现密钥交换算法存在漏洞或者某个加密算法不安全了,可以直接替换掉,而不破坏框架本身。当然,前提是框架本身必须具有很好的安全性。现在的ISAKMP框架已经可以很好的处理DOS、连接劫持和中间人攻击。

 

从宏观上来看,ISAKMP主要做了三件事情:

1.      SA协商

2.      密钥交换

3.      认证

 

SA协商的目的是为了在通信双方间协商出一组双方都认可的安全参数。比如两端采用相同的加密算法和完整性算法。

密钥交换的目的是为已经协商好的算法生成必要的密钥信息。

认证的目的是鉴别对方的身份,保证自己不是在跟一个伪造的对象通信。

 

这样,通过一系列的消息交互,通信的双方既鉴别了对方的身份,也保证了后继通信的安全性。

你可能感兴趣的:(ISAKMP,&,IPSec,算法,框架,加密,互联网,网络,dos)