因特网交换密钥

【因特网交换密钥】1.摘要
因特网安全关联和关密钥的治理协议(ISAKMP)为因特网安全关联治理和密钥建立定义一个框架 。这个框架由定义了的交换 , 有效负载 , 和在给定解释域(DOI)以内发生的处理指南组成 。这个文件定义因特网IP安全DOI(IPSECDOI),它用具体例子说明IP适合同ISAKMP一起使用,当IP使用ISAKMP商定安全关联 。
关于IPSECDOI的先前版本的变化的列表 , 请见7节 。
2.介绍
在ISAKMP以内 , 解释的域被用来通过使用ISAKMP组织有联系的协议来商议安全关联 。共享一个DOI的安全协议选择安全协议和从一个普通的 , 名字空间转变的密码并且共享关密钥的交换协议标识符 。他们也共享DOI特定的有效负载数据内容的普通解释,包括安全关联和鉴定有效负载 。
总的来说,ISAKMP把下列要求放在一个DOI定义上:
o为DOI特定的协议标识符定义命名方案
o为状况域定义解释
o定义适用的安全策略集合
o为DOI特定的SA属性的定义句法(阶段II)
o为DOI特定的有效负载内容定义句法
o定义附加的密钥交换类型,假如需要
o定义附加的通知消息类型,假如需要
这个文件的剩余部分为使用IP安全(IPSEC)协议提供认证,完整性 , 或为IP包的机密在合作主机系统或防火墙之间送的请求,进行了具体实例化 。
对于全面的IPSEC体系结构描述 , 见[ARCH],[AH],和[ESP] 。
3.术语和定义
要害词必须,不能,要求,将,将不,应该,应该不,推荐,可能和可选,当他们再文档中出现时,被解释成如[RFC2119]所描述的 。
4.IPSEC
4.1IPSEC命名方案
在ISAKMP以内 , 所有的Doi的必须在“分配的数字”RFC[STD-2]内同IANA一起被登记 。IANA为因特网IP安全DOI(IPSECDOI)分配的数字是一个(1) 。在IPSECDOI以内 , 所有闻名的标识符必须在IPSECDOI下面与IANA一起被登记 。除非另外注明,在这个文件以内的所有表参考为IPSECDOI而被分配数字的IANA 。对于IPSECDOI联系到IANA注册表的进一步的信息,见节6 。
所有的多字节二进制代码值在网络字节顺序被存储 。
4.2IPSEC状况定义
在ISAKMP以内 , 状况提供能被响应者用来作出一条关于怎么处理到来的安全关联信息请求策略的决定 。对于IPSECDOI , 状况域是一个有下列值的4字节位掩码 。
状况 值
--------------
SIT_IDENTITY_ONLY 0x01
SIT_SECRECY 0x02
SIT_INTEGRITY 0x04
4.2.1SIT_IDENTITY_ONLY
SIT_IDENTITY_ONLY类型指定,安全关联将被在联系的鉴定有效负载中提供的源身份信息所标记 。对于各种各样的鉴定的完全描述见节4.6.2 。所有的IPSECDOI实现必须支持SIT_IDENTITY_ONLY,由在至少一次阶段IOakley交换中包含鉴定有效负载([IKE],节5),并且必须放弃任何不包括鉴定的安装有效负载关联 。
假如一个开始者既不支持SIT_SECRECY也不支持SIT_INTEGRITY , 状况仅仅由4字节状况位图组成并且不包括标记的域标识符域(图1,节4.6.1)或任何随后的标签信息 。相反的,假如开始者支持SIT_SECRECY或SIT_INTEGRITY , 标记的域标识符必须在状况有效负载时被包括 。
4.2.2SIT_SECRECY
SIT_SECRECY类型指定安全关联在要求标记秘密的环境中正被商议 。假如SIT_SECRECY在状况位图中出现 , 状况域将被变量长度数据跟随,他们包括敏感级别和分隔空间位掩码 。关于安全关联有效负载格式的完全的描述,见节4.6.1 。
假如一个开始者不支持SIT_SECRECY , SIT_SECRECY状况位图不能被设置并且秘密级别或范畴位图将被包括 。
假如一个应答者不支持SIT_SECRECY , 环境不支持的标志信息有效负载应该被返回并且安全关联安装必须被放弃 。
4.2.3SIT_INTEGRITY

推荐阅读