分享
 
 
 

IP安全文件指南

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

备忘录的状态:

本备忘录提供因特网组织的信息。它不规定国际互连网标准的的任何种类.本备忘录的分

发是无限制的.

著作权申明:

著作权属于因特网组织(1999)。所有相关权利均被保留。

摘要:

IPsec协议族被用于在IP层提供保密和认证服务.一些文档被用于描述该协议族.描述

Ipsec协议的不同的文档的相护关系和结构在这里将被讨论.本文将描述在哪一个文档中可

以查找到的内容的说明和包含在新加密算法和认证算法文档的内容。

目录:

1.介绍 2

2.IPsec文档的相护关系 2

3.密匙材料 3

4.算法文档的推荐内容 4

4.1加密和认证算法 4

4.2加密算法 5

4.3认证算法 5

5.安全性考虑 6

6.声明: 6

7.参考资料 6

8.作者地址 7

9.全部版权声明 8

1.介绍

这份文件想为发展描述新加密和认证算法在ESP(封装安全载荷)协议(描述在[ESP]

中)和在AH(认证头)协议(描述在[AH]中)中的使用的规范提供指导方针。ESP和AH是

IP安全体系结构的一部分(描述在[Arch]中).不仅当初始文件集正在开发时而且在基础

文档成为RFC后,都存在众所周知的能被用于在ESP和AH中加入新的加密算法或认证算法

的过程的要求,。下列指导方针将讨论简化增加新算法和减少冗余文档的数量.

在写一个新加密算法或认证算法文档的过程中目标应专注于专用的算法在ESP和AH中的

应用.通用的ESP和AH概念,定义,和论点均被包括在ESP和AH文档中.这些算法自身未被

描述在这些文档中.这给了我们增加新算法并说明任一给定算法和其他的算法互相影响的能

力.意图是达到避免信息的重复和大量的文档(所谓的"草稿展开"影响)的目标.

2.IPsec文档的相护关系

文档描述IPsec协议集被分为七组.这在图1中有说明.有覆盖了通用的概念,安全性要求,

定义,和定义IPsec技术的机制的主要体系结构文件.

ESP协议文件和AH协议文件包括了数据包格式和通用的关于各自的协议的主题.

假如适当,这些协议文档也包含缺省值,比如默认填充目录,和实现算法的命令.这些文档

指出了在解释域文件[DOI]中的一些值.

注重DOI文件本身是IANA赋值编号机制的一部分,因此这些描述在DOI中的值是众所

周知的.如需要该机制的更多信息,请参见[DOI]文档.

加密算法文档集被显示在图1的左边,是描述各种加密算法如何为ESP使用的文档集.这

些文档想适合指南,并且将避免和ESP协议文件和AH协议文件相重复.[DES-Detroit]和[CBC]

文档是这些文档的例子.当这些或其他的加密算法被使用为ESP时,DOI文件不得不指示确定

的值,如加密算法标识符,因此这些文档为DOI提供输入.

认证算法文档集被显示在图1的右边,是描述各种认证算法如何为ESP和AH使用的文档

集.这些文档想适合指南,并且避免和ESP协议文件和AH协议文件相重复.[HMAC-MD5]和

[HMAC-SHA-1]文档是这些文档的例子.当这些或其他的算法被使用为ESP或AH时,DOI文件

不得不指示确定的值,如算法类型,因此这些文档为DOI提供输入.

密匙治理文档被显示在图1的底部,是描述IETF标准跟踪密匙治理计划的文档.这些文档

也提供DOI的确定的值.注重密匙治理的主题应该在此处指出而不在此处描述,例如:ESP和

AH协议文件.

DOI文件被显示在图1的中间,包含了其他文件彼此联系所需要的值.这些值包括加密算法,

认证算法,和可选参数如密匙生存时间.

+--------------+

Architecture

+--------------+

vv

+<-<-<-<-++->->->->+

vv

+----------++----------+

ESPAH

ProtocolProtocol

+----------++----------+

vvvv

v+->->->->->->->->+vv

vvvvv

vvvvv

v+------------++----------------+v

v+------------++----------------+v

vEncryptionAuthenticationv

v+-Algorithm+-Algorithmv

v+------------++----------------+v

vvvv

vv+-----+vv

+>->->->-+->->->->DOI<-<-<-<-+-<-<-<-<-+

+-----+

^

+------------+

KEY

MANAGEMENT

+------------+

图1.IPsec文档指南.

3.密匙材料

在不同文档中描述加密和认证算法提高了这一问题,密匙治理协议如何知道当和ESP一

起使用时所要求的密匙材料的长度.它也提高了如何分配密匙材料的问题.这就是所谓的"薄

片和切片"信息.

每个加密算法和认证算法文件将明确记载他们的各自的密匙属性(如:如何填充,奇偶位

的位置,多密匙算法的密匙顺序和长度).密匙治理协议将使用各自的算法文档指明的密匙长

度生成要求长度的密匙材料.

密匙治理协议生成足够健壮和足够大小的密匙材料以为单独的算法生成密匙.IPsec体系结

构文件指明了当要求多个密匙时密匙是如何从密匙材料的一个单独的块中抽取出来的(如使

用认证的ESP).加密算法和认证算法文档负责为每个算法指定密匙的大小和健壮性.无论如

何,无论整个密匙材料被传给内核以执行分割,还是被密匙治理协议分割,是一个实现上的问

题.AH协议文件没有这样的要求.

4.算法文档的推荐内容

这些文档描述了一个特定的加密或认证算法如何被使用以包含适用于该算法的信息.本

节列举了将被提供的信息.本文档指南的意图是:

.通用的协议信息进入各自的ESP或AH协议文档.

.密匙治理信息进入密匙治理文档.

.被分配的值和可协商项的常量进入DOI文档.

加密和认证算法要求一些可选参数的集合或可选模式的操作(如:IVs,认证数据长度,和

密匙长度).为了帮助消除一些相关的密匙治理不得不协商大量的算法-特定的参数的复杂度,

当被认为技术上合理和可行的时,加密或认证算法文档将为这些参数选择固定的值.

注重,以下信息只能作为通用的指导:

4.1加密和认证算法

本节描述了同时包括在加密算法和认证算法文档中的信息.

密匙材料

.密匙的大小,包括最小值,最大值,推荐值和/或要求大小.注重:安全性考虑节应为任何

弱点指明特定的大小.

.被推荐或被要求的伪随机数字发生器的方法和属性提供足够强大的密匙.[RANDOM]文

档为产生健壮的随机数以供安全使用提供推荐.

.密匙材料的格式

.已知弱密匙或关于已知弱密匙的参考文档.

.推荐或要求的输入密匙材料的过程,奇偶校验的产生或检查.

.关于密匙材料被更新的频率的要求和/或推荐

性能考虑

.任何对执行这一算法的可用评估.

.任何可用的对比数据(如:比较DES或MD5).

.输入数据大小或其他能改进或退化执行的考虑.

ESP环境考虑

.任何已知的关于算法和ESP的其他方面相互作用的问题,如确定的认证计划的使用.

注重:作为被用于ESP的新加密和认证算法,稍后的文档将被要求指明与以前的特

定算法的相互作用.

负载内容和格式描述

.指明大小,位置,和没有在ESP或AH协议文档(如.IV)中定义的算法-特有的域的内容.

安全性考虑

.讨论任何已知的攻击.

.讨论任何已知的普通执行的缺陷,如使用弱随机数字发生器.

.讨论任何相关的确认程序,如测试向量.[RFC-2202]是包括了一套认证算法的测试向量

的例子文档.

4.2加密算法

本节描述了包括在加密算法文档中的信息.

加密算法描述:

.关于加密算法被用于ESP的通常信息.

.背景材料的描述和形式算法的描述.

.被ESP使用的加密算法的特点,包括加密和/或认证.

.提及所有实用性问题,如知识产权的所有权考虑.

.在IEIF模式中,背景材料的参考资料,如FIPS文档.

算法方式的操作

.关于算法是如何被操作的,算法是块模式,流模式或其他模式的描述.

.关于输入或输出块格式的要求.

.该算法的填充要求.注重:在基本ESP文档中已指明了默认的填充,因此在这里只需

指明是否能使用默认的填充.

.任何特定算法的操作参数,如巡回的次数.

.区分可选参数和可选操作模式和挑选合理的固定值和清楚的技术解释.

.区分这些可选参数在那些值和方法下将保持有清楚的技术解释的可选性,为什么固

定值和方法不能使用.

.不能确定的算法-特有的可选参数的默认范围和指定范围.

4.3认证算法

本节描述了包括在认证算法文档中的信息.在大多数情况下,不管它被用于ESP还是AH,一个

认证算法执行相同的操作.这被表示在一个单独的认证算法文档中.

认证算法的描述

.关于认证算法被用于ESP和AH的通常信息.

.背景材料的描述和形式算法的描述.

.该认证算法的特点.

.提及所有实用性问题,如知识产权的所有权考虑.

.在IEIF模式中,背景材料的参考资料(如FIPS文档)和关于潜在算法的权威描述.

算法方式的操作

.关于算法是如何被操作的描述.

.算法-特有的操作参数,如:巡回的次数,输入或输出的块格式.

.暗示和指明的该算法的填充要求.注重:在AH协议文档中指明了的认证数据域有默认

的填充方法.因此在这里只需指明是否能使用默认的填充.

.区分可选参数和可选操作模式和挑选合理的固定值和清楚的技术解释.

.区分这些可选参数在那些值和方法下将保持有清楚的技术解释的可选性,为什么固

定值和方法不能使用.

.不能确定的算法-特有的可选参数的默认范围和指定范围.

.该算法的认证数据的比较标准.注重:在AH协议文档中已经指明了一种校验认证数

据的默认方法.因此在这里只需指明是否能使用默认(如:当使用一个带符号的哈

希时).

5.安全性考虑

本文档为写作加密和认证算法文件提供了指南和指导方针.读者应遵从在Ipsec体系结

构,ESP协议,AH协议,加密算法和认证算法文档中描述的所有安全过程和指导方针.注重:许

多加密算法假如不与某些认证机制一起使用不被认为是安全的。

6.声明:

在写本文档时参考了几篇因特网草稿.依靠于这些文档在IETF标准途径的位置,这些文档

也许不在IETFRFC的仓库内了.在某些情况下,读者也许会想知道这些参考文档的版本.这些

文档是:

.DES-Detroit:thisistheANXWorkshopstyleofESP,basedonthe

HughesdraftasmodifiedbyCherylMadsonandpublishedontheANX

mailinglist.

.DOI:draft-ietf-ipsec-ipsec-doi-02.txt.

.3DES:thisis<theTriple-DESshimdocument>.

.CAST:thisisdraft-ietf-ipsec-esp-cast-128-cbc-00.txt,asrevised

torelatetothisdocument.

.ESP:draft-ietf-ipsec-esp-04.txt,mailedtotheIETFmailinglist

inMay/June1997.

.AH:draft-ietf-ipsec-auth-05.txt,mailedtotheIETFmailinglist

inMay/June1997.

.HUGHES:thisisdraft-ietf-ipsec-esp-des-md5-03.txt

.ISAKMP:TherearethreedocumentsdescribingISAKMP.Theseare

draft-ietf-ipsec-isakmp-07.txt,draft-ietf-ipsec-isakmp-oakley-

03.txt,anddraft-ietf-ipsec-ipsec-doi-02.txt.

7.参考资料

[CBC]Periera,R.,andR.Adams,"TheESPCBC-ModeCipher

Algorithms",RFC2451,November1998.

[Arch]Kent,S.,andR.Atkinson,"SecurityArchitecturefor

theInternetProtocol",RFC2401,November1998.

[DES-Detroit]Madson,C.,andN.Doraswamy,"TheESPDES-CBCCipher

AlgorithmWithEXPlicitIV",RFC2405,November1998.

[DOI]Piper,D.,"TheInternetIPSecurityDomainof

InterpretationforISAKMP",RFC2407,November1998.

[AH]Kent,S.,andR.Atkinson,"IPAuthenticationHeader",

RFC2402,November1998.

[ESP]Kent,S.,andR.Atkinson,"IPEncapsulatingSecurity

Payload(ESP)",RFC2406,November1998.

[HMAC]Krawczyk,K.,Bellare,M.,andR.Canetti,"HMAC:

Keyed-HashingforMessageAuthentication",RFC2104,

February1997.

[HMAC-MD5]Madson,C.,andR.Glenn,"TheUseofHMAC-MD5within

ESPandAH",RFC2403,November1998.

[HMAC-SHA-1]Madson,C.,andR.Glenn,"TheUseofHMAC-SHA-1within

ESPandAH",RFC2404,November1998.

[RANDOM]Eastlake,D.,Crocker,S.,andJ.Schiller,"Randomness

RecommendationsforSecurity",RFC1750,December1994.

[RFC-2202]Cheng,P.,andR.Glenn,"TestCasesforHMAC-MD5and

HMAC-SHA-1",RFC2202,March1997.

8.作者地址

RodneyThayer

SableTechnologyCorporation

246WalnutStreet

Newton,Massachusetts02160

EMail:mailto:rodney@sabletech.com

NaganandDoraswamy

BayNetworks

EMail:naganand@baynetworks.com

RobGlenn

NIST

EMail:rob.glenn@nist.gov

9.全部版权声明

Copyright(C)TheInternetSociety(1998).AllRightsReserved.

Thisdocumentandtranslationsofitmaybecopiedandfurnishedto

others,andderivativeworksthatcommentonorotherwiseexplainit

orassistinitsimplementationmaybeprepared,copied,published

anddistributed,inwholeorinpart,withoutrestrictionofany

kind,providedthattheabovecopyrightnoticeandthisparagraphare

includedonallsUChcopiesandderivativeworks.However,this

documentitselfmaynotbemodifiedinanyway,suchasbyremoving

thecopyrightnoticeorreferencestotheInternetSocietyorother

Internetorganizations,exceptasneededforthepurposeof

developingInternetstandardsinwhichcasetheproceduresfor

copyrightsdefinedintheInternetStandardsprocessmustbe

followed,orasrequiredtotranslateitintolanguagesotherthan

English.

Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe

revokedbytheInternetSocietyoritssuccessorsorassigns.

Thisdocumentandtheinformationcontainedhereinisprovidedonan

"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING

TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING

BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION

HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF

MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有