Internet Security Association and Key Management Protocol

Internet Security Association and Key Management Protocol(ISAKMP)은 인터넷 환경에서 보안 어소시에이션(SA) 및 암호 키를 확립하기 위해 RFC 2408에서 정의된 프로토콜입니다.ISAKMP는 인증과 키 교환을 위한 프레임워크만 제공하며 키 교환에 의존하지 않도록 설계되어 있습니다.IKE(Internet Key Exchange)나 Kerberized Internet Negotiation of Keys(KINK) 등의 프로토콜은 ISAKMP에서 사용하기 위한 인증된 키잉 재료를 제공합니다.예를 들어 IKE는 Oakley와 SKE의 일부를 사용하는 프로토콜을 나타냅니다.ISAKMP와 연계하여 ISAKMP 및 IETF IPsec DOI의 ^[1]AH 및 ESP 등의 기타 보안 어소시에이션용으로 인증된 키잉 자료를 입수합니다.

개요

ISAKMP defi409_sec1"/> ISAKMP는 일반적으로 키 교환에 IKE를 사용합니다.단, Kerberized Internet Negotiation of Keys 등의 다른 방식이 구현되어 있습니다.예비 SA는 이 프로토콜을 사용하여 형성되며 나중에 신규 키 입력이 수행됩니다.

ISAKMP는 보안 어소시에이션 관리(및 키 관리)의 상세와 키 교환의 상세 내용을 명확하게 분리하기 위해 키 교환 프로토콜과는 다릅니다.각각 다른 보안 속성을 가진 다양한 키 교환 프로토콜이 있을 수 있습니다.단, SA 속성의 형식에 동의하고 SA의 네고시에이션, 변경 및 삭제를 위해서는 공통 프레임워크가 필요합니다.ISAKMP는 이 공통 프레임워크로서 기능합니다.

ISAKMP는 모든 전송 프로토콜에 구현할 수 있습니다.모든 실장에는 포트 500 상에서 UDP를 사용한ISAKMP 의 송수신 기능이 포함되어 있을 필요가 있습니다.

실행

OpenBSD는 1998년 ISAKMP를 자사의 isakmpd(8) 소프트웨어를 통해 처음 구현했습니다.

Microsoft Windows 의 IPsec 서비스 서비스는, 이 기능을 처리합니다.

KAME 프로젝트는 Linux 및 기타 대부분의 오픈소스 BSD용 ISAKMP를 구현합니다.

최신 시스코 라우터에서는 VPN 네고시에이션용 ISAKMP가 실장되어 있습니다.

취약성

Der Spiegel에 의해 공개된 누전 NSA 프레젠테이션은 ^[2]IKE와 마찬가지로 ISAKMP가 IPSec 트래픽 복호화에 불분명한 방법으로 악용되고 있음을 나타냅니다.Logjam 공격을 발견한 연구진은 1024비트 Diffie를 깨는다고 말합니다.Hellman 그룹은 VPN 서버의 66%, 상위 100만 HTTPS 도메인의 18%, SSH 서버의 26%를 파괴할 것으로 ^[3]연구진은 보고 있으며 이는 유출과 일치한다고 보고 있습니다.

「 」를 참조해 주세요.

• 오클리 프로토콜
• IPsec
• IKE
• GDOI

레퍼런스

외부 링크

• RFC 2408 - 인터넷 보안 어소시에이션 및 키 관리 프로토콜
• RFC 2407 - ISAKMP의 인터넷 IP 보안 도메인 해석