4.4.3.2. IKE 对等认证数据 (IKE Peer Authentication Data)
一旦基于 ID 字段匹配的 PAD 有序搜索定位到条目,就需要验证断言的身份,即认证断言的 ID。对于每个 PAD 条目,都有要执行的认证类型的指示。
必需的认证数据类型
本文档要求支持两种必需的认证数据类型:
- X.509 证书
- 预共享密钥
X.509 证书认证
对于基于 X.509 证书的认证,PAD 条目包含一个信任锚点,通过该信任锚点必须能够直接或通过证书路径验证对等方的终端实体 (EE) 证书。有关信任锚点的定义,请参见 RFC 3280。
与基于证书的认证一起使用的条目可以 (MAY) 包含其他数据以促进证书吊销状态,例如:
- 适当的 OCSP 响应程序或 CRL 存储库列表
- 相关的认证数据
预共享密钥认证
对于基于预共享密钥的认证,PAD 包含 IKE 要使用的预共享密钥。
IKE ID 和证书字段匹配
本文档不要求对等方断言的 IKE ID 在语法上与用于认证该对等方身份的终端实体证书中的特定字段相关。但是,通常适合施加这样的要求,例如,当单个条目表示一组对等方时,每个对等方可能具有不同的 SPD 条目。
实现要求:因此,实现必须 (MUST) 为管理员提供一种方法来要求断言的 IKE ID 与证书中的主题名称或主题备用名称之间的匹配。
- 前者适用于表示为识别名称的 IKE ID
- 后者适用于 DNS 名称、RFC 822 电子邮件地址和 IP 地址
- 由于 KEY ID 旨在识别通过预共享密钥认证的对等方,因此不需要将此 ID 类型与证书字段匹配
参考文献
有关 IKE 如何使用证书或预共享密钥执行对等认证的详细信息,请参见 IKEv1 [HarCar98] 和 IKEv2 [Kau05]。
本文档不强制要求支持任何其他认证方法,尽管可以 (MAY) 使用此类方法。