Skip to main content

8. 一致性要求 (Conformance Requirements)

本节概述了 IPsec 实现的一致性要求。实现必须 (MUST) 支持 IPv4 和 IPv6。

8.1. 安全策略数据库 (SPD)

所有 IPsec 实现必须 (MUST) 具有 SPD。SPD 必须 (MUST) 支持以下内容:

  • 第 4.4.1.1 节中定义的所有选择器
  • 传输模式和隧道模式 SA
  • PROTECT、BYPASS 和 DISCARD 处理操作
  • 有序策略条目以处理重叠选择器

8.2. 安全关联数据库 (SAD)

所有 IPsec 实现必须 (MUST) 具有 SAD。SAD 必须 (MUST) 包含第 4.4.2.1 节中指定的所有数据项,包括:

  • 安全参数索引 (SPI)
  • 序列号计数器和防重放窗口
  • AH 和/或 ESP 算法参数
  • SA 生命周期
  • IPsec 协议模式(隧道或传输)

8.3. 对等授权数据库 (PAD)

所有 IPsec 实现必须 (MUST) 具有 PAD。PAD 必须 (MUST) 支持:

  • 通过 X.509 证书进行认证
  • 通过预共享密钥进行认证
  • 第 4.4.3.1 节中定义的所有 ID 类型
  • 对子 SA 创建的约束

8.4. AH 和 ESP 支持

  • 所有 IPsec 实现必须 (MUST) 支持 ESP
  • 所有 IPsec 实现应该 (SHOULD) 支持 AH
  • ESP 必须 (MUST) 支持空加密并且必须 (MUST) 支持加密算法
  • ESP 必须 (MUST) 支持完整性保护
  • AH 必须 (MUST) 使用强制算法支持完整性保护

8.5. 隧道和传输模式

  • 所有 IPsec 实现必须 (MUST) 支持隧道模式和传输模式
  • 安全网关必须 (MUST) 支持隧道模式
  • 本地主机实现必须 (MUST) 支持传输模式

8.6. 密钥管理

所有 IPsec 实现必须 (MUST) 支持:

  • 手动密钥管理
  • 自动密钥管理(IKEv2 是默认值)

8.7. 流量选择器

所有实现必须 (MUST) 支持第 4.4.1.1 节中定义的完整选择器集:

  • 源和目标 IP 地址(IPv4 和 IPv6)
  • 下一层协议
  • 源和目标端口(适用于相关协议)
  • ICMP 消息类型和代码
  • 移动性头类型(IPv6)
  • 名称(用于符号 SPD 查找)
Last updated on