IPsec包含三个功能领域:认证、保密和密钥管理。这个是IPsec规范是由数十个RFC文档和IETF草案文档组成的,这使得掌握所有的IETF规范显得非常复杂和困难。
掌握IPsec的最好方法是查阅最新版本的IPsec文档目录,所有的IPsec文档可以划分为如下几类:
1、体系结构
包括IPsec的一般概念、安全需求、定义和机制。当前的规定是RFC 4301,Security Architecture for the Internet Protocol。
链接:https://datatracker.ietf.org/doc/rfc4301/
2、认证头(AH)
AH是一个用于提供消息认证的扩展头。当前的规范是RFC 4302,IP Authentication Header。由于消息认证是由ESP提供的,所以AH的使用是透明的。这是在IPsecv3中用来保证后向兼容性的并且无法在新的应用中使用。
链接:https://datatracker.ietf.org/doc/rfc4302/
3、封装安全性有效载荷(ESP) ESP包含了一个封装的头和尾用来提供加密或机密和认证的结合。当前的规范是RFC 4303,IP Encapsulating Security Payload (ESP).
链接:https://datatracker.ietf.org/doc/rfc4303/
4、因特网密钥交换(IKE) 这是描述用于IPsec中的密钥交换方案的文档集合。主要的规范是RFC 7296, Internet Key Exchange (IKEv2) Protocol, 而且还有大量相关的RFC文档。这个文档已经由多版的更新内容了,具体可以看下面的update文档。
链接:https://datatracker.ietf.org/doc/rfc7296/
5、密码算法 这一类中是大量定义和描述用于加密、消息认证、伪随机函数(PRF)和密钥交换的密码算法文档。RFC 4038定义了两个密码套件用于建立虚拟专用网。
链接:https://datatracker.ietf.org/doc/rfc4038/
6、其他 是其他与IPsec相关的RFC文档,包含那些处理安全策略和管理信息库(MIB)内容。
本文的内容来自《密码编码学与网络安全-----原理与实践(第七版)》P460-P461.