因特网交换密钥( 三 )


下列表为IPSECDOI而在ISAKMP建议有效负载中引用的安全协议标识符列出值的 。
协议ID 值
----------- -----
保留 0
PROTO_ISAKMP 1
PROTO_IPSEC_AH 2
PROTO_IPSEC_ESP 3
PROTO_IPCOMP 4
4.4.1.1PROTO_ISAKMP
PROTO_ISAKMP类型指定在阶段I的ISAKMP协议期间要求的消息保护 。在IPSECDOI中被使用的特定的保护机制在[IKE]中被描述 。在IPSECDOI以内的所有的实现必须支持PROTO_ISAKMP 。
NB:ISAKMP保留该值一(1),越过所有的DOI定义 。
4.4.1.2PROTO_IPSEC_AH
PROTO_IPSEC_AH类型指定IP包认证 。缺省AH转变提供数据起源认证,完整保护,和重放探测 。对于出口控制考虑 , 机密不能被任何PROTO_IPSEC_AH转变所提供 。
4.4.1.3PROTO_IPSEC_ESP
PROTO_IPSEC_ESP类型指定IP包机密 。假如要求认证 , 必须作为ESP的部分被提供转变 。缺省ESP转变包括数据起源认证,完整保护,重放探测,和机密性 。
4.4.1.4PROTO_IPCOMP
如在[IPCOMP]里面定义的,PROTO_IPCOMP类型指定IP有效负载压缩 。
4.4.2IPSECISAKMP转变标识符
作为一个ISAKMP阶段I协商的部分,开始者的密钥的交换提供的选择被用来作一些主机系统策略描述 。实际的密钥交换机制选择被用来做标准的ISAKMP建议有效负载 。下列表格列出对于IPSECDOI的为建议有效负载定义的ISAKMP阶段I转变标识符 。
转变 值
--------- -----
保留 0
KEY_IKE 1
在ISAKMP和IPSECDOI框架内除IKE(Oakley)以外定义密钥的建立协议 , 是可能的 。这个文件的先前版本定义了基于一个通用密钥的分发中心(KDC)的使用的手工密钥和计划 。这些标识符从当前的文件被移走了 。
IPSECDOI还能在以后被扩大到为附加的non-Oakley密钥建立协议包括关于ISAKMP和IPSEC的值,例如Kerberos[RFC-1510]或组密钥治理协议(GKMP)[RFC-2093] 。
4.4.2.1KEY_IKE
KEY_IKE类型指定混合的ISAKMP/OakleyDiffie-Hellman密钥的交换(IKE),如在[IKE]文件定义 。在IPSECDOI以内的所有的实现必须支持KEY_IKE 。
4.4.3IPSECAH转变标识符
认证头协议(AH)定义一个强制的和若干可选的转变用于提供认证,完整性,和重放探测 。下列表列出定义的AH转变标识符为IPSECDOI的ISAKMP建议有效负载 。
注重:认证算法属性必须被指定认明适当的H保护组 。例如,AH_MD5最好能被想作使用MD5的通用AH转变 。为了AH请求HMAC构造,一个人指定AH_MD5转变ID,伴随着认证算法属性设置到HMAC-MD5 。这被显示使用"Auth(HMAC-MD5)"标志在下列节 。
转变ID 值
----------- -----
保留 0-1
AH_MD5 2
AH_SHA 3
AH_DES 4
注重:所有的mandatory-to-implement算法被列出作为必须实现(例如AH_MD5)在下列节 。所有另外的算法是可选的并且可能在任何非凡的应用中被实现 。
4.4.3.1AH_MD5
AH_MD5类型指定使用MD5的通用AH转变 。实际的保护组被决定与SA联系表一致 。通用的MD5转变当前未定义 。
在IPSECDOI内的所有的实现必须与Auth一起支持AH_MD5(HMAC-MD5)属性 。这组被定义为HMAC-MD5-96转变,如在[HMACMD5]中描述的 。
与Auth一起的AH_MD5类型(KPDK)属性指定了AH转变(密钥/垫/数据/密钥)描述在RFC-1826 。
有任何另外的认证算法的AH_MD5的使用属性值当前未定义 。
4.4.3.2AH_SHA
AH_SHA类型指定使用SHA-1的通用AH转变 。实际的保护组决定为与联系的SA属性表一致 。通用的SHA转变当前未定义 。
在IPSECDOI以内的所有的实现必须与Auth一起支持AH_SHA(HMAC-SHA)属性 。这组被定义为描述在[HMACSHA]中的HMAC-SHA-1-96转变 。
与任何另外的认证算法属性值一起使用的AH_SHA当前未定义 。
4.4.3.3AH_DES
AH_DES类型指定使用DES的通用AH转变 。实际的保护组决定为与联系的SA属性表一致 。通用的DES转变当前未定义 。

推荐阅读