М.: Институт Системного Программирования РАН, 2007. – 78 с.
Перевод на русский язык стандарта RFC 4306 Internet Key Exchange (IKEv2) Protocol. Перевод выполнил Шнитман В.З.
В данном документе представлен перевод на русский язык RFC 4306, регламентирующего реализацию автоматического установления контекстов безопасности для защищенного обмена данными в рамках архитектуры IPsec.
Данный документ определяет для сообщества Internet протокол, находящийся в процессе стандартизации, и требует обсуждения, а также предложений по улучшению. За информацией, касающейся состояния стандартизации и статуса данного протокола, обращайтесь, пожалуйста, к текущей версии документа "Официальные стандарты протоколов Internet" (STD 1). Распространение данного меморандума не ограничено.
В данном документе описывается версия 2 протокола обмена ключами в Internet (IKE - Internet Key Exchange). IKE является частью IPsec, используемой для выполнения взаимной аутентификации, установления и поддержки контекстов безопасности (SA - security association).
Данная версия спецификации IKE объединяет содержимое того, что раньше было отдельными документами, в том числе протокол управления контекстами безопасности и ключами в Internet (ISAKMP, RFC 2408), протокол IKE (RFC 2409), домен интерпретации Internet (DOI, RFC 2407), а также вопросы пересечения устройств трансляции адресов (NAT - Network Address Translation), традиционной аутентификации и приобретения удаленного адреса.
Версия 2 IKE не обеспечивает взаимодействия с версией 1, но она имеет достаточно общий формат заголовка так, что обе версии могут однозначно работать через один и тот же UDP-порт.
Перевод выполнен в рамках проекта по гранту Российского фонда фундаментальных исследований № 07-07-00243 «Верификация функций безопасности протокола нового поколения IPsec v2».
Содержание:
Введение.
Сценарии использования.
Начальные обмены.
Обмен CREATE_CHILD_SA.
Информационный обмен.
Информационные сообщения вне IKE_SA.
Детали и варианты протокола IKE.
Использование таймеров повторной передачи.
Использование порядковых номеров для Message ID.
Размер окна для перекрывающихся запросов.
Синхронизация состояния и тайм-ауты соединений.
Номера версий и совместимость снизу вверх.
Идентифицирующие цепочки.
Согласование криптографических алгоритмов.
Переустановка контекстов безопасности.
Согласование селекторов трафика.
Одноразовые номера.
Перестройка адресов и портов.
Повторное использование показателей Диффи-Хеллмана.
Генерация ключевого материала.
Генерация ключевого материала для IKE_SA.
Аутентификация IKE_SA.
Методы гибкого протокола аутентификации (EAP).
Генерация ключевого материала для CHILD_SA.
Переустановка IKE_SA с помощью обмена CREATE_CHILD_SA.
Запрос внутреннего адреса в удаленной сети.
Запрос версии партнера.
Обработка ошибок.
IPComp.
Пересечение NAT.
Явное уведомление о перегрузке (ECN).
Форматы заголовков и блоков данных.
Заголовок IKE.
Общий заголовок блоков данных.
Блок данных Контекст Безопасности.
Блок данных Обмен Ключами.
Блоки данных Идентификация.
Блок данных Сертификат.
Блок данных Запрос Сертификата.
Блок данных Аутентификация.
Блок данных Одноразовый Номер.
Блок данных Уведомление.
Блок данных Удаление.
Блок данных Идентификатор Поставщика.
Блок данных Селектор Трафика.
Блок данных Шифр.
Блок данных Конфигурирование.
Блок данных Протокол Расширяемой Аутентификации (EAP).
Требования к соответствию.
Анализ безопасности.
Соображения для IANA.
Благодарности.
Ссылки.
Нормативные ссылки.
Информативные ссылки.
Приложения:
Сводка изменений по сравнению с IKEv1.
Группы Диффи-Хеллмана.
История изменений (должна быть удалена из RFC).
Полное определение авторских прав.
Определение интеллектуальной собственности.