1. 简介 (Introduction)
本文档规定了符合 IPsec 标准的系统的基础架构。它描述了如何在 IPv4 [Pos81a] 和 IPv6 [DH98] 环境中为 IP 层的流量提供一组安全服务。本文档描述了实现 IPsec 的系统的要求、此类系统的基本要素,以及这些要素如何组合在一起并融入 IP 环境。它还描述了 IPsec 协议提供的安全服务,以及如何在 IP 环境中使用这些服务。本文档并未涉及 IPsec 架构的所有方面。其他文档在专门环境中描述了额外的架构细节,例如,在网络地址转换 (NAT) 环境中使用 IPsec 以及对 IP 多播的更全面支持。IPsec 安全架构的基本组件根据其底层的必需功能进行讨论。其他 RFC(参见 1.3 节中指向其他文档的指针)定义了 (a)、(c) 和 (d) 中的协议。
- a. 安全协议 (Security Protocols) -- 认证头 (Authentication Header, AH) 和封装安全载荷 (Encapsulating Security Payload, ESP)
- b. 安全关联 (Security Associations) -- 它们是什么以及如何工作、如何管理、相关处理
- c. 密钥管理 (Key Management) -- 手动和自动(互联网密钥交换 (Internet Key Exchange, IKE))
- d. 用于认证和加密的密码算法 (Cryptographic algorithms)
本文档不是互联网的安全架构; 它仅通过使用密码和协议安全机制的组合来解决 IP 层的安全问题。
拼写"IPsec"是首选的,并在本文档和所有相关的 IPsec 标准中使用。IPsec 的所有其他大写形式(例如,IPSEC、IPSec、ipsec)都已弃用。然而,字母序列"IPsec"的任何大写形式都应理解为指 IPsec 协议。
关键词 MUST、MUST NOT、REQUIRED、SHALL、SHALL NOT、SHOULD、SHOULD NOT、RECOMMENDED、MAY 和 OPTIONAL 在本文档中出现时,应按照 RFC 2119 [Bra97] 中的描述进行解释。