ISAKMP协议

 ISAKMP（Internet Security Association and Key Management Protocol）： Internet安全关

联和密钥管理协议。
    一种协议框架，定义了有效负载的格式、实现密钥交换协议的机制以及SA协商。
    ISAKMP是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来

建立政府、商家和因特网上的私有通信所需要的安全。
    ISAKMP定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。SA包括了各种网络

安全服务执行所需的所有信息，这些安全服务包括 IP 层服务（如头认证和负载封装）、传输或应用

层服务，以及协商流量的自我保护服务等。 ISAKMP 定义包括交换密钥生成和认证数据的有效载荷。

这些格式为传输密钥和认证数据提供了统一框架，而它们与密钥产生技术，加密算法和认证机制相独

立。
    ISAKMP 区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来

。不同的密钥交换协议中的安全属性也是不同的。然而，需要一个通用的框架用于支持 SA 属性格式

，协商，修改与删除SA，ISAKMP 即可作为这种框架。把功能分离为三部分增加了一个完全的 ISAKMP

实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的，而且还

应该对 ISAKMP 服务器更深层次发展的分析简单化。
    ISAKMP 支持在所有网络层的安全协议 （如： IPSEC、TLS、TLSP、OSPF 等等）的 SA 协商。

ISAKMP 通过集中管理SA减少了在每个安全协议中重复功能的数量。 ISAKMP 还能通过一次对整个栈

协议的协商来减少建立连接的时间。
    ISAKMP 中，解释域（DOI）用来组合相关协议，通过使用 ISAKMP 协商安全连接。共享 DOI 的

安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共

享一个特定 DOI 的有效载荷数据目录解释，包括安全连接和有效载荷认证。总之， ISAKMP 关于

DOI 定义如下方面： 
    特定 DOI 协议标识的命名模式； 
    位置字段解释； 
    可应用安全策略集； 
    特定 DOI SA 属性语法； 
    特定 DOI 有效负载目录语法； 
    必要情况下，附加密钥交换类型； 
    必要情况下，附加通知信息类型。