Ipsec的密钥管理包括密钥的确定和分发。两个应用程序需要4个密钥:发送和接收对的AH和ESP。Ipsec体系结构文档要求支持两种密钥管理类型。
手动:系统管理员手工地为每个系统配置自己的密钥和其他通信系统密钥,应用于小规模、相对静止的环境。
自动:自动系统可以在大型分布系统中使用可变配置为SA动态按需创建密钥。
默认的Ipsec自动密钥管理协议指的是ISAKMP/Oakley,由以下元素组成:
Oakley密钥确定协议:Oakley提供增值安全性,是基于Diffie- Hellman算法的密钥交换协议。Oakley是通用的,没有任何特别格式。
Internet安全关联和密钥管理协议ISAKMP:ISAKMP提供Internet密钥管理框架和特定协议支持,包括格式和安全属性协商。
ISAKMP自身不包含特定的交换密钥算法而是由一系列使用各种交换密钥算法的报文类型集合组成。Oakley是 ISAKMP的第一个版本规定使用的交换密钥算法。
尽管在基本功能上两者是相似的,但在IKEv2中就不再使用Oakley和ISAKMP了,因为这个在IKEv1中使用的Oakley和ISAKMP有显著差别。