メインコンテンツまでスキップ

4. Conformance Requirements (適合要件)

4. Conformance Requirements (適合要件)

すべての IKEv2 (Internet Key Exchange Protocol Version 2) 実装が相互運用できるようにするため, 他に列挙される要件に加えて "MUST support (必須サポート)" 要件がある. もちろん IKEv2 はセキュリティプロトコルであり, 主な機能の一つは認可された当事者のみが SA (Security Association, セキュリティアソシエーション) 確立を完了できるようにすることである. したがって特定の実装はアルゴリズムや信頼できる認証局に関する制限により, 普遍的な相互運用を妨げる構成が取り得る.

IKEv2 は, すべての適合実装と相互運用できる最小実装を許容するよう設計されている. 最小実装では次の機能を省略できる.

  • NAT (Network Address Translation) を介した SA 交渉と, 結果として得られる ESP (Encapsulating Security Payload) SA を UDP 上でトンネルする能力.

  • トンネル遠隔側での一時 IP アドレスを要求し (要求に応答し) うる能力.

  • EAP (Extensible Authentication Protocol) ベースの認証をサポートする能力.

  • ウィンドウサイズが 1 を超える場合をサポートする能力.

  • 単一の IKE SA 内で複数の ESP または AH (Authentication Header) SA を確立する能力.

  • SA の再鍵 (rekey) を行う能力.

相互運用を保証するため, すべての実装はすべてのペイロード型を解析できなければならない (スキップするだけでもよい). またペイロードヘッダに critical ビットが設定されていない限り, サポートしないペイロード型は無視しなければならない. サポートしないペイロードヘッダに critical ビットが設定されている場合, すべての実装はそれらのペイロードを含むメッセージを拒否しなければならない.

すべての実装は, 4 メッセージの IKE_SA_INIT と IKE_AUTH 交換により 2 つの SA (1 つは IKE 用, 1 つは ESP または AH 用) を確立できなければならない. プラットフォームに適合する場合, 実装は発起専用または応答専用でもよい. すべての実装は INFORMATIONAL 交換に応答できなければならないが, 最小実装は INFORMATIONAL 交換内の任意の要求に空の応答で答えてもよい (IKE SA の文脈では, "空" メッセージは内部ペイロードを含まない Encrypted ペイロードに続く IKE ヘッダで構成される). 最小実装は, 要求を認識し NO_ADDITIONAL_SAS 型の Notify ペイロードで拒否する範囲に限り CREATE_CHILD_SA 交換をサポートしてもよい. 最小実装は CREATE_CHILD_SA または INFORMATIONAL 交換を発起できなくてもよい. SA がローカルに設定された生存期間または通過オクテット数に基づいて期限切れになった場合, 実装は CREATE_CHILD_SA 交換で更新を試みてもよいし, 古い SA を削除 (閉じ) して新規に作成してもよい. 応答側が NO_ADDITIONAL_SAS 通知で CREATE_CHILD_SA 要求を拒否した場合, 実装は代わりに古い SA を削除して新規作成できなければならない.

実装は一時 IP アドレスの要求またはその応答をサポートする必要はない. 実装がそのような要求の発行をサポートし, ポリシーが一時 IP アドレスの使用を要求する場合, IKE_AUTH 交換の最初のメッセージに, 少なくとも INTERNAL_IP4_ADDRESS または INTERNAL_IP6_ADDRESS 型のフィールドを含む CP (Configuration) ペイロードを含めなければならない. 他のフィールドはすべて任意である. 実装がそのような要求への応答をサポートする場合, IKE_AUTH 交換の最初のメッセージ内の CFG_REQUEST 型 CP ペイロードを解析し, INTERNAL_IP4_ADDRESS または INTERNAL_IP6_ADDRESS 型のフィールドを認識しなければならない. 適切なタイプのアドレスのリースをサポートする場合, 要求されたタイプのアドレスを含む CFG_REPLY 型の CP ペイロードを返さなければならない. 応答側は他の関連属性を含めてもよい.

実装を本仕様に適合と呼ぶには, 次を受け入れるよう構成できなければならない.

  • 1024 または 2048 ビット RSA 鍵を含みそれで署名された X.509 PKIX (Public Key Infrastructure using X.509) 証明書を用い, 渡す ID が ID_KEY_ID, ID_FQDN, ID_RFC822_ADDR, ID_DER_ASN1_DN のいずれかであること.

  • 渡す ID が ID_KEY_ID, ID_FQDN, ID_RFC822_ADDR のいずれかである共有鍵認証.

  • 応答側が PKIX 証明書で認証され, 発起側が共有鍵認証で認証されること.

最終更新