網路安全關聯與金鑰管理協定
 | 此條目翻譯品質不佳。 (2019年4月28日) |
網際網路安全關聯鑰匙管理協定(英語:Internet Security Association and Key Management Protocol,縮寫為 ISAKM或 ISAKMP),網際網路協定之一,用於在網際網路上建立安全關聯與加密金鑰。這個協定在 RFC 2408 中定義,它提供了一個架構來進行授權與金鑰交換,主要被設計來作為金鑰交換之用。網際網路金鑰交換與Kerberized Internet Negotiation of Key等協定,提供了授權金鑰的資料,可以在ISAKMP中使用。ISAKMP只提供了一個身分鑒權和鑰匙交換的框架,其被設計為不受約束的鑰匙交換。如IKE(網際網路鑰匙交換協定)和KINK(Kerberized 網際網路鑰匙協定)等協定都使用了ISAKMP所提供的授權鑰匙的方案。例如:網際網路鑰匙交換協定(IKE)使用了Oakley和SKEME協定的一部分,通過ISAKMP連接取得授權了的鑰匙資訊。其同樣對於其他的安全關聯,如AH和ESP。
概論
ISAKMP定義了一對通訊雙方的鑒權過程,安全聯合的建立和管理,鑰匙的生成技術以及對攻擊的緩解(如:阻斷服務攻擊和重放攻擊)。作為一個框架,ISAKMP最典型的應用就是IKE中的鑰匙交換,雖然也有其他的實現方案,比如Kerberized網際網路鑰匙協定。一個開始的鑒權使用這個協定,之後會產生一個新的鑰匙。 對於安全關聯的建立、協商、修改和刪除,ISAKMP定義了其過程和包的格式。安全關聯包含了執行多樣的網路安全服務所有需要的全部資訊,如網路層的服務(比如包頭的鑒權和負載的加密),傳輸和應用層的服務或者協商傳輸的自我保護。ISAKMP定義了交換鑰匙產生和授權資料的包內容。這些包格式為傳輸鑰匙和授權資料提供了一個恆定的框架,其不依賴於鑰匙的生成方式、加密演算法和授權演算法。 ISAKMP與鑰匙交換協定不同,其分離了安全關聯的管理(包括鑰匙管理)與鑰匙交換的細節。可能有很多不同的鑰匙交換協定,每一種都有不同的安全特性。但是,一個通用的框架是需要提出安全關聯屬性和協商、修改和刪除的格式。ISAKMP就是這樣一種通用的框架。
ISAKMP可以實施在任意的傳輸協定上。為了實現相容性,收發雙方實現預設UDP 500埠進行通訊。
實現
OpenBSD 於1998年在他的 isakmpd 軟體中首先實現了ISAKMP。 在微軟Windows作業系統的IPsec服務組服務中包含這個功能。 KAME專案實現了ISAKMP的Linux和其他BSD的開源版本。 如今的思科路由器已經使用ISAKMP作為VPN的協商。
缺陷
美國國家安全局於明鏡周刊透露,ISAKMP正在以一種未知的方式被利用,去解碼IPSec傳輸,如網際網路金鑰交換協定(IKE)中。發現Logjam攻擊的研究者表示,一旦破解了1024位元的Diffie-Hellman組,那麼66%的VPN伺服器,18%的百萬個HTTPS網站和26%的SSH伺服器將可能被破解。並且研究者一直在申明,這種破解現象還將繼續。