RFC 5996-2010
Internet 密钥交换协议版本 2（IKEv2）（废弃：4306 4718）

Internet Key Exchange Protocol Version 2 (IKEv2) (Obsoletes: 4306@ 4718)

非常抱歉，我们暂时无法提供预览，您可以试试： 免费下载 RFC 5996-2010 前三页，或者稍后再访问。

您也可以尝试购买此标准，
点击右侧 “立即购买” 按钮开始采购（由第三方提供）。

标准号

RFC 5996-2010

发布

2010年

发布单位

IETF - Internet Engineering Task Force

当前最新

RFC 5996-2010

 

 

适用范围

“简介 IP 安全 (IPsec) 为 IP 数据报提供机密性、数据完整性、访问控制和数据源身份验证。这些服务是通过维护 IP 数据报的源和接收器之间的共享状态来提供的。该状态定义了@等内容@ 向数据报提供的特定服务@ 将使用哪些加密算法来提供服务@ 以及用作加密算法输入的密钥。以手动方式建立此共享状态不能很好地扩展。因此@ 建立一个协议这种状态是动态需要的。本文档描述了这样一个协议——Internet 密钥交换 (IKE)。IKE 的版本 1 在 RFC 2407 [DOI]@ 2408 [ISAKMP]@ 和 2409 [IKEV1] 中定义。IKEv2 替换了所有这些 RFC。IKEv2 在 [IKEV2] (RFC 4306) 中定义，并在 [Clarif] (RFC 4718) 中澄清。本文档替换并更新 RFC 4306 和 RFC 4718。IKEv2 是对 IKE 协议的更改，不向后兼容。相比之下，当前文档不仅对 IKEv2@ 进行了澄清，而且对 IKE 协议进行了最少的更改。第 1.7 节列出了 RFC 4306 与本文档之间的显着差异。 IKE 在两方之间执行相互身份验证，并建立 IKE 安全关联 (SA)，其中包含共享秘密信息，可用于有效地建立用于封装安全负载 (ESP) [ESP] 或身份验证标头 (AH) [AH] 的 SA，以及SA 使用的一组加密算法来保护它们承载的流量。在本文档中，术语“套件”或“加密套件”是指用于保护 SA 的完整算法集。发起者通过列出支持的算法来提议一个或多个套件，这些算法可以以混合匹配的方式组合成套件。 IKE 还可以协商与 ESP 或 AH SA 连接的 IP 压缩 (IPComp) [IP-COMP] 的使用。通过 IKE SA 设置的 ESP 或 AH SA 我们称为“子 SA”。所有 IKE 通信均由消息对组成：请求和响应。该对称为“交换”@，有时也称为“请求响应对”。建立 IKE SA 的第一次消息交换称为 IKE_SA_INIT 和 IKE_AUTH 交换；随后的 IKE 交换称为 CREATE_CHILD_SA 或 INFORMATIONAL 交换。在常见情况下，有一个 IKE_SA_INIT 交换和一个 IKE_AUTH 交换（总共四个消息）来建立 IKE SA 和第一个子 SA。在特殊情况下，这些交换可能不止一个。在所有情况下@所有 IKE_SA_INIT 交换必须在任何其他交换类型之前完成@然后所有 IKE_AUTH 交换必须完成@并且随后@任意数量的 CREATE_CHILD_SA 和 INFORMATIONAL 交换可以按任何顺序发生。在某些情况下，IPsec 端点之间只需要一个子 SA，因此不会有额外的交换。后续交换可用于在同一对经过身份验证的端点之间建立额外的子 SA 并执行内务处理功能。”

RFC 5996-2010相似标准

推荐