RFC2367.docVIP

RFC2367 组织：中国互动出版网（/） RFC文档中文翻译计划（/compters/emook/aboutemook.htm） E-mail：ouyang@ 译者：（ ） 译文发布时间：2002-1-9 版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须 保留本文档的翻译及版权信息。 Network Working Group D. McDonald Request for Comments: 2367 C. Metz Category: Informational B. Phan July 1998 PF_KEY Key Management API, Version 2 （RFC2367——PF_KEY Key Management API, Version 2） 本备忘录状态 This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. 版权声明 Copyright C The Internet Society 1998 . All Rights Reserved. 摘要 本文档提出的通用密钥管理API不但为IP安全[Atk95a][Atk95b][Atk95c]而且 为其它网络安全提供服务。做为可以自由发布和使用的美国海军研究实验室设计实 现的IPv6和IPsec的一部分，在4.4-Lite BSD内部实现了这个API的第一版。这里编 辑成档有助于其他人采用这个API，这些规定增强了密钥管理应用程序的可移植性 例如：手工设置程序，ISAKMP守护进程，GKMP守护进程，Photuris守护进程或者SKIP 证书发现协议守护进程 。 目录 1 介绍 3 1.1 术语 3 1.2 总体模型 4 1.3 PF_KEY套接口定义 6 1.4 PF_KEY消息行为概述 7 1.5 共同的PF_KEY操作 7 1.6 PF_KEY和PF_ROUTE之间的区别 8 1.7 名称空间 8 1.8 手工密钥 9 2. PF_KEY消息格式 9 2.1 基本消息头格式 9 2.2 消息头位对齐和扩展头 11 2.3 附加的消息域 11 2.4 消息格式的图例 22 3 符号名 26 3.1 消息类型 26 3.2 安全关联标志 35 3.3 安全关联状态 35 3.4 安全关联类型 36 3.5 算法类型 37 3.6 扩展头值 37 3.7 身份扩展值 38 3.8 敏感度扩展值 39 3.9 提议扩展值 39 4 发展趋势 39 5. 实例 40 5.1 简单的IP安全例子 40 5.2 代理IP安全例子 42 5.3 OSPF安全例子 44 5.4 其它 45 6 安全考虑 45 致谢 46 参考 46 放弃声明 48 作者地址 48 附录A：混杂模式发送/接收消息扩展 49 附录B：被动转换消息扩展 50 附录C：密钥管理专用数据扩展 51 附录D：头文件样本 52 附录E：修改记录 57 附录F：版权声明 60 1 介绍 PF_KEY是一个新的套接口协议族，用于可信赖的有特权的密钥管理程序和操作 系统内部的密钥管理 这里指“密钥引擎”或者安全关联数据库 SADB 的通信。密 钥引擎和它的构件是一个会话安全属性的具体表现，也是“安全关联”的实例。“ 安全关联” SA 的概念在RFC2401 原文为RFC1825现已被代替 中说明。这里所说的 PF_KEY和密钥引擎引用多于加密密钥，传统术语“密钥管理”为了一致性予以保留。 PF_KEY源于BSD的路由套接字PF_ROUTE [Skl91] 的一部分。本文档说明了PF_KEY 的第二版本。第一版本为4.4-Lite BSD UNIX和Cisco ISAKMP/Oakley密钥管理守护 进程在NRL IPv6+IPsec Software Distribution的最初的五个alpha测试版中实现。 版本2扩充和精制了接口。理论上，本文档定义的消息可以在无套接口的环境应用 例如：在两个直接通信的应用层程序之间 ，但是这种可能性这里不做详细讨论。 安全策略在这个接口中慎重地忽略。PF_KEY不是协调全系统安全策略的机制， 也不想要实施任何密钥管理策略。PF_KEY的开发者认为把安全机制 如PF_KEY 和安 全策略分离是很重要的，这样允许一个机制很容易的支持多个策略。 1.1 术语 尽管本文档不打算成为实际的因特网标准，本接口用来说明独特功能的重要性 的关键词通常大写。这些词中的一部分，包括MUST