8. 一致性要求
本节概述 IPsec implementation 的一致性要求. 实现 MUST 同时支持 IPv4 和 IPv6.
8.1. Security Policy Database (SPD)
所有 IPsec implementation MUST 拥有 SPD. SPD MUST 支持以下内容:
- 第 4.4.1.1 节定义的所有 selector
- transport 和 tunnel mode SA
- PROTECT, BYPASS 和 DISCARD processing action
- 用于处理重叠 selector 的有序 policy entry
8.2. Security Association Database (SAD)
所有 IPsec implementation MUST 拥有 SAD. SAD MUST 包含第 4.4.2.1 节规定的所有 data item, 包括:
- Security Parameter Index (SPI)
- Sequence number counter 和 anti-replay window
- AH 和/或 ESP algorithm parameter
- SA lifetime
- IPsec protocol mode (tunnel 或 transport)
8.3. Peer Authorization Database (PAD)
所有 IPsec implementation MUST 拥有 PAD. PAD MUST 支持:
- 通过 X.509 certificate 进行 authentication
- 通过 pre-shared secret 进行 authentication
- 第 4.4.3.1 节定义的所有 ID type
- 对 child SA 创建的约束
8.4. AH and ESP Support
- 所有 IPsec implementation MUST 支持 ESP
- 所有 IPsec implementation SHOULD 支持 AH
- ESP MUST 支持 NULL encryption, 并 MUST 支持 encryption algorithm
- ESP MUST 支持 integrity protection
- AH MUST 支持使用 mandatory algorithm 的 integrity protection
8.5. Tunnel 和 Transport Mode
- 所有 IPsec implementation MUST 同时支持 tunnel 和 transport mode
- Security gateway MUST 支持 tunnel mode
- Native host implementation MUST 支持 transport mode
8.6. Key Management
所有 IPsec implementation MUST 同时支持:
- Manual key management
- Automated key management (IKEv2 是默认值)
8.7. Traffic Selectors
所有实现 MUST 支持第 4.4.1.1 节定义的完整 selector 集合:
- Source 和 destination IP address (IPv4 和 IPv6)
- Next layer protocol
- Source 和 destination port (用于适用协议)
- ICMP message type 和 code
- Mobility Header type (IPv6)
- Name (用于 symbolic SPD lookup)