A Childless Initiation of the Internet Key Exchange Version 2 (IKEv2) Security Association (SA)
本文档描述了 Internet 密钥交换版本 2 (IKEv2) 协议的扩展,该协议允许在不生成子 SA 的情况下创建和验证 IKEv2 安全关联 (SA)。
1. 介绍
[RFC5996] 中规定的 IKEv2 要求 IKE_AUTH 交换尝试与 IKEv2 SA 一起创建子 SA。此要求有时不方便或多余,因为某些实现只需要使用 IKEv2 进行身份验证,而其他实现则希望在有任何实际流量需要保护之前设置 IKEv2 SA。本文档中描述的扩展允许创建 IKEv2 SA,而无需尝试创建子 SA。术语 IKEv2、IKEv2 SA 和 Child SA 以及各种 IKEv2 交换在 [RFC5996] 中定义
没有任何子 SA 的 IKEv2 SA 并非徒劳无功。即使没有子 SA,IKEv2 SA 也允许:
o 通过活动检查检查对等方的活动状态。
o 无需公钥操作和用户交互即可快速设置子 SA。
o 对等方的认证。
o 检测 Internet 上两台主机之间的 NAT 。
2. 使用场景
几个场景激发了这个提议:
o 交互式远程访问 VPN:用户告诉客户端“连接”,这可能涉及交互式身份验证。仍然没有流量,但有些