一種協定框架,定義了有效負載的格式、實現密鑰交換協定的機制以及SA協商。
ISAKMP是 IPsec 體系結構中的一種主要協定。該協定結合認證、密鑰管理和安全連線等概念來建立政府、商家和網際網路上的私有通信所需要的安全。
ISAKMP定義了程式和信息包格式來建立,協商,修改和刪除安全連線(SA)。SA包括了各種網路安全服務執行所需的所有信息,這些安全服務包括 IP 層服務(如頭認證和負載封裝)、傳輸或套用層服務,以及協商流量的自我保護服務等。 ISAKMP 定義包括交換密鑰生成和認證數據的有效載荷。這些格式為傳輸密鑰和認證數據提供了統一框架,而它們與密鑰產生技術,加密算法和認證機制相獨立。
ISAKMP 區別於密鑰交換協定是為了把安全連線管理的細節從密鑰交換的細節中徹底的分離出來。不同的密鑰交換協定中的安全屬性也是不同的。然而,需要一個通用的框架用於支持 SA 屬性格式,協商,修改與刪除SA,ISAKMP 即可作為這種框架。把功能分離為三部分增加了一個完全的 ISAKMP 實施安全分析的複雜性。然而在有不同安全要求且需協同工作的系統之間這種分離是必需的,而且還應該對 ISAKMP 伺服器更深層次發展的分析簡單化。
ISAKMP 支持在所有網路層的安全協定 (如: IPSEC、TLS、TLSP、OSPF 等等)的 SA 協商。 ISAKMP 通過集中管理SA減少了在每個安全協定中重複功能的數量。 ISAKMP 還能通過一次對整個棧協定的協商來減少建立連線的時間。
ISAKMP 中,解釋域(doi)用來組合相關協定,通過使用 ISAKMP 協商安全連線。共享 DOI 的安全協定從公共的命名空間選擇安全協定和加密轉換方式,並共享密鑰交換協定標識。同時它們還共享一個特定 DOI 的有效載荷數據目錄解釋,包括安全連線和有效載荷認證。總之, ISAKMP 關於 DOI 定義如下方面:
特定 DOI 協定標識的命名模式;
位置欄位解釋;
可套用安全策略集;
特定 DOI SA 屬性語法;
特定 DOI 有效負載目錄語法;
必要情況下,附加密鑰交換類型;
必要情況下,附加通知信息類型。