IPsec ISAKMP协议

IPsec ISAKMP：Internet 安全连接和密钥管理协议
（ISAKMP：Internet Security Association and Key Management Protocol）

　　Interne 安全连接和密钥管理协议（ISAKMP）是 IPsec 体系结构中的一种主要协议，它结合加密安全的概念，密钥管理和安全连接来建立政府，商家和因特网上的私有通信所需要的安全。

　　因特网安全联盟和密钥管理协议（ISAKMP）定义程序和信息包的格式来建立、协商、修改和删除安全连接（SA）。SA 包括所有如 IP 层服务、传输或应用层服务、流通传输的自我保护的各种各样的网络协议所需要的信息。ISAKMP 定义交换密钥生产的有效载荷和认证数据。这些格式为依靠于密钥产生技术，加密算法和认证机制的传输密钥和认证数据提供了一致的框架。

　　ISAKMP 与密钥交换协议的不同处是把安全连接管理的详细资料从密钥交换的详细资料中彻底的分离出来。不同的密钥交换协议中的安全道具也是不同的。但一个支持 SA 属性格式，和谈判、修改与删除 SA 的共同的框架是需要的。

　　把函数分离为三部分增加了一个完整的 ISAKMP 执行安全分析的复杂性，因此在具有不同安全要求的系统之间不赞成分离操作，而且还应该将更多 ISAKMP 服务的发展分析变得简单化。

　　ISAKMP 被用来支持在所有网络堆栈（如 IPSEC、TLS、TLSP、OSPF 等等）的层上的安全协议的 SA 的谈判。ISAKMP 通过集中安全连接的管理减少了在每个安全协议中复制函数的数量。ISAKMP 还能通过一次对整个服务堆栈的协议来减少建立连接的时间。

　　ISAKMP 中，解释域（DOI）用来组合相关协议，通过使用 ISAKMP 协商安全连接。共享 DOI 的安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共享一个特定 DOI 的有效载荷数据目录解释，包括安全连接和有效载荷认证。

　　总之，ISAKMP 关于设置 DOI 需要定义如下方面：

特定 DOI 协议标识的命名模式；
位置字段解释；
可应用安全方案设置；
特定 DOISA 属性语法；
特定 DOI 有效负载目录语法；
必要情况下，附加密钥交换类型；
必要情况下，附加通知信息类型。


协议结构

8 12 16 24 32 bit
Initiator Cookie
Responder Cookie
Next Payload MjVer MnVer Exchange Type Flags
Message ID
Length

Initiator Cookie �D Initiator Cookie：启动 SA 建立、SA 通知或 SA 删除的实体 Cookie。
Responder Cookie �D Responder Cookie：响应 SA 建立、SA 通知或 SA 删除的实体 Cookie。
Next Payload �D 信息中的 Next Payload 字段类型。
Major Version �D 使用的 ISAKMP 协议的主要版本。
Minor Version �D 使用的 ISAKMP 协议的次要版本。
Exchange Type �D 正在使用的交换类型。
Flags �D 为 ISAKMP 交换设置的各种选项。
Message ID �D 唯一的信息标识符，用来识别第2阶段的协议状态。
Length �D 全部信息（头＋有效载荷）长（八位）。


相关协议 IPsec、ESP、AH、DES、AES、IKE、DOI、HMAC、HMAC-MD5、HMAC-SHA、PKI、IP、IPv6、ICMP
组织来源 ISAKMP 由 IETF（www.ietf.org）定义在 RFC 2408中。
相关链接 http://www.javvin.com/protocol/rfc2408.pdf：Internet Security Association and Key Management Protocol （ISAKMP）