IPsec：RFC2401-互联网协议的安全架构.pdfVIP

IPsec：RFC2401-互联网协议的安全架构 1.1、文件内容概要 本备忘录规定了 IPsec 兼容系统的基本架构。该架构的目的是在 IPv4 和 IPv6 环 境中为 IP 层的流量提供各种安全服务。本文档描述了此类系统的目的、它们的组件以及 它们如何相互配合以及如何融入 IP 环境，它还描述了 IPsec 协议提供的安全服务，以 及如何在 IP 环境中使用这些服务。本文档并未涉及 IPsec 体系结构的所有方面，后续 文档将解决更高级的其他架构细节，例如，在 NAT 环境中使用 IPsec 以及对 IP 多播 的更完整支持。以下 IPsec 安全体系结构的基本组件将根据它们的底层所需功能进行讨 论。其他 RFC （参见第 1.3 节以获取指向其他文档的指针）定义了 （A）、 （C）和 （D） 中的协议。 A. 安 全 协 议 — — 认 证 报 文 头 （Authentication Header ，AH） 和 封 装 安 全 载 荷 （Encapsulating Security Payload，ESP） B. 安全联盟——它们是什么以及它们如何工作、它们如何管理、相关处理 C. 密钥管理——手动和自动，互联网密钥交换 （Internet Key Exchange，IKE） D. 认证和加密算法 本文档不是 Internet 的整体安全架构；它仅在 IP 层解决安全问题，通过使用密码 和协议安全机制的组合提供。 关键字 MUST、MUST NOT、REQUIRED、SHALL、SHALL NOT、SHOULD、SHOULD NOT、RECOMMENDED、MAY 和 OPTIONAL 在本文档中出现时，应按照 RFC 2119 [Bra97] 中的描述进行解释。 1.2、目的读者 1 57 / 本文档的目的读者包括此 IP 安全技术的实施者和其他有兴趣了解此系统的一般背 景知识的人。特别是，这项技术的潜在用户 （最终用户或系统管理员）是目的受众的一部 分。词汇表作为附录提供 ，以帮助填补背景/词汇方面的空白。本文档假设读者熟悉 Internet 协议、相关网络技术以及一般安全术语和概念。 1.3、相关文件 如上所述，其他文档提供了 IPsec 的某些组件及其相互关系的详细定义。 它们包括关于以下主题的 RFC： A. “IP 安全文档路线图”[TDG97] ——为描述该系统中使用的加密和认证算法的规范提供指 导的文档。 B. 安全协议——描述认证报文头 （Authentication Header ，AH） [KA98a] 和封装安 全载荷 （Encapsulating Security Payload ，ESP） [KA98b] 协议的 RFC。 C. 用于身份验证和加密的算法——每个算法都有一个单独的 RFC。 D. 自动密钥管理——关于“互联网密钥交换 （Internet Key Exchange，IKE）”[HC98]、“互 联 网安 全 联 盟 和 密 钥 管 理 协 议 （Internet Security Association and Key Management Protocol，ISAKMP）”[MSST97]、“OAKLEY 密钥确定协议”[Orm97] 和“ISAKMP 解释的 Internet IP 安全域”[Pip98]。 2.1、目的/目的/要求/问题描述 IPsec 旨在为 IPv4 和 IPv6 提供可互操作、高质量、基于密码的安全性。提供的 一组安全服务包括访问控制、无连接完整性、数据源身份验证、重放保护 （部分序列完整 性的一种形式）、机密性 （加密）和有限的流量流机密性，这些服务在 IP 层提供 ，为 IP 层 和/或上层协议提供保护。 这些目的是通过使用两种流量安全协议-认证头 （AH） 和封装安全载荷 （ESP）， 以及通过使用加密密钥管理程序和协议来实现的。在任何场景中使用的 IPsec 协议集及 其使用方式将由用户、应用程序和/或站点/组织的安全性和系统要求决定。 2 57 / 当这