8. 適合性要件

このセクションでは、IPsec実装の適合性要件について概説します。実装はIPv4とIPv6の両方をサポートしなければなりません (MUST)。

8.1. セキュリティポリシーデータベース (SPD)

すべてのIPsec実装はSPDを持たなければなりません (MUST)。SPDは以下をサポートしなければなりません (MUST):

• セクション4.4.1.1で定義されているすべてのセレクタ
• トランスポートモードとトンネルモードの両方のSA
• PROTECT、BYPASS、およびDISCARD処理アクション
• 重複するセレクタを処理するための順序付けられたポリシーエントリ

8.2. セキュリティアソシエーションデータベース (SAD)

すべてのIPsec実装はSADを持たなければなりません (MUST)。SADは、セクション4.4.2.1で指定されているすべてのデータ項目を含まなければなりません (MUST)。これには以下が含まれます:

• セキュリティパラメータインデックス (SPI)
• シーケンス番号カウンタとアンチリプレイウィンドウ
• AHおよび/またはESPアルゴリズムパラメータ
• SAライフタイム
• IPsecプロトコルモード (トンネルまたはトランスポート)

8.3. ピア認証データベース (PAD)

すべてのIPsec実装はPADを持たなければなりません (MUST)。PADは以下をサポートしなければなりません (MUST):

• X.509証明書による認証
• 事前共有秘密による認証
• セクション4.4.3.1で定義されているすべてのIDタイプ
• 子SA作成に関する制約

8.4. AHとESPのサポート

• すべてのIPsec実装はESPをサポートしなければなりません (MUST)
• すべてのIPsec実装はAHをサポートすべきです (SHOULD)
• ESPはNULL暗号化をサポートしなければならず (MUST)、暗号化アルゴリズムをサポートしなければなりません (MUST)
• ESPは完全性保護をサポートしなければなりません (MUST)
• AHは必須アルゴリズムを使用した完全性保護をサポートしなければなりません (MUST)

8.5. トンネルモードとトランスポートモード

• すべてのIPsec実装はトンネルモードとトランスポートモードの両方をサポートしなければなりません (MUST)
• セキュリティゲートウェイはトンネルモードをサポートしなければなりません (MUST)
• ネイティブホスト実装はトランスポートモードをサポートしなければなりません (MUST)

8.6. 鍵管理

すべてのIPsec実装は以下の両方をサポートしなければなりません (MUST):

• 手動鍵管理
• 自動鍵管理 (IKEv2がデフォルト)

8.7. トラフィックセレクタ

すべての実装は、セクション4.4.1.1で定義されているセレクタの完全なセットをサポートしなければなりません (MUST):

• 送信元および宛先IPアドレス (IPv4およびIPv6)
• 次層プロトコル
• 送信元および宛先ポート (該当するプロトコルの場合)
• ICMPメッセージタイプとコード
• モビリティヘッダータイプ (IPv6)
• 名前 (シンボリックSPD検索用)