RFC-6071(中文)-IP安全(IPsec)和互联网密钥交换(IKE)文件路线图(废止了RFC2

本文翻译者：weicq2000RFC6071IP安全(IPsec)和互联网密钥交换(IKE)文件路线图(2011年2月)RFC6071废止了RFC2411。摘要过去几年，定义和使用IP安全(IPsec)和互联网密钥交换(InternetKeyExchange,IKE)的RFCs数量急剧增长。造成这种复杂情况的主要原因是这些RFCs源于许多IETF工作组：最初的IPsec工作组，它的各种衍生组织，以及其他使用IPsec和/或IKE来保护它们的协议流量的工作组。本文件归纳与IPsec和IKE有关的RFCs。包括对每个RFC的简短描述，伴随背景信息介绍IPsec成长和扩展的动机及其来龙去脉。本文件废止了RFC2411，先前的“IP安全文件路线图”。[RFC-2411]简单描述各种等级基本IPsec文件的相互关系。[RFC-2411]的要点是说明文件的建议内容，这些文件规定附加加密和认证算法。本备忘录状态本文件不是互联网标准跟踪(InternetStandardsTrack)规范；出版它是出于提供信息目的。本文件是互联网工程任务组(InternetEngineeringTaskForce,IETF)的作品。它代表IETF社会的共识。它收到了公众评价并已获得互联网工程指导组(InternetEngineeringSteeringGroup,IESG)认可和获准出版。由IESG批准的文件不一定都是某个层次互联网标准的候选方案；参阅RFC5741第2章。有关本文件目前状态信息，任何错误，以及如何得到有关它的反馈可以浏览：。版权声明Copyright(c)2011IETFTrustandthepersonsidentifiedasthedocumentauthors.Allrightsreserved.ThisdocumentissubjecttoBCP78andtheIETFTrust’sLegalProvisionsRelatingtoIETFDocuments()ineffectonthedateofpublicationofthisdocument.Pleasereviewthesedocumentscarefully,astheydescribeyourrightsandrestrictionswithrespecttothisdocument.CodeComponentsextractedfromthisdocumentmustincludeSimplifiedBSDLicensetextasdescribedinSection4.eoftheTrustLegalProvisionsandareprovidedwithoutwarrantyasdescribedintheSimplifiedBSDLicense.ThisdocumentmaycontainmaterialfromIETFDocumentsorIETFContributionspublishedormadepubliclyavailablebeforeNovember10,2008.Theperson(s)controllingthecopyrightinsomeofthismaterialmaynothavegrantedtheIETFTrusttherighttoallowmodificationsofsuchmaterialoutsidetheIETFStandardsProcess.Withoutobtaininganadequatelicensefromtheperson(s)controllingthecopyrightinsuchmaterials,thisdocumentmaynotbemodifiedoutsidetheIETFStandardsProcess,andderivativeworksofitmaynotbecreatedoutsidetheIETFStandardsProcess,excepttoformatitforpublicationasanRFCortotranslateitintolanguagesotherthanEnglish.目录第1章序言第2章IPsec/IEK背景信息2-1IPsec/IKE文件相互关系2-2IPsec版本2-2-1“旧”IPsec(IPsec-v2)和“新”IPsec(IPsec-v3)的不同2-3IKE版本2-3-1IKEv1和IKEv2的不同2-4IPsec和IKE的IANA注册第3章IPsec文件3-1基本文件3-1-1“旧”IPsec(IPsec-v2)3-1-2“新”IPsec(IPsec-v3)3-2对IPsec的补充3-3一般考虑第4章IKE文件4-1基本文件4-1-1IKEv14-1-2IKEv24-2补充和扩展4-2-1对端认证方法4-2-2证书内容和管理(PKI4IPsec)4-2-3失效的对端检查4-2-4远程访问第5章密码算法和套件5-1算法要求5-2加密算法5-3完整性保护(认证)算法5-4组合模式算法5-5伪随机函数(PRFs)5-6密码套件5-7迪菲赫尔曼算法第6章多播的IPsec/IKE第7章IPsec/IKE派生物7-1IPsec策略7-2IPsecMIBs7-3IP压缩(IPComp)7-4有比没有好安全(BTNS)策略7-5密钥的Kerberized互联网协商(KINK)7-6IPsec安全远程访问(IPSRA)7-7IPsec密钥信息资源记录(IPSECKEY)第8章使用IPsec/IKE的其他协议8-1移动IP(MIPv4和MIPv6)8-2开放最短路径优先(OSPF)8-3主机标识协议(HIP)8-4流控制传输协议(SCTP)8-5茁壮首部压缩(ROHC)8-6边界网关协议(BGP)8-7IPsec基准(测试)8-8网络地址转换器(NAT)8-9会话发起协议(SIP)8-10显示分组灵敏度标签第9章其他采纳非IPsec功能IKE的协议9-1可扩展认证协议(EAP)9-2光纤通道9-3无线安全第10章致谢第11章安全考虑第12章参考文献12-1信息性参考文献附录A算法要求等级归纳第1章序言互联网协议安全(InternetProtocolSecurity,IPsec)是一组协议，它在IP层对互联网通信提供安全保证。IPsec最普通的应用是提供虚拟专用网(VirtualPrivateNetwork,VPN)，或者是两个位置(网关对网关)之间，或者是远端用户和企业网(主机对网关)之间；它也能够提供端到端，或主机到主机的安全。IPsec也用于其他互联网协议(例如，MIPv6)，保护它们的某些或全部流量。互联网密钥交换(InternetKeyExchange,IKE)是密钥协商和管理协议，它最常用于为IPsec提供动态协商和更新密钥材料。IPsec和IKE均能和IPv4或IPv6一起应用。除了IPsec和IKE基本文件外，存在大量RFCs，它们参考、扩展并在某些情况下改动核心标准。本文件废止了RFC-2411。本文件打算列举和简单描述那些RFCs，提供它们的来龙去脉，指出它们的基本原理。每个RFCs的题目后跟随着一个字母，该字母指出该RFC在RFC系列中所属类别[RFC-2026]，例如：S：标准跟踪(StandardsTrack)(建议标准，草案标准，或标准)E：试验的(Experimental)B：目前实践最优的(BestCurrentPractice)I：提供信息的(Informational)每个RFC的发布日期也同时标出。本文件也对由IKEv1、IKEv2、IPsec-v2和IPsec-v3使用的每个密码算法的要求等级做了分类。具体归纳参见附录A。这些等级反映截止2011年2月情况；后续RFCs可能变更要求等级。本文件没有定义要求等级；只是简单重复在目前IKERFCs和IPsecRFCs中的内容。如果本文件和任何其他RFC之间出现冲突，那么其他RFC优先。本文件中，关键词“MUST”、“MUSTNOT”、“REQUIRED”、“SHALL”、“SHALLNOT”、“SHOULD”、“SHOULDNOT”、“RECOMMENDED”、“MAY”和“OPTIONAL”的含义，遵循[RFC-2119]中的描述。第2章IPsec/IKE背景信息2-1IPsec/IKE文件相互关系描述IPsec协议集合的主要文件分为几类，如图1所示。主要架构文件大致描述IPsec技术的一般概念、安全要求、定义和定义IPsec技术的机制。封装安全净荷(EncapsulatingSecurityPayload,ESP)协议文件和认证首部(AuthenticationHeader,AH)协议文件涉及分组格式和与相应协议有关的一般问题。“加密算法(EncryptionAlgorithm)”文件集合，如图1左侧所示，是描述各种加密算法如何用于ESP的文件的集合。“组合算法(CombinedAlgorithm)”文件集合，如图1中部所示，是描述各种组合模式算法如何用于为ESP提供加密和完整性保护的文件集合。“完整性保护算法(Integ-ProtectionAlgorithm)”文件集合，如图1右侧所示，是描述各种用于ESP和AH的完整性保护算法的文件集合。“IKE”文件，如图1底部所示，是描述IETFStandards-Track密钥管理方案的文件EncryptionAlgorithmCombinedAlgorithmInteg-ProtectionAlgorithmESPProtocolAHProtocolArchitectureIKEProtocol图1IPsec/IKE文件相互关系2-2IPsec版本目前实际应用的有两个IPsec版本。“新”IPsec(本文件称其为IPsec-v3；参阅第3-1-1节有关RFC描述)废止了“旧”IPsec(本文件称其为IPsec-v2；参阅第3-1-2节有关RFC描述)；然而，IPsec-2目前仍然在使用。在本文件中，使用没有限制的术语IPsec时，意思是指两种版本的IPsec。IPsec早期版本(在RFCs1825-1829中定义)，已经由IPsec-v2废止，本文件没有涉及。2-2-1“旧”IPsec(IPsec-v2)和“新”IPsec(IPsec-v3)的不同IPsec-v3吸取“学习到的教训”，这些教训来自实现，和来自IPsec-v2以及IPsec-v2的前身(IPsec-v1)的运行经验。获得宝贵的应用知识，包括：部署IPsce的障碍，IPsec工作最有效的场景，需要对IPsec增加哪些要求以便它能与其他协议一起使用。此外，IPsec-v3文本澄清并扩展在IPsec-v2中未说明或模糊的细节。架构文件[RFC-4301]的改变包括：对IPsec处理做更详细描述，包括：单播和多播，各种IPsec数据库间的互动。在IPsec-v2中，安全联盟(SecurityAssociation,SA)由安全参数前缀(SecurityParametersIndex,SPI)、协议(ESP或AH)和目的地地址的组合唯一标识。在IPsec-v3中，单播SA由SPI唯一标识，或者作为可选项由协议标识；多播SA由SPI和目的地地址的组合标识，或者作为可选项由SPI、目的地地址和源地址的组合标识。更加灵活的安全策略数据库(SecurityPolicyDatabase,SPD)选择器，包括将取值范围和ICMP消息类型作为选择器。去相关(order-independent，次序独立)的安全联盟数据库(SecurityAssociationDatabase,SAD)取代先前的有序(ordered)SAD。添加扩展序列号(ESNs)。在独立应用文件中定义强制算法。在IPsce-v2中AH[RF