Sự khác biệt giữa IKE và ISAKMP là gì?


74

Tôi đã xây dựng VPN IPsec trong nhiều năm nhưng thành thật mà nói tôi chưa bao giờ nắm bắt được sự khác biệt kỹ thuật giữa IKE và ISAKMP. Tôi thường thấy hai thuật ngữ được sử dụng thay thế cho nhau (có thể không chính xác).

Tôi hiểu hai giai đoạn cơ bản của IPsec và ISAKMP dường như chủ yếu xử lý giai đoạn một. Chẳng hạn, lệnh IOS "show crypto isakmp sa" hiển thị thông tin giai đoạn một của IPsec. Nhưng không có lệnh tương đương cho IKE.

Câu trả lời:


56

ISAKMP là một phần của IKE. (IKE có ISAKMP, SKEME và OAKLEY). IKE thiết lập chính sách bảo mật được chia sẻ và các khóa xác thực. ISAKMP là giao thức chỉ định các cơ chế trao đổi khóa.

Sự nhầm lẫn, (đối với tôi,) là trong Cisco IOS ISAKMP / IKE được sử dụng để đề cập đến điều tương tự. Ý tôi là, sự hiểu biết của tôi là IKE của Cisco chỉ thực hiện / sử dụng ISAKMP. Vì vậy, một cấu hình IKE, và sau đó về mặt khái niệm, một cấu hình ISAKMP.


2
Xin chào craig, có một câu hỏi tương tự ở đây security.stackexchange.com/questions353872/iêu nếu bạn muốn tôi có thể xóa câu trả lời của tôi ở đó nếu bạn muốn thêm câu hỏi của bạn.
Lucas Kauffman

Không cần thiết. Nhưng cảm ơn vì lời đề nghị rất tử tế!
Craig Constantine

networklessons.com/cisco/ccie-routing-switching/ trộm Đây có lẽ là lời giải thích tốt nhất cho IPSec.
paraurar gaurav

0

Vui lòng kiểm tra xem điều này có giúp ích không, tôi biết rằng tôi đến trễ :)

Vâng, đây là từ bài viết Wikipedia, Hiệp hội bảo mật Internet và Giao thức quản lý khóa , nhưng tôi chưa thấy bất kỳ tài liệu tham khảo nào cho đến Wiki / RFC ở đây trong cuộc thảo luận.

ISAKMP xác định các quy trình xác thực giao tiếp ngang hàng, tạo và quản lý Hiệp hội bảo mật, kỹ thuật tạo khóa và giảm thiểu mối đe dọa (ví dụ: từ chối dịch vụ và phát lại các cuộc tấn công). Là một khung, ISAKMP thường được IKE sử dụng để trao đổi khóa, mặc dù các phương pháp khác đã được triển khai như Đàm phán về các khóa của Kerberized. Một SA sơ bộ được hình thành bằng giao thức này; sau đó một khóa mới được thực hiện.

ISAKMP xác định các quy trình và định dạng gói để thiết lập, đàm phán, sửa đổi và xóa các Hiệp hội bảo mật. Các SA chứa tất cả thông tin cần thiết để thực hiện các dịch vụ bảo mật mạng khác nhau, chẳng hạn như các dịch vụ lớp IP (như xác thực tiêu đề và đóng gói tải trọng), dịch vụ vận chuyển hoặc lớp ứng dụng hoặc tự bảo vệ lưu lượng đàm phán. ISAKMP xác định tải trọng để trao đổi dữ liệu xác thực và tạo khóa. Các định dạng này cung cấp một khung nhất quán để truyền dữ liệu khóa và xác thực độc lập với kỹ thuật tạo khóa, thuật toán mã hóa và cơ chế xác thực.

ISAKMP khác với các giao thức trao đổi khóa để tách biệt rõ ràng các chi tiết về quản lý hiệp hội bảo mật (và quản lý khóa) khỏi các chi tiết trao đổi khóa. Có thể có nhiều giao thức trao đổi khóa khác nhau, mỗi giao thức có các thuộc tính bảo mật khác nhau. Tuy nhiên, cần có một khung chung để đồng ý với định dạng của các thuộc tính SA và để đàm phán, sửa đổi và xóa SA. ISAKMP phục vụ như khuôn khổ chung này.

ISAKMP có thể được thực hiện trên bất kỳ giao thức vận chuyển. Tất cả các triển khai phải bao gồm khả năng gửi và nhận cho ISAKMP bằng UDP trên cổng 500.


Bạn nên chỉnh sửa để sử dụng tính năng trích dẫn và bạn nên ghi có nguồn.
Ron Maupin

Có vẻ như câu trả lời này được sao chép nguyên thủy từ một nguồn khác và bạn quên thuộc tính nguồn gốc. Tôi đã sửa lỗi này với khả năng tốt nhất của mình, nhưng vui lòng xác minh các thay đổi của tôi là chính xác và đảm bảo tự thực hiện việc này trong tương lai.
YLearn

Bạn nên ghi nguồn, và cung cấp một liên kết, nếu có thể. Tôi đã sửa bản chỉnh sửa của @ YLearn để thêm liên kết trở lại.
Ron Maupin

Các bạn, cho đến nay tôi chưa thấy bất kỳ tài liệu tham khảo nào về wiki hoặc bất kỳ lời giải thích chi tiết nào trong các cuộc thảo luận ở trên trong khi tôi đang xem bài viết để tìm sự khác biệt giữa IKE / ISAKMP. Do đó đã nghĩ đến việc đặt nó ở đây và điều này sẽ không mất bất kỳ khoản tín dụng nào :) :) :)
Feroze KM

Đó là hình thức kém để trích dẫn công việc của ai đó mà không cung cấp tín dụng. Học thuyết sử dụng hợp lý cho phép bạn trích dẫn công việc của ai đó, nhưng bạn cần cung cấp tín dụng khi tín dụng đáo hạn, nếu không, trong một số bối cảnh, nó được gọi là đạo văn. Chúng tôi chỉ cố gắng cải thiện câu trả lời của bạn (và công bằng với tác giả ban đầu).
Ron Maupin

0

Nói một cách thực tế - IKE, Trao đổi khóa Internet (IKE), đồng nghĩa với Giao thức quản lý khóa của Hiệp hội bảo mật Internet (ISAKMP).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.