IPsec ISAKMP(转)
2010-08-10 11:47:01
Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。
因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。SA 包括了各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服务(如头认证和负载封装)、传输或应用层服务,以及协商流量的自我保护服务等。ISAKMP 定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架,而它们与密钥产生技术,加密算法和认证机制相独立。
ISAKMP 区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而,需要一个通用的框架用于支持 SA 属性格式,谈判,修改与删除 SA,ISAKMP 即可作为这种框架。
把功能分离为三部分增加了一个完全的 ISAKMP 实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的,而且还应该对 ISAKMP 服务器更深层次发展的分析简单化。
ISAKMP 支持在所有网络层的安全协议(如 IPSEC、TLS、TLSP、OSPF 等等)的 SA 协商。ISAKMP 通过集中管理 SA 减少了在每个安全协议中重复功能的数量。ISAKMP 还能通过一次对整个栈协议的协商来减少建立连接的时间。
ISAKMP 中,解释域(DOI)用来组合相关协议,通过使用 ISAKMP 协商安全连接。共享 DOI 的安全协议从公共的命名空间选择安全协议和加密转换方式,并共享密钥交换协议标识。同时它们还共享一个特定 DOI 的有效载荷数据目录解释,包括安全连接和有效载荷认证。
总之, ISAKMP 关于 DOI 定义如下方面:
- 特定 DOI 协议标识的命名模式;
- 位置字段解释;
- 可应用安全策略集;
- 特定 DOI SA 属性语法;
- 特定 DOI 有效负载目录语法;
- 必要情况下,附加密钥交换类型;
- 必要情况下,附加通知信息类型。
协议结构
| 8 | 12 | 16 | 24 | 32 bit |
| Initiator Cookie | ||||
| Responder Cookie | ||||
| Next Payload | MjVer | MnVer | Exchange Type | Flags |
| Message ID | ||||
| Length | ||||
- Initiator Cookie ― Initiator Cookie:启动 SA 建立、SA 通知或 SA 删除的实体 Cookie。
- Responder Cookie ― Responder Cookie:响应 SA 建立、SA 通知或 SA 删除的实体 Cookie。
- Next Payload ― 信息中的 Next Payload 字段类型。
- Major Version ― 使用的 ISAKMP 协议的主要版本。
- Minor Version ― 使用的 ISAKMP 协议的次要版本。
- Exchange Type ― 正在使用的交换类型。
- Flags ― 为 ISAKMP 交换设置的各种选项。
- Message ID ― 唯一的信息标识符,用来识别第2阶段的协议状态。
- Length ― 全部信息(头+有效载荷)长(八位)。
转载于:https://www.cnblogs.com/the-tops/p/6900240.html
IPsec ISAKMP(转)相关推荐
- IPsec ISAKMP协议
ISAKMP:Internet Security Association and Key Management Protocol,Internet 安全关联和密钥管理协议 一种协议框架,定义了有效负载 ...
- IPsec ISAKMP
Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议.该协议结合认证.密钥管理和安全连接等概念来建立政府.商家和因特网上的私有通信所需要的安全. 因特网安全联 ...
- ENSP ipsec isakmp(自动)
一共六步 自动isakmp 1.ike安全提议 2.ike对等体 3.定义安全流量 4.定义ipsec 安全提议 5.ipsec 安全策略 6.端口应用 先搭建好拓扑图然后配置ip [AR6]inte ...
- ASA IPSEC ×××配置
一.IPSEC ××× (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商 策略 isakmp 策略 ...
- vrf中的ipsec
圈中的口为vrf口.R2为运营商.R1,R3,R4为公司内网出口路由器,同时部署DM VPN.R1为NHRP的server. 在R1,R3,R4上部署IPSEC VPN.需要注意两点. 1.全局流量怎 ...
- TIP/IP 端口号大全
1 tcpmux TCP 端口服务多路复用 5 rje 远程作业入口 7 echo Echo 服务 9 discard 用于连接测试的空服务 11 systat 用于列举连接了的端口的系统状态 13 ...
- Microsoft 服务器产品端口
Application Layer Gateway (ALG) Service(应用层网关 (ALG) 服务) 这个 Internet Connection Sharing (ICS)/Interne ...
- 网络嗅探软件全接触(1)
网络嗅探软件之间的不同之处,主要是依靠一些特性来区分的.例如一些网络嗅探软件只支持以太网适配器或无线适配器,而有些却支持多种类型的适配器,并且允许用户定制:还有,尽管许多网络嗅探软件可以解码相同的网络 ...
- windows-服务端口
windows各服务端口 n/a GRE GRE(IP 协议 47) 路由和远程访问 n/a ESP IPSec ESP(IP 协议 50) 路由和远程访问 n/a AH IPSec AH(IP 协议 ...
最新文章
- git 裁切_裁切参数设计(DOE试验)
- Shell随机重命名所有当前目录一级子目录
- c语言函数求方程ax2 bx c,关于求方程ax2+bx+c=0根的问题
- UVa 10820 (打表、欧拉函数) Send a Table
- 专业软件测试面试题汇总
- vb获取数组长度_如何实现数组的二分查找
- OCR引擎-Tesseract
- mie散射理论方程_散射,原子分子散射
- 淘宝店铺基础版全屏装修步骤及代码,已经经过测试
- Oracle10g安装教程、配置实例、监听、客户端程序详解_Windows篇
- 弯管机编程软件电脑版_编程一点通电脑版
- 计算机等级考试sumif,sumif函数的使用方法有哪些
- url请求和ajax请求作用于minui treegrid的区别
- thinkpad t480s黑苹果蓝牙使用
- 付费入群怎么做_微信群怎么设置付费才可以进入
- php无限循环分类,php实现无限分类功能
- [R语言]R包的安装帮助获取
- MATLAB画带延时系统的伯德图
- 华清远见嵌入式学习总结
- html链接到另一个网址,怎么设置超级链接跳到另一个网站