RFC2411 IP安全文件指南

发表于 5年以前  | 总阅读数:519 次
组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
译者:NETBUS(NETBUS lfong@263.net)
发布时间:2001-6-21
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须
保留本文档的翻译及版权信息。

Network  Working Group                                        R. Thayer
Request for Comments: 2411                 Sable Technology Corporation
Category: Informational                                    N. Doraswamy
                                                           Bay Networks
                                                               R. Glenn
                                                                   NIST
                                                          November 1998

                               IP安全文件指南
       (IP Security Document Roadmap)


备忘录的状态:
   本备忘录提供因特网组织的信息。它不规定国际互连网标准的的任何种类.本备忘录的分
发是无限制的.

著作权申明:
  著作权属于因特网组织(1999)。所有相关权利均被保留。

摘要:
   IPsec协议族被用于在 IP层提供保密和认证服务.一些文档被用于描述该协议族.描述 
Ipsec 协议的不同的文档的相护关系和结构在这里将被讨论.本文将描述在哪一个文档中可
以查找到的内容的说明和包含在新加密算法和认证算法文档的内容。
目录:
1. 介绍	2
2. IPsec文档的相护关系	2
3. 密匙材料	3
4. 算法文档的推荐内容	4
4.1 加密和认证算法	4
4.2 加密算法	5
4.3 认证算法	5
5. 安全性考虑	6
6. 声明:	6
7. 参考资料	6
8. 作者地址	7
9.  全部版权声明	8

1. 介绍
这份文件想为发展描述新加密和认证算法在 ESP(封装安全载荷)协议(描述在 [ESP]
中)和在AH(认证头)协议(描述在 [AH]中)中的使用的规范提供指导方针。ESP和 AH是 
IP安全体系结构的一部分(描述在 [Arch]中). 不仅当初始文件集正在开发时而且在基础
文档 成为RFC后,都存在众所周知的能被用于在ESP和 AH中加入新的加密算法或认证算法
的过程的要求,。下列指导方针将讨论简化增加新算法和减少冗余文档的数量 .
   在写一个新加密算法或认证算法文档的过程中目标应专注于专用的算法在ESP和 AH中的
应用.通用的 ESP和 AH概念,定义,和论点均被包括在 ESP和 AH文档中.这些算法自身未被
描述在这些文档中.这给了我们增加新算法并说明任一给定算法和其他的算法互相影响的能
力.意图是达到避免信息的重复和大量的文档(所谓的"草稿展开"影响)的目标.
2. IPsec文档的相护关系
   文档描述 IPsec协议集被分为七组.这在图1中有说明.有覆盖了通用的概念,安全性要求,
定义,和定义 IPsec技术的机制的主要体系结构文件.
   ESP协议文件和 AH协议文件包括了数据包格式和通用的关于各自的协议的主题.
   如果适当,这些协议文档也包含缺省值,比如默认填充目录,和实现算法的命令.这些文档
指出了在解释域文件 [DOI]中的一些值.
   注意 DOI文件本身是 IANA赋值编号机制的一部分,因此这些描述在 DOI中的值是众所
周知的.如需要该机制的更多信息,请参见[DOI]文档.
   加密算法文档集被显示在图1的左边,是描述各种加密算法如何为ESP使用的文档集.这
些文档想适合指南,并且将避免和 ESP协议文件和AH协议文件相重复.[DES-Detroit]和[CBC]
文档是这些文档的例子.当这些或其他的加密算法被使用为ESP时, DOI文件不得不指示确定
的值,如 加密算法标识符,因此这些文档为 DOI提供输入.
    认证算法文档集被显示在图1的右边,是描述各种认证算法如何为ESP和AH使用的文档
集.这些文档想适合指南,并且避免和 ESP协议文件和AH协议文件相重复.[HMAC-MD5]和
[HMAC-SHA-1]文档是这些文档的例子.当这些或其他的算法被使用为ESP或AH时, DOI文件
不得不指示确定的值,如 算法类型,因此这些文档为 DOI提供输入.
    密匙管理文档被显示在图1的底部,是描述IETF标准跟踪密匙管理计划的文档.这些文档
也提供DOI的确定的值.注意 密匙管理的主题应该在此处指出而不在此处描述,例如:ESP和
AH协议文件.
 DOI文件被显示在图1的中间,包含了其他文件彼此联系所需要的值.这些值包括加密算法,
认证算法,和可选参数如密匙生存时间.


                      +--------------+
                      | Architecture |
                      +--------------+
                        v          v
               +<-<-<-<-+          +->->->->+
               v                            v
      +----------+                       +----------+
      |   ESP    |                       |    AH    |
      | Protocol |                       | Protocol |
      +----------+                       +----------+
        v      v                           v       v
        v      +->->->->->->->->+          v       v
        v      v                v          v       v
        v      v                v          v       v
        v  +------------+     +----------------+   v
        v  | +------------+   | +----------------+ v
        v  | | Encryption |   | | Authentication | v
        v  +-| Algorithm  |   +-| Algorithm      | v
        v    +------------+     +----------------+ v
        v        v                       v         v
        v        v        +-----+        v         v
        +>->->->-+->->->->| DOI |<-<-<-<-+-<-<-<-<-+
                          +-----+
                             ^
                       +------------+
                       |    KEY     |
                       | MANAGEMENT |
                       +------------+

                  图 1. IPsec 文档指南.


3. 密匙材料
    在不同文档中描述加密和认证算法提高了这一问题,密匙管理协议如何知道当和ESP一
起使用时所要求的密匙材料的长度.它也提高了如何分配密匙材料的问题.这就是所谓的"薄
片和切片"信息.
每个加密算法和认证算法文件将明确记载他们的各自的密匙属性 (如:如何填充,奇偶位
的位置,多密匙算法的密匙顺序和长度).密匙管理协议将使用各自的算法文档指明的密匙长
度生成要求长度的密匙材料 .
密匙管理协议生成足够健壮和足够大小的密匙材料以为单独的算法生成密匙.IPsec 体系结
构文件指明了当要求多个密匙时密匙是如何从密匙材料的一个单独的块中抽取出来的(如使
用认证的ESP).加密算法和认证算法文档负责为每个算法指定密匙的大小和健壮性.无论如
何,无论整个密匙材料被传给内核以执行分割,还是被密匙管理协议分割,是一个实现上的问
题.AH协议文件没有这样的要求.

4. 算法文档的推荐内容 
    这些文档描述了一个特定的加密或认证算法如何被使用以包含适用于该算法的信息.本
节列举了将被提供的信息.本文档指南的意图是:
   .  通用的协议信息进入各自的 ESP或 AH协议文档.
   .  密匙管理信息进入密匙管理文档.
   .  被分配的值和可协商项的常量进入DOI文档.
加密和认证算法要求一些可选参数的集合或可选模式的操作(如:IVs,认证数据长度,和
密匙长度).为了帮助消除一些相关的密匙管理不得不协商大量的算法-特定的参数的复杂度,
当被认为技术上合理和可行的时,加密或认证算法文档将为这些参数选择固定的值.
   注意, 以下信息只能作为通用的指导:
4.1 加密和认证算法
      本节描述了同时包括在加密算法和认证算法文档中的信息.
   密匙材料
. 密匙的大小,包括最小值,最大值,推荐值和/或要求大小.注意:安全性考虑节应为任何
  弱点指明特定的大小.
. 被推荐或被要求的伪随机数字发生器的方法和属性提供足够强大的密匙.[RANDOM]文
  档为产生健壮的随机数以供安全使用提供推荐.
. 密匙材料的格式
. 已知弱密匙或关于已知弱密匙的参考文档.
    . 推荐或要求的输入密匙材料的过程, 奇偶校验的产生或检查.
    . 关于密匙材料被更新的频率的要求和/或推荐
  性能考虑 
. 任何对执行这一算法的可用评估.
. 任何可用的对比数据(如:比较DES或MD5).
. 输入数据大小或其他能改进或退化执行的考虑.
  ESP 环境考虑
. 任何已知的关于算法和ESP的其他方面相互作用的问题,如确定的认证计划的使用.
  注意: 作为被用于ESP的新加密和认证算法,稍后的文档将被要求指明与以前的特
  定算法的相互作用.
  负载内容和格式描述
. 指明大小,位置,和没有在ESP或AH协议文档(如.IV)中定义的算法-特有的域的内容.
  安全性考虑
. 讨论任何已知的攻击.
. 讨论任何已知的普通执行的缺陷,如使用弱随机数字发生器.
. 讨论任何相关的确认程序,如测试向量.[RFC-2202]是包括了一套认证算法的测试向量
  的例子文档.
4.2 加密算法
   本节描述了包括在加密算法文档中的信息.
   加密算法描述:
      .关于加密算法被用于ESP的通常信息.
      .背景材料的描述和形式算法的描述.
      .被ESP使用的加密算法的特点,包括加密和/或认证.
      .提及所有实用性问题,如知识产权的所有权考虑.
      .在IEIF模式中,背景材料的参考资料,如FIPS文档.

算法方式的操作
 .关于算法是如何被操作的,算法是块模式,流模式或其他模式的描述.
 .关于输入或输出块格式的要求.
 .该算法的填充要求. 注意:在基本ESP文档中已指明了默认的填充,因此在这里只需
  指明是否能使用默认的填充.
     .任何特定算法的操作参数,如巡回的次数.
     .区分可选参数和可选操作模式和挑选合理的固定值和清楚的技术解释.
     .区分这些可选参数在那些值和方法下将保持有清楚的技术解释的可选性,为什么固
      定值和方法不能使用.
     .不能确定的算法-特有的可选参数的默认范围和指定范围.
    
4.3 认证算法
本节描述了包括在认证算法文档中的信息.在大多数情况下,不管它被用于ESP还是AH, 一个
认证算法执行相同的操作.这被表示在一个单独的认证算法文档中.
   认证算法的描述
     .关于认证算法被用于ESP和AH的通常信息.
     .背景材料的描述和形式算法的描述.
     .该认证算法的特点.
     .提及所有实用性问题,如知识产权的所有权考虑.
     .在IEIF模式中,背景材料的参考资料(如FIPS文档)和关于潜在算法的权威描述.

   算法方式的操作
     . 关于算法是如何被操作的描述.
     . 算法-特有的操作参数,如:巡回的次数,输入或输出的块格式.
     . 暗示和指明的该算法的填充要求.注意:在AH协议文档中指明了的认证数据域有默认
       的填充方法. 因此在这里只需指明是否能使用默认的填充.
     . 区分可选参数和可选操作模式和挑选合理的固定值和清楚的技术解释.
     . 区分这些可选参数在那些值和方法下将保持有清楚的技术解释的可选性,为什么固
       定值和方法不能使用.
     . 不能确定的算法-特有的可选参数的默认范围和指定范围.
     . 该算法的认证数据的比较标准.注意:在AH协议文档中已经指明了一种校验认证数
       据的默认方法. 因此在这里只需指明是否能使用默认(如:当使用一个带符号的哈
       希时).
 
5. 安全性考虑
   本文档为写作加密和认证算法文件提供了指南和指导方针.读者应遵从在Ipsec 体系结
构,ESP协议,AH协议,加密算法和认证算法文档中描述的所有安全过程和指导方针.注意:许
多加密算法如果不与某些认证机制一起使用不被认为是安全的。

6. 声明:
   在写本文档时参考了几篇因特网草稿.依赖于这些文档在IETF标准途径的位置, 这些文档
也许不在IETF RFC的仓库内了.在某些情况下,读者也许会想知道这些参考文档的版本.这些
文档是:
    .  DES-Detroit: this is the ANX Workshop style of ESP, based on the
       Hughes draft as modified by Cheryl Madson and published on the ANX
       mailing list.
    .  DOI: draft-ietf-ipsec-ipsec-doi-02.txt.
    .  3DES: this is .
    .  CAST: this is draft-ietf-ipsec-esp-cast-128-cbc-00.txt, as revised
       to relate to this document.
    .  ESP: draft-ietf-ipsec-esp-04.txt, mailed to the IETF mailing list
       in May/June 1997.
    .  AH: draft-ietf-ipsec-auth-05.txt, mailed to the IETF mailing list
       in May/June 1997.
    .  HUGHES: this is draft-ietf-ipsec-esp-des-md5-03.txt
    .  ISAKMP: There are three documents describing ISAKMP.  These are
       draft-ietf-ipsec-isakmp-07.txt, draft-ietf-ipsec-isakmp-oakley-
       03.txt, and draft-ietf-ipsec-ipsec-doi-02.txt.

7. 参考资料

   [CBC]         Periera, R., and R. Adams, "The ESP CBC-Mode Cipher
                 Algorithms", RFC 2451, November 1998.

   [Arch]        Kent, S., and R.  Atkinson, "Security Architecture for
                 the Internet Protocol", RFC 2401, November 1998.

   [DES-Detroit] Madson, C., and N. Doraswamy, "The ESP DES-CBC Cipher
                 Algorithm With Explicit IV", RFC 2405, November 1998.

   [DOI]         Piper, D., "The Internet IP Security Domain of
                 Interpretation for ISAKMP", RFC 2407, November 1998.

   [AH]          Kent, S., and R. Atkinson, "IP Authentication Header",
                 RFC 2402, November 1998.

   [ESP]         Kent, S., and R. Atkinson, "IP Encapsulating Security
                 Payload (ESP)", RFC 2406, November 1998.

   [HMAC]        Krawczyk, K., Bellare, M., and R. Canetti, "HMAC:
                 Keyed-Hashing for Message Authentication", RFC 2104,
                 February 1997.

   [HMAC-MD5]    Madson, C., and R. Glenn, "The Use of HMAC-MD5 within
                 ESP and AH", RFC 2403, November 1998.

   [HMAC-SHA-1]  Madson, C., and R. Glenn, "The Use of HMAC-SHA-1 within
                 ESP and AH", RFC 2404, November 1998.

   [RANDOM]      Eastlake, D., Crocker, S., and J. Schiller, "Randomness
                 Recommendations for Security", RFC 1750, December 1994.

   [RFC-2202]    Cheng, P., and R. Glenn, "Test Cases for HMAC-MD5 and
                 HMAC-SHA-1", RFC 2202, March 1997.


8. 作者地址

   Rodney Thayer
   Sable Technology Corporation
   246 Walnut Street
   Newton, Massachusetts  02160
   EMail: mailto:rodney@sabletech.com


   Naganand Doraswamy
   Bay Networks
   EMail: naganand@baynetworks.com


   Rob Glenn
   NIST
   EMail: rob.glenn@nist.gov

9.  全部版权声明

   Copyright (C) The Internet Society (1998).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

RFC2411――IP Security Document Roadmap                  IP安全文件指南


1
RFC文档中文翻译计划
 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »