2.1. 目标/需求/问题描述 (Goals/Objectives/Requirements/Problem Description)

IPsec 旨在为 IPv4 和 IPv6 提供可互操作的、高质量的、基于密码学的安全性。提供的安全服务集包括访问控制 (access control)、无连接完整性 (connectionless integrity)、数据源认证 (data origin authentication)、重放检测和拒绝(部分序列完整性的一种形式)、机密性(通过加密)以及有限的流量流机密性 (limited traffic flow confidentiality)。这些服务在 IP 层提供,以标准方式为可能通过 IP 传输的所有协议(包括 IP 本身)提供保护。

IPsec 包括最小防火墙功能的规范,因为这是 IP 层访问控制的一个基本方面。实现可以自由提供更复杂的防火墙机制,并使用这些更复杂的机制来实现 IPsec 强制要求的功能。(请注意,如果 IPsec 实现对流量流施加了额外的防火墙约束,但无法根据本文档中定义并通过 IKEv2 协商的流量选择器 (traffic selector) 特性进行协商,则互操作性可能会受到影响。)IPsec 防火墙功能利用为所有 IPsec 流量提供的密码强制认证和完整性,提供比通过使用防火墙(无法访问 IPsec 内部参数)加单独的密码保护所能获得的更好的访问控制。

大多数安全服务通过使用两个流量安全协议提供:认证头 (Authentication Header, AH) 和封装安全载荷 (Encapsulating Security Payload, ESP),以及通过使用密码密钥管理过程和协议。在上下文中使用的 IPsec 协议集以及使用方式将由该上下文中的用户/管理员确定。IPsec 架构的目标是确保兼容的实现包括满足广泛用户群体的安全需求所需的服务和管理接口。

当 IPsec 被正确实现和部署时,它不应对不使用 IPsec 进行流量保护的用户、主机和其他互联网组件产生不利影响。IPsec 安全协议(AH 和 ESP,以及在较小程度上的 IKE)被设计为密码算法独立的 (cryptographic algorithm independent)。这种模块化允许根据需要选择不同的密码算法集,而不影响实现的其他部分。例如,如果需要,不同的用户社区可以选择不同的密码算法集(创建密码强制的小集团 (cryptographically-enforced cliques))。

为了促进全球互联网的互操作性,在 [Eas05] 中规定了与 AH 和 ESP 一起使用的一组默认密码算法,在 [Sch05] 中规定了一组 IKEv2 的强制实现算法。[Eas05] 和 [Sch05] 将定期更新以跟上计算和密码学的进展。通过在与 AH、ESP 和 IKEv2 规范分离的文档中指定这些算法,可以更新或替换这些算法而不影响 IPsec 文档套件其余部分的标准化进程。将这些密码算法与 IPsec 流量保护和密钥管理协议结合使用,旨在允许系统和应用程序开发人员部署高质量的互联网层密码安全技术。