标准IKE密钥交换4.pdfVIP

译者：李智（loxu@163.com），2004-2-29，翻译版本0.1，翻译中文版权采用GPL。 November 1998 Internet密钥交换（IKE） The Internet Key Exchange (IKE) 本备忘录的现状 本文档为Internet社团规定了一个Internet标准系列的协议，并且欢迎为了改 进而提出的讨论和各种建议。要了解本协议的标准化进程和现状，请参考当前 版本的“Internet官方协议标准”（STD 1）。分发本文档没有限制。 版权公告 Copyright (C) The Internet Society (1998). 保留所有的权利。 目录 1 摘要 2 2 讨论 2 3 术语和定义 3 3.1 需求术语 3 3.2 符号 3 3.4 安全关联（Security Association） 5 4 介绍 5 5 交换（Exchanges） 8 n） 5.3 使用公开密钥密码术的一个改进认证方法 13 5.5 快速模式（Quick Mode） 16 5.6 新群模式（New Group Mode） 20 6 Oakley群（Oakley Groups） 21 6.1 第一Oakley群（First Oakley Group） 21 6.3 第三Oakley群（Third Oakley Group） 22 7 一个完整IKE交换的载荷发出 23 page 1 7.1 使用主模式的第一阶段（Phase 1 with Main Mode） 23 7.2 使用快速模式的第二阶段Phase 2 with Quick Mode） 25 8 完美向前保密例子 27 9 实现提示 27 10 安全考虑 28 11 IANA考虑 30 12 感谢 31 13 参考 31 附录A 33 附录B 37 作者地址 40 作者的注释 40 完整的版权声明 41 1. 摘要 ISAKMP（[MSST98]）提供了一个用于认证和密钥交换的框架，但没有具体定义 它们。ISAKMP被设计成独立于密钥交换的，即被设计用于支持多种不同的密钥 交换。 Oakley（[Orm96]）描述了一系列被称为“模式”的密钥交换，并详述了每一种 交换提供的服务（如密钥的完美向前保密，身份保护，和认证）。 SKEME（[SKEME]）中描述了一种通用密钥交换技术，其提供匿名性，否认，和 快速密钥更新的。 本文档将描述一种协议，其使用部分Oakley，部分SKEME，并结合ISAKMP来获得 已认证的用于ISAKMP和其它安全关联（如IETF IPSEC DOI定义的AH，ESP）的密 钥素材。 2. 讨论 本文档描述了一种混合协议。目的是以一种受保护的方式来协商和提供用于安 全关联的已认证的密钥素材。 实现本文档的过程可用于协商虚拟专用网（VPN），也可用于为从遥远的地点来 的一个远程用户（其IP地址不需要事先知道）提供对安全主机或网络的访问。 支持客户端协商。客户模式即协商双方不是安全关联发生的两个端点。当使用 客户模式时，最终通信双方的身份是隐藏的。 本文档并没有实现整个Oakley协议，只实现了满足其目的所需要的一个子集。 它并没有声称与整个Oakley协议相一致或遵守该协议，也不以任何方式依赖于 Oakley协议。 同样，本协议没有实现整个的SKEME协议，只实现了SKEME协议中用于认证的公 钥加密的方法，和使用一个当前时间（nonce）交换来快速重建密钥的概念。本 协议不以任何方式依赖于SKEME协议。 3. 术语和定义 3.1 需求术语 page 2 本文档中出现的关键字“MUST”，“MUST NO