ISAKMP(Internet Security Association and Key Management Protocol): Internet安全关联和密钥管理协议。

  IKE是一个混合协议,由3个协议组成:

SKEME->决定了IKE的密钥交换方式

Oakley->决定了IPSec的框架设计

ISAKMP->IKE的本质协议,决定了包封装与交换,还有模式切换

 

IPSec ×××框架提供的服务:IPSec需要预先协商加密协议,散列函数,封装协议,封装模式和密钥有效期等内容。具体执行协商任务的协议时IKE(Internet Key Exchange)。

IKE主要完成3个任务:

1.对建立IPSec的双方进行认证(需要预先协商认证方式)

2.通过密钥交换,产生用于加密和HMAC的随机密钥

3.协商协议参数(加密协议、散列函数、封装协议、封装模式和密钥有效期)

协商完成后的结果就叫安全关联SA,也可以说IKE建立了安全关联。SA一共有两种类型,一种叫做IKE SA ,另一种叫做IPSec SA。IKE SA维护了安全防护(加密协议,散列函数,认证方式,密钥有效期等)IKE协议的细节。IPSec SA则维护了安全防护实际用户流量(通信节点之间的流量)的细节。