RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2, 互联网密钥交换协议版本 2)

• 状态: Proposed Standard
• 发布日期: September 2010
• Stream: IETF
• 废弃了: RFC4306, RFC4718
• 被废弃: RFC7296
• 勘误: 无勘误

---

Abstract (摘要)

本文档描述了互联网密钥交换 (Internet Key Exchange, IKE) 协议的版本 2。IKE 是 IPsec 的一个组件, 用于执行相互认证以及建立和维护安全关联 (Security Associations, SAs)。本文档替换并更新了 RFC 4306, 并包含了 RFC 4718 中的所有澄清内容。

Contents (目录)

• 1. Introduction (简介)
  • 1.1. Usage Scenarios (使用场景)
    • 1.1.1. Security Gateway to Security Gateway in Tunnel Mode (隧道模式下的安全网关到安全网关)
    • 1.1.2. Endpoint-to-Endpoint Transport Mode (端点到端点传输模式)
    • 1.1.3. Endpoint to Security Gateway in Tunnel Mode (隧道模式下的端点到安全网关)
    • 1.1.4. Other Scenarios (其他场景)
  • 1.2. The Initial Exchanges (初始交换)
  • 1.3. The CREATE_CHILD_SA Exchange (CREATE_CHILD_SA 交换)
    • 1.3.1. Creating New Child SAs (创建新的子 SA)
    • 1.3.2. Rekeying IKE SAs (重新生成 IKE SA 密钥)
    • 1.3.3. Rekeying Child SAs (重新生成子 SA 密钥)
  • 1.4. The INFORMATIONAL Exchange (INFORMATIONAL 交换)
    • 1.4.1. Deleting an SA (删除 SA)
  • 1.5. Informational Messages outside of an IKE SA (IKE SA 外的信息消息)
  • 1.6. Requirements Terminology (需求术语)
  • 1.7. Significant Differences from RFC 4306 (与 RFC 4306 的重大差异)
• 2. IKE Protocol Details and Variations (IKE 协议细节与变体)
  • 2.1. Use of Retransmission Timers (重传定时器的使用)
  • 2.2. Use of Sequence Numbers for Message ID (消息 ID 的序列号使用)
  • 2.3. Window Size for Overlapping Requests (重叠请求的窗口大小)
  • 2.4. State Synchronization and Connection Timeouts (状态同步与连接超时)
  • 2.5. Version Numbers and Forward Compatibility (版本号与向前兼容性)
  • 2.6. IKE SA SPIs and Cookies (IKE SA SPI 与 Cookie)
  • 2.7. Cryptographic Algorithm Negotiation (加密算法协商)
  • 2.8. Rekeying (密钥重生成)
  • 2.9. Traffic Selector Negotiation (流量选择器协商)
  • 2.10. Nonces (随机数)
  • 2.11. Address and Port Agility (地址与端口敏捷性)
  • 2.12. Reuse of Diffie-Hellman Exponentials (Diffie-Hellman 指数的重用)
  • 2.13. Generating Keying Material (生成密钥材料)
  • 2.14. Generating Keying Material for the IKE SA (为 IKE SA 生成密钥材料)
  • 2.15. Authentication of the IKE SA (IKE SA 的认证)
  • 2.16. Extensible Authentication Protocol Methods (可扩展认证协议方法)
  • 2.17. Generating Keying Material for Child SAs (为子 SA 生成密钥材料)
  • 2.18. Rekeying IKE SAs Using CREATE_CHILD_SA (使用 CREATE_CHILD_SA 重新生成 IKE SA 密钥)
  • 2.19. Requesting an Internal Address (请求内部地址)
  • 2.20. Requesting the Peer's Version (请求对等方版本)
  • 2.21. Error Handling (错误处理)
  • 2.22. IPComp (IP 压缩)
  • 2.23. NAT Traversal (NAT 穿越)
  • 2.24. Explicit Congestion Notification (显式拥塞通知)
  • 2.25. Exchange Collisions (交换冲突)
• 3. Header and Payload Formats (头部与载荷格式)
  • 3.1. The IKE Header (IKE 头部)
  • 3.2. Generic Payload Header (通用载荷头部)
  • 3.3. Security Association Payload (安全关联载荷)
  • 3.4. Key Exchange Payload (密钥交换载荷)
  • 3.5. Identification Payloads (标识载荷)
  • 3.6. Certificate Payload (证书载荷)
  • 3.7. Certificate Request Payload (证书请求载荷)
  • 3.8. Authentication Payload (认证载荷)
  • 3.9. Nonce Payload (随机数载荷)
  • 3.10. Notify Payload (通知载荷)
  • 3.11. Delete Payload (删除载荷)
  • 3.12. Vendor ID Payload (厂商 ID 载荷)
  • 3.13. Traffic Selector Payload (流量选择器载荷)
  • 3.14. Encrypted Payload (加密载荷)
  • 3.15. Configuration Payload (配置载荷)
  • 3.16. Extensible Authentication Protocol Payload (可扩展认证协议载荷)
• 4. Conformance Requirements (符合性要求)
• 5. Security Considerations (安全考虑)
  • 5.1. Traffic Selector Authorization (流量选择器授权)
• 6. IANA Considerations (IANA 考虑)
• 7. Acknowledgements (致谢)
• 8. References (参考文献)
  • 8.1. Normative References (规范性参考文献)
  • 8.2. Informative References (信息性参考文献)
• Appendix A. Summary of Changes from IKEv1 (附录 A. IKEv1 的变更摘要)
• Appendix B. Diffie-Hellman Groups (附录 B. Diffie-Hellman 组)
• Appendix C. Exchanges and Payloads (附录 C. 交换与载荷)

Copyright Notice (版权声明)

Copyright (c) 2010 IETF Trust 及被标识为文档作者的人员。保留所有权利。

本文档受 BCP 78 和在本文档发布之日生效的 IETF Trust 关于 IETF 文档的法律规定 (http://trustee.ietf.org/license-info) 的约束。请仔细阅读这些文档, 因为它们描述了您对本文档的权利和限制。