RFC4301 IP安全架构2005

RFC4301 IP安全架构-2005

RFC4301 IP安全架构

2005

第1页/共77页

RFC4301 IP安全架构-2005

该备忘录状态：

本文档为Internet社区指定了Internet标准跟踪协议，并请求讨论和提出改进建议。请参阅当前版本的”Internet官方协议标准”（STD 1）了解此协议的标准化状态。该备忘录的分发是不受限制的。

概述：

本文档描述新版IP安全架构，安全架构的目标是为IP层之上的数据流量提供安全服务。本文档废弃了RFC2401(1998)。

修订记录

第2页/共77页

RFC4301 IP安全架构-2005

目录

目录 (3)

1引言 (6)

1.1总览 (6)

1.2读者 (6)

1.3相关文档 (7)

2设计目标 (7)

2.1目标/目的/需求/问题描述 (7)

2.2注意事项和假定 (8)

3系统概览 (8)

3.1IPsec做什么 (9)

3.2IPsec如何做 (10)

3.3IPsec实现在哪里 (11)

4安全关联 (12)

4.1范围和定义 (12)

4.2SA功能 (15)

4.3组合SA (16)

4.4主要的IPsec数据库 (16)

4.4.1安全策略数据库（SPD） (17)

4.4.2安全关联数据库（SAD） (28)

4.4.3对端认证数据库（PAD） (34)

4.5SA和密钥管理 (38)

4.5.1手动技术 (38)

4.5.2自动SA和密钥管理 (38)

4.5.3定位安全网关 (39)

4.6SA和多播 (39)

5IP流量处理 (40)

第3页/共77页

RFC4301 IP安全架构-2005

5.1出站IP流量处理（由受保护到不受保护） (41)

5.1.1必须丢弃的出站封包的处理 (42)

5.1.2隧道模式下IP头构造 (43)

5.2入站IP流量处理（由不受保护到受保护） (46)

6ICMP处理 (49)

6.1处理定向到IPsec实现的ICMP错误类消息 (49)

6.1.1从不受保护侧收到的ICMP错误类消息 (49)

6.1.2从受保护侧收到的ICMP错误类消息 (50)

6.2处理受保护的传输ICMP错误类型消息 (50)

7分片处理（在IPsec边界受保护侧） (51)

7.1承载初始和非初始分片的隧道模式SA (52)

7.2为非初始分片分离出隧道模式SA (52)

7.3有状态分片检查 (53)

7.4BYPASS/DISCARD流量 (53)

8路径MTU/DF处理 (53)

8.1DF位 (54)

8.2路径MTU(PMTU)发现 (54)

8.2.1PMTU的传播 (54)

8.2.2PMTU的老化 (55)

9审计 (55)

10一致性要求 (55)

11安全考虑 (55)

12IANA考虑 (56)

13与RFC2401的差异 (56)

14致谢 (58)

附录A 词汇表 (58)

附录B 解相关 (60)

B.1 解相关算法 (61)

附录C SPD条目的ASN.1格式 (63)

附录D 分片处理原理 (68)

第4页/共77页

RFC4301 IP安全架构-2005

D.1 传输模式和分片 (68)

D.2 隧道模式和分片 (69)

D.3 非初始分片的问题 (70)

D.4 BYPASS/DISCARD流量 (71)

D.5 只是对端口说不 (72)

D.6 其他建议方案 (72)

D.7 一致性 (73)

D.8 总结 (73)

附录E：通过SPD和转发表条目支持嵌套SA的示例 (73)

参考文档 (75)

Normative References (75)

Informative References (76)

第5页/共77页

RFC4301 IP安全架构-2005

1引言

1.1总览

本文档描述了兼容IPsec系统的基础架构，描述如何为IP之上的数据流提供一系列的安全服务，包括IPv4[Pos81a]和IPv6[DH98]环境。本文档描述实现IPSec的系统的需求，这类系统的基础元素，以及这些元素如何组合、集成到IP环境中。它同样描述了IPSec协议提供的安全服务，并且如何将这些服务部署到IP环境中。本文档不包括IPsec架构的方方面面，其他文档为特定的环境定义了架构的细节信息，比如在NAT环境上使用IPsec，以及对IP组播的全面支持。IPsec安全架构的基础组件以必选的底层功能方式讨论。其他RFC文档（参考1.3章节指出的文件链接）定义了（a）、（b）和（d）。

a.安全协议--认证头（AH）和封装安全载荷协议（ESP）

b.安全关联--它们是什么以及如何工作，如何管理，以及关联处理

c.密钥管理--手动或自动（Internet密钥交换协议（IKE））

d.密码学算法--认证和加密的密码学算法

本文档不是关于整个Internet的安全架构，而只聚焦于通过组合使用密码学和协议安全机制实现IP层的安全。

“IPsec”被用于本文档以及其他相关IPsec标准，所有的其他IPSec的大小写形式（比如IPSEC、IPSec、ipsec）全部废弃。然而，”IPsec”的任何其他大小写形式都应该被认为是在引用IPsec协议。

本文档中出现的关键字MUST（必须）、MUST NOT（不得）、REQUIRED（必选的）、SHALL（将要）、SHALL NOT（将不会）、SHOULD（应该）、SHOULD NOT（不应该）、RECOMMENDED（推荐）、MAY （可能）、和OPTIONAL（可选），其含义参考RFC2119规范。

1.2读者

本文档的目标读者主要是实现本规范定义的IP安全技术的个人或者使用本技术搭建系统的个人，本技术的熟练用户（终端或者系统管理员）也是目标受众人群。附录A提供了词汇表，以帮助填补背景或术语上的空白。本文档假定读者熟悉IP协议，熟悉相关的网络技术，以及熟悉通用的系统安全术语和概念。

第6页/共77页

RFC4301 IP安全架构-2005

1.3相关文档

参考上文，其他文档提供了IPsec相关组件的详细定义以及它们间的关系，这些文档如下：

a.安全协议–描述认证头(AH)[Ken05b]和封装安全载荷(ESP)[Ken05a]的RFC文档

b.完整性和加密密码学算法 --一个RFC定义了用于AH和ESP的强制默认算法[Eas05]，一个类

似的RFC定义了用于IKEv2的强制算法[Sch05]以及用于每个加密算法的单独RFC。

c.自动化密钥管理 --关于”Internet密钥交换（IKEv2）协议”[Kau05]和”因特网密钥交换版本

2（IKEv2）中使用的加密算法”的[Sch05]

2设计目标

2.1目标/目的/需求/问题描述

IPsec的设计主旨是为IPv4和IPv6提供可互操作、高质量、基于密码学的安全性。提供的安全服务包括访问控制、无连接的完整性保护、数据源认证、检测和拒绝重放（部分序列完整性的形式）、机密性（通过加密），以及受限的流量机密性。这些服务都是在IP层提供，通过一种标准的形式为IP和IP 层之上的所有协议提供保护。

IPsec为包含一个较小的防火墙功能，因为这是IP层访问控制的一个必要的组成。具体的IPsec 实现可以自由地提供更加复杂的防火墙机制，并且使用这些功能实现（覆盖）IPsec强制要求的功能（需要注意的是，如果在业务流量上施加额外的约束不能基于本规范定义的流量选择器功能和IKEv2进行协商，则会降低互操作性）。IPsec防火墙功能使用为所有IPsec流量提供的强制加密认证和完整性保护，比单独使用一个防火墙（一个不专用于IPsec内部参数的防火墙）外加单独的加密机制，将提供更好的访问控制能力。

大部分的安全服务功能通过两个安全协议，认证协议（AH）和封装安全载荷（ESP），以及通过使用密钥管理协议和流程来提供。IPsec协议集的部署上下文，以及它们的部署方式，由上下文中的用户/管理员决定。IPsec架构的目标是，保证兼容的实现，包括服务和管理接口，能满足广大用户的安全需求。