rfc2407.txt

RFC文档

AH_DES					4
注意： 所有的 mandatory-to-implement 算法被列出作为必须实现 ( 例如 AH_MD5 ) 在下列节。所有另外的算法是可选的并且可能在任何特别的应用中被实现。
4.4.3.1  AH_MD5
AH_MD5 类型指定使用 MD5的通用AH转变。实际的保护组被决定与SA联系表一致。通用的 MD5 转变当前未定义。
在 IPSEC  DOI 内的所有的实现必须与 Auth 一起支持 AH_MD5 ( HMAC-MD5 ) 属性。这组被定义为 HMAC-MD5-96转变,如在 [ HMACMD5 ] 中描述的。
与 Auth 一起的 AH_MD5 类型 ( KPDK ) 属性指定了AH转变 ( 密钥 / 垫 / 数据 / 密钥 ) 描述在 RFC-1826。
有任何另外的认证算法的 AH_MD5 的使用属性值当前未定义。
4.4.3.2  AH_SHA
AH_SHA 类型指定使用 SHA-1的通用AH转变。实际的保护组决定为与联系的 SA属性表一致。通用的 SHA 转变当前未定义。
在 IPSEC  DOI 以内的所有的实现必须与 Auth 一起支持 AH_SHA ( HMAC-SHA ) 属性。这组被定义为描述在 [ HMACSHA ]中的 HMAC-SH A-1-96转变。
与任何另外的认证算法属性值一起使用的 AH_SHA当前未定义。
4.4.3.3  AH_DES
AH_ DES 类型指定使用DES的通用AH转变。实际的保护组决定为与联系的 SA属性表一致。通用的DES转变当前未定义。
IPSEC  DOI定义AH_DES和Auth(DES-MAC)属性为DES-MAC转变。实现不需要支持这种模式.
与任何另外的认证算法属性值一起使用的 AH_ DES当前未定义。
4.4.4  IPSEC  ESP 转变标识符
包含的安全有效负载 ( ESP ) 定义一个强制的和用于常提供数据机密可选的许多转变。下列表格列出定义的对于 IPSEC  DOI为 ISAKMP 建议有效负载的ESP 转变标识符。
注意： 什么时候认证, 完整保护, 和重放探测被要求, 认证算法属性必须被指定来认明适当的 ESP 保护组。例如,请求有3DES 的HMAC-MD5 认证，一个人指定 ESP_3DES属性转变 ID并且设置把认证算法属性设置为HMAC-MD5。对于附加处理的要求，见节4.5 （认证算法 ）。
转变 ID					值
------------					-----
保留						0
ESP_DES_IV64				1
ESP_DES					2
ESP_3DES					3
ESP_RC5					4
ESP_IDEA					5
ESP_CAST					6
ESP_BLOWFISH			7
ESP_3IDEA					8
ESP_DES_IV32				9
ESP_RC4					10
ESP_NULL					11
注意：在下列节中所有的 mandatory-to-implement 算法被列出作为必须实现  ( 例如 ESP_DES )。所有另外的算法是可选的并且可能在任何特别的应用中被实现。
4.4.4.1  ESP_DES_IV64
ESP_DES_IV64 类型指定定义在RFC-1827和使用一个 64 比特 IV中的RFC-1829 DES-CBC转变
4.4.4.2  ESP_DES
ESP_DES 类型指定使用 DES-CBC的一个通用的 DES 转变。实际的保护组定义得与SA属性表一致。一个通用转变当前未定义。
在 IPSEC  DOI内的所有实现必须与 Auth  ( HMAC-MD5 )一起支持ESP_DES 属性。这组被定义为 [ DES ] 转变,由 HMAC MD5 [ HMACMD5 ]提供认证和完整性了。
4.4.4.3  ESP_3DES
ESP_3DES 类型指定一个通用的 triple-DES 转变。实际的保护组定义得与SA属性表一致。通用转变当前未定义。
在 IPSEC  DOI 内的所有的实现强烈支持ESP_3DES和 Auth( HMAC-MD5 ) 属性。这组被定义为 [ ESPCBC ] 转变, 由 HMAC  MD5 [ HMACMD5 ] 提供认证和完整性。
4.4.4.4  ESP_RC5
ESP_RC5 类型指定 定义在[ ESPCBC ]RC5 的转变。
4.4.4.5  ESP_IDEA
ESP_IDEA 类型指定定义在 [ ESPCBC ]的IDEA转变。
4.4.4.6  ESP_CAST
ESP_CAST 类型指定定义在 [ ESPCBC ]的CAST转变。
4.4.4.7  ESP_BLOWFISH
ESP_BLOWFISH 类型指定定义在[ ESPCBC ]的 BLOWFISH 转变。
4.4.4.8  ESP_3IDEA
ESP_3IDEA 类型为 triple-IDEA 保留。
4.4.4.9  ESP_DES_IV32
ESP_DES_IV32 类型指定定义在 RFC-1827和使用一 32 位的 IV 的RFC-1829 的DES-CBC转变。
4.4.4.10  ESP_RC4
ESP_RC4 类型为 RC4 保留。
4.4.4.11  ESP_NULL
ESP_NULL类型没有指定任何机密被 ESP 提供。当 ESP 被用于仅仅要求认证,完整性,和重放探测的通道包时，ESP_NULL被使用。
在 IPSEC  DOI 内的所有实现必须支持 ESP_NULL 。ESP NULL转变在 [ ESPNULL ]中被定义。为得到关联ESP_NULL 使用的附加要求,见节 4.5 认证算法属性描述。
4.4.5  IPSEC  IPCOMP 转变标识符
IP 压缩 ( IPCOMP ) 转变定义了能被协商为 IP 有效负载压缩([ IPCOMP ])所提供的可选压缩算法  。下列表列出已定义的IPCOMP 内,为 ISAKMP 建议有效负载转变标识符
IPSEC  DOI
转变 ID							值
------------						-----
保留							0
IPCOMP_OUI					1
IPCOMP_DEFLATE				2
IPCOMP_LZS					3
4.4.5.1  IPCOMP_OUI
IPCOMP_OUI 类型指定专利的压缩转变。IPCOMP_OUI类型必须由进一步认明特定供应商算法的属性伴随。
4.4.5.2  IPCOMP_DEFLATE
IPCOMP_DEFLATE 类型指定“ zlib ”缩小算法的使用如在 [ 降低 ]中指定。
4.4.5.3  IPCOMP_LZS
IPCOMP_LZS 类型指定 Stac电子学 LZS 算法的使用如在[ LZS ]中指定的。
4.5  IPSEC 安全关联属性
下列 SA 属性定义被使用在一个 IKE 协商的相 II。属性类型可以是基本 (B) 或可变的长度 (V) 。这些属性编码被定义在基层的 ISAKMP说明中。
描述为基本的属性不能被编码为变量。如果他们的值适合在两个字节中，可变的长度属性可以被编码为基本属性。属性上关于IPSEC  DOI的进一步信息编码见[ IKE ]。列出在 [ IKE ]的所有限制也适用于 IPSEC  DOI。
属性类型
类					值					类型
-------------------------------------------------
SA 生命类型		1					B
SA 生命持续时间	2					V
组描述				3					B
封装模式			4					B
认证算法			5					B
密钥长度			6					B
密钥 Rounds		7					B
压缩字典大小		8					B
压缩私人的算法		9					V
类值
SA 生命类型
SA 持续时间
为了全面安全关联而指定生命时间。当 SA 到期时，在关联下面协商所有的密钥( AH或 ESP ) 必须重新协商。生命类型值是：
保留					0
第二					1
K 字节					2
值 3-61439 被保留到 IANA中 。值 61440-65535 为私有使用。对于一种给定的生命类型，生命持续时间属性的值定义了部件一生的实际长度--或很多秒，或能被保护的很多 Kbytes 。
如果未特别指出，缺省值将被假定为28800 秒 ( 8小时 ) 。
SA 生命持续时间属性必须总是遵从描述持续时间单位的SA 生命类型。
对于一生通知联系的附加信息见节 4.5.4 。
组描述
指定在一个 PFS  QM 协商被使用的Oakley 组。关于支持值的列表，见附录一的 [ IKE ] 。
封装模式
保留						0
隧道						1
运输						2
值 3-61439 被保留到 IANA 。值 61440-65535 为私人使用。
如果未特别指出，缺省值将被假定为未特别指出 ( 主机依赖 ) 。
认证算法
保留						0
HMAC-MD5				1
HMAC-SHA				2
DES-MAC					3
KPDK						4
值 5-61439 被保留到 IANA 。值 61440-65535 为私人使用。
当它必须被指定来正确的认明适用的AH或 ESP 转变时, Auth 算法没有缺省值, 除了在下列情况中。
当协商的ESP时， Auth 算法属性不能被包括在建议中。
当协商没有机密的ESP时， Auth 算法属性必须被包括在建议中并且ESP转变的 ID 必须是 ESP_NULL 。
密钥的长度
保留					0
密钥长度没有缺省值, 如它必须为使用可变密钥长度的密码转变而被指定。对于固定长度的密码，密钥长度属性不能被传送。
密钥的 Rounds
保留					0
密钥的 Rounds 没有缺省值, 如它必须为使用rounds 变化数字密码的转变被指定。
压缩字典大小
保留					0
指定log2为字典大小的最大值。
字典大小没有缺省值。
压缩私人算法
指定私人供应商压缩算法。首先的 3 ( 3 ) 字节必须是被分配了的company_id 的一个 IEEE ( OUI ) 。下一个字节可以是供应商特定的压缩子类型,跟随着供应商零或更多字节的数据。
4.5.1 要求的属性支持
保证基本的互操作性, 所有的实现必须准备协商下列所有属性。
SA 生命类型
SA 持续时间
Auth 算法
4.5.2 分析要求的属性 ( 一生)
允许灵活的语义, IPSEC  DOI 要求一个遵守 ISAKMP 的实现必须正确分析包含相同属性类多重例子的属性表，只要不同的属性入口不与对方冲突。当前, 要求处理的唯一属性是生命类型和持续时间。
为了知道这为什么重要, 下列例子显示一个二进制 4 入口编码指定 100MB 或 24 小时的 SA 一生的属性表。（见节 3.3 [ISAKMP ] 为属性的完全描述编码格式。）
属性 #1 ：
0x80010001  （ AF = 1 , 类型 = SA 生命类型, 值 = 秒）
属性 #2 ：
0x00020004  ( AF = 0 , 类型 = SA 持续时间, 长度 = 4个字节 ) 0x00015180  值 = 0x15180 =86400 秒 = 24 小时)
属性 #3 ：
0x80010002  （ AF = 1 , 类型 = SA 生命类型, 值 = KB ）
属性 #4 ：
0x00020004  ( AF = 0 , 类型 = SA 持续时间, 长度 = 4个字节 ) 0x000186A0 ( 值 = 0x186A0 =100000KB = 100MB )
如果冲突属性被检测到, ATTRIBUTES-NOT-SUPPORTED 通知有效负载应该被返回并且安全关联安装必须被放弃。
4.5.3 属性协商
如果实现收到一个它不支持的定义了的 IPSEC  DOI 属性 ( 或属性值 ), 一个 ATTRIBUTES-NOT-SUPPORT 应该被发送并且安全关联安装必须被放弃的，除非属性值在保留的范围内。
如果实现在保留范围收到属性值，实现可能选择继续基于本地的策略。
4.5.4 一生通知
当一个开始者提供比应答者基于他们的本地的策略所需的大的 SA一生时，应答者有 3种选择： 1 )协商全部失败; 2 ) 完成协商但是使用比被提供的更短的一生; 3 ) 完成协商并且送一份建议通知到显示应答者真实一生的开始者。应答者实际上做的选择是实现特定的或基于本地的策略。
在后者情况中保证互操作性, 当应答者希望通知开始者时， IPSEC  DOI 仅仅要求下列：如果开始者提供的 SA 一生与应答者愿意接受的长，应答者应该在包括应答者 IPSEC  SA 有效负载的交换包括 ISAKMP 通知的有效负载。节 4.6.3.1 为必须被用于这个目的消息类型的RESPONDER-LIFETIME 通知定义有效负载布局。
4.6  IPSEC 有效负载内容
下列节描述其数据表示依赖于适用的 DOI 的那些 ISAKMP 有效负载。
4.6.1 安全关联有效负载
下列图表为 IPSEC  DOI 说明安全关联有效负载的内容。对于状况位图的描述见节 4.2 。
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！下一个有效负载！  保留    ！       有效负载长度         ！
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！               解释的域 ( IPSEC ）               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！                      状况 ( 位图）                      ！
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！                   标记的域标识符                  ！
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！秘密长度 ( 在字节）   ！          保留            ！
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~                        秘密级别                          
                                                            ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
！秘密连接。长度 ( 在位中 ) ！          保留            ！
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~                    秘密范畴位图                    ~