網路安全關聯與金鑰管理協定

網際網路安全關聯鑰匙管理協定(英語:Internet Security Association and Key Management Protocol,縮寫為 ISAKM或 ISAKMP),網際網路協定之一,用於在網際網路上建立安全關聯與加密金鑰。這個協定在 RFC 2408 中定義,它提供了一個架構來進行授權與金鑰交換,主要被設計來作為金鑰交換之用。網際網路金鑰交換與Kerberized Internet Negotiation of Key等協定,提供了授權金鑰的資料,可以在ISAKMP中使用。ISAKMP只提供了一個身份鑒權和鑰匙交換的框架,其被設計為不受約束的鑰匙交換。如IKE(因特網鑰匙交換協議)和KINK(Kerberized 因特網鑰匙協議)等協議都使用了ISAKMP所提供的授權鑰匙的方案。例如:因特網鑰匙交換協議(IKE)使用了Oakley和SKEME協議的一部分,通過ISAKMP連接獲取授權了的鑰匙信息。其同樣對於其他的安全關聯,如AH和ESP。

概論

ISAKMP定義了一對通訊雙方的鑒權過程,安全聯合的創建和管理,鑰匙的生成技術以及對攻擊的緩解(如:拒絕服務攻擊和重放攻擊)。作為一個框架,ISAKMP最典型的應用就是IKE中的鑰匙交換,雖然也有其他的實現方案,比如Kerberized因特網鑰匙協議。一個開始的鑒權使用這個協議,之後會產生一個新的鑰匙。 對於安全關聯的建立、協商、修改和刪除,ISAKMP定義了其過程和包的格式。安全關聯包含了執行多樣的網絡安全服務所有需要的全部信息,如網絡層的服務(比如包頭的鑒權和負載的加密),傳輸和應用層的服務或者協商傳輸的自我保護。ISAKMP定義了交換鑰匙產生和授權數據的包內容。這些包格式為傳輸鑰匙和授權數據提供了一個恆定的框架,其不依賴於鑰匙的生成方式、加密算法和授權算法。 ISAKMP與鑰匙交換協議不同,其分離了安全關聯的管理(包括鑰匙管理)與鑰匙交換的細節。可能有很多不同的鑰匙交換協議,每一種都有不同的安全特性。但是,一個通用的框架是需要提出安全關聯屬性和協商、修改和刪除的格式。ISAKMP就是這樣一種通用的框架。

ISAKMP可以實施在任意的傳輸協議上。為了實現兼容性,收發雙方實現默認UDP 500端口進行通信。

實現

OpenBSD 於1998年在他的 isakmpd 軟件中首先實現了ISAKMP。 在微軟Windows操作系統的IPsec服務組服務中包含這個功能。 KAME項目實現了ISAKMP的Linux和其他BSD的開源版本。 如今的思科路由器已經使用ISAKMP作為VPN的協商。

缺陷

美國國家安全局明鏡周刊透露,ISAKMP正在以一種未知的方式被利用,去解碼IPSec傳輸,如互聯網密鑰交換協定(IKE)中。發現Logjam攻擊的研究者表示,一旦破解了1024比特的Diffie-Hellman組,那麼66%的VPN伺服器,18%的百萬個HTTPS網站和26%的SSH服務器將可能被破解。並且研究者一直在申明,這種破解現象還將繼續。

外部連結

  • RFC 2408Internet Security Association and Key Management Protocol
  • RFC 2407The Internet IP Security Domain of Interpretation for ISAKMP