Answers:
ISAKMP是IKE的一部分。(IKE有ISAKMP,SKEME和OAKLEY)。IKE建立共享安全策略和认证密钥。ISAKMP是用于指定密钥交换机制的协议。
困惑(对我而言)是在Cisco IOS中,ISAKMP / IKE用来指代同一件事。我的意思是,我的理解是思科的IKE仅实现/使用ISAKMP。因此,一个配置IKE,然后在概念上在其中配置ISAKMP。
请检查是否有帮助,我知道我迟到了:)
是的,这是来自Wikipedia的文章,Internet安全协会和密钥管理协议,但是到目前为止,我在讨论中没有看到对Wiki / RFC的任何引用。
ISAKMP定义了用于验证通信对等方,创建和管理安全关联,密钥生成技术和缓解威胁(例如,拒绝服务和重放攻击)的过程。作为框架,IKE已通常使用ISAKMP进行密钥交换,尽管已经实现了其他方法,如Kerberized Internet Negotiation of Keys。使用此协议形成了初步SA。稍后完成新的键控。
ISAKMP定义了用于建立,协商,修改和删除安全关联的过程和数据包格式。SA包含执行各种网络安全服务所需的所有信息,例如IP层服务(例如标头身份验证和有效载荷封装),传输或应用程序层服务或协商流量的自我保护。ISAKMP定义了用于交换密钥生成和身份验证数据的有效负载。这些格式为密钥和认证数据的传输提供了一个一致的框架,该框架与密钥生成技术,加密算法和认证机制无关。
ISAKMP与密钥交换协议不同,是为了将安全关联管理(和密钥管理)的细节与密钥交换的细节清晰地分开。可能有许多不同的密钥交换协议,每种协议具有不同的安全性。但是,需要一个通用框架来同意SA属性的格式以及协商,修改和删除SA。ISAKMP充当此通用框架。
ISAKMP可以通过任何传输协议来实现。所有实现都必须包括使用端口500上的UDP的ISAKMP的发送和接收功能。