網絡安全關聯與金鑰管理協定

互聯網安全關聯鑰匙管理協定(英語:Internet Security Association and Key Management Protocol,縮寫為 ISAKM或 ISAKMP),互聯網協定之一,用於在互聯網上建立安全關聯與加密金鑰。這個協定在 RFC 2408 中定義,它提供了一個架構來進行授權與金鑰交換,主要被設計來作為金鑰交換之用。互聯網金鑰交換與Kerberized Internet Negotiation of Key等協定,提供了授權金鑰的資料,可以在ISAKMP中使用。ISAKMP只提供了一個身份鑒權和鑰匙交換的框架,其被設計為不受約束的鑰匙交換。如IKE(互聯網鑰匙交換協定)和KINK(Kerberized 互聯網鑰匙協定)等協定都使用了ISAKMP所提供的授權鑰匙的方案。例如:互聯網鑰匙交換協定(IKE)使用了Oakley和SKEME協定的一部分,通過ISAKMP連接取得授權了的鑰匙資訊。其同樣對於其他的安全關聯,如AH和ESP。

概論

ISAKMP定義了一對通訊雙方的鑒權過程,安全聯合的建立和管理,鑰匙的生成技術以及對攻擊的緩解(如:阻斷服務攻擊和重放攻擊)。作為一個框架,ISAKMP最典型的應用就是IKE中的鑰匙交換,雖然也有其他的實現方案,比如Kerberized互聯網鑰匙協定。一個開始的鑒權使用這個協定,之後會產生一個新的鑰匙。 對於安全關聯的建立、協商、修改和刪除,ISAKMP定義了其過程和包的格式。安全關聯包含了執行多樣的網絡安全服務所有需要的全部資訊,如網絡層的服務(比如包頭的鑒權和負載的加密),傳輸和應用層的服務或者協商傳輸的自我保護。ISAKMP定義了交換鑰匙產生和授權數據的包內容。這些包格式為傳輸鑰匙和授權數據提供了一個恆定的框架,其不依賴於鑰匙的生成方式、加密演算法和授權演算法。 ISAKMP與鑰匙交換協定不同,其分離了安全關聯的管理(包括鑰匙管理)與鑰匙交換的細節。可能有很多不同的鑰匙交換協定,每一種都有不同的安全特性。但是,一個通用的框架是需要提出安全關聯屬性和協商、修改和刪除的格式。ISAKMP就是這樣一種通用的框架。

ISAKMP可以實施在任意的傳輸協定上。為了實現相容性,收發雙方實現預設UDP 500埠進行通訊。

實現

OpenBSD 於1998年在他的 isakmpd 軟件中首先實現了ISAKMP。 在微軟Windows作業系統的IPsec服務組服務中包含這個功能。 KAME專案實現了ISAKMP的Linux和其他BSD的開源版本。 如今的思科路由器已經使用ISAKMP作為VPN的協商。

缺陷

美國國家安全域明鏡周刊透露,ISAKMP正在以一種未知的方式被利用,去解碼IPSec傳輸,如互聯網金鑰交換協定(IKE)中。發現Logjam攻擊的研究者表示,一旦破解了1024位元的Diffie-Hellman組,那麼66%的VPN伺服器,18%的百萬個HTTPS網站和26%的SSH伺服器將可能被破解。並且研究者一直在申明,這種破解現象還將繼續。

外部連結

  • RFC 2408Internet Security Association and Key Management Protocol
  • RFC 2407The Internet IP Security Domain of Interpretation for ISAKMP