跳到主要内容

8. 一致性要求

本节概述 IPsec implementation 的一致性要求. 实现 MUST 同时支持 IPv4 和 IPv6.

8.1. Security Policy Database (SPD)

所有 IPsec implementation MUST 拥有 SPD. SPD MUST 支持以下内容:

  • 第 4.4.1.1 节定义的所有 selector
  • transport 和 tunnel mode SA
  • PROTECT, BYPASS 和 DISCARD processing action
  • 用于处理重叠 selector 的有序 policy entry

8.2. Security Association Database (SAD)

所有 IPsec implementation MUST 拥有 SAD. SAD MUST 包含第 4.4.2.1 节规定的所有 data item, 包括:

  • Security Parameter Index (SPI)
  • Sequence number counter 和 anti-replay window
  • AH 和/或 ESP algorithm parameter
  • SA lifetime
  • IPsec protocol mode (tunnel 或 transport)

8.3. Peer Authorization Database (PAD)

所有 IPsec implementation MUST 拥有 PAD. PAD MUST 支持:

  • 通过 X.509 certificate 进行 authentication
  • 通过 pre-shared secret 进行 authentication
  • 第 4.4.3.1 节定义的所有 ID type
  • 对 child SA 创建的约束

8.4. AH and ESP Support

  • 所有 IPsec implementation MUST 支持 ESP
  • 所有 IPsec implementation SHOULD 支持 AH
  • ESP MUST 支持 NULL encryption, 并 MUST 支持 encryption algorithm
  • ESP MUST 支持 integrity protection
  • AH MUST 支持使用 mandatory algorithm 的 integrity protection

8.5. Tunnel 和 Transport Mode

  • 所有 IPsec implementation MUST 同时支持 tunnel 和 transport mode
  • Security gateway MUST 支持 tunnel mode
  • Native host implementation MUST 支持 transport mode

8.6. Key Management

所有 IPsec implementation MUST 同时支持:

  • Manual key management
  • Automated key management (IKEv2 是默认值)

8.7. Traffic Selectors

所有实现 MUST 支持第 4.4.1.1 节定义的完整 selector 集合:

  • Source 和 destination IP address (IPv4 和 IPv6)
  • Next layer protocol
  • Source 和 destination port (用于适用协议)
  • ICMP message type 和 code
  • Mobility Header type (IPv6)
  • Name (用于 symbolic SPD lookup)