«Введение в IP-безопасность (IPsec) обеспечивает конфиденциальность@ целостность данных@ контроль доступа@ и аутентификацию источника данных для IP-дейтаграмм. Эти услуги предоставляются путем поддержания общего состояния между источником и приемником IP-дейтаграммы. Это состояние определяет@ среди прочего @ конкретные услуги, предоставляемые дейтаграмме@ какие криптографические алгоритмы будут использоваться для предоставления услуг@ и ключи, используемые в качестве входных данных для криптографических алгоритмов. Установление этого общего состояния вручную не очень хорошо масштабируется. Поэтому @ протокол для установления это состояние необходимо динамически. В этом документе описан такой протокол — Интернет-обмен ключами (IKE). Версия 1 IKE была определена в RFC 2407 [DOI]@, 2408 [ISAKMP]@ и 2409 [IKEV1]. IKEv2 заменил все IKEv2 был определен в [IKEV2] (RFC 4306) и разъяснен в [Clarif] (RFC 4718). Этот документ заменяет и обновляет RFC 4306 и RFC 4718. IKEv2 представлял собой изменение протокола IKE, которое не имело обратной совместимости. . Напротив, текущий документ не только дает разъяснения по IKEv2@, но и вносит минимальные изменения в протокол IKE. Список существенных отличий между RFC 4306 и данным документом приведен в разделе 1.7. IKE выполняет взаимную аутентификацию между двумя сторонами и устанавливает ассоциацию безопасности IKE (SA), которая включает общую секретную информацию, которую можно использовать для эффективного установления SA для инкапсуляции полезной нагрузки безопасности (ESP) [ESP] или заголовка аутентификации (AH) [AH] и набор криптографических алгоритмов, которые будут использоваться SA для защиты передаваемого ими трафика. В этом документе термин «пакет» или «криптографический набор» относится к полному набору алгоритмов, используемых для защиты SA. Инициатор предлагает один или несколько наборов, перечисляя поддерживаемые алгоритмы, которые можно объединять в наборы по принципу «смешивать и сопоставлять». IKE также может согласовывать использование IP-сжатия (IPComp) [IP-COMP] в сочетании с ESP или AH SA. SA для ESP или AH, которые настраиваются через IKE SA, мы называем «дочерними SA». Все коммуникации IKE состоят из пар сообщений: запроса и ответа. Пара называется "обменом"@ и иногда называется "парой ответа на запрос"". Первый обмен сообщениями, устанавливающий IKE SA, называется обменами IKE_SA_INIT и IKE_AUTH; последующие обмены IKE называются обменами CREATE_CHILD_SA или INFORMATIONAL. В обычном случае @ существует один обмен IKE_SA_INIT и один обмен IKE_AUTH (всего четыре сообщения) для установления IKE SA и первого дочернего SA. В исключительных случаях каждого из этих обменов может быть более одного. Во всех случаях@ все обмены IKE_SA_INIT ДОЛЖНЫ завершиться до любого другого типа обмена@, затем все обмены IKE_AUTH ДОЛЖНЫ завершить@ и после этого@ любое количество обменов CREATE_CHILD_SA и INFORMATIONAL может происходить в любом порядке. В некоторых сценариях между конечными точками IPsec@ требуется только одна дочерняя SA, и поэтому дополнительных обменов не будет. Последующие обмены МОГУТ использоваться для установления дополнительных дочерних SA между той же парой аутентифицированных конечных точек и для выполнения служебных функций».
RFC 5996-2010 История
2010RFC 5996-2010 Протокол обмена ключами в Интернете версии 2 (IKEv2) (устарело: 4306@4718)