RFC 5996-2010
インターネット キー交換プロトコル バージョン 2 (IKEv2) (廃止: 4306 4718)

規格番号

RFC 5996-2010

制定年

2010

出版団体

IETF - Internet Engineering Task Force

最新版

RFC 5996-2010

範囲

「はじめに IP セキュリティ (IPsec) は、機密性、データの完全性、アクセス制御、およびデータ ソース認証を IP データグラムに提供します。 これらのサービスは、IP データグラムのソースとシンク間の共有状態を維持することによって提供されます。 この状態は、特に @ を定義します。 @ データグラムに提供される特定のサービス@ サービスの提供に使用される暗号化アルゴリズム@ および暗号化アルゴリズムへの入力として使用されるキー。 この共有状態を手動で確立することは適切に拡張できません。 したがって、@ 確立するプロトコルこの状態は動的に必要です。 この文書では、そのようなプロトコル、つまりインターネット キー交換 (IKE) について説明します。 IKE のバージョン 1 は、RFC 2407 [DOI]@ 2408 [ISAKMP]@ および 2409 [IKEV1] で定義されました。 IKEv2 は、 IKEv2 は [IKEV2] (RFC 4306) で定義され、[Clarif] (RFC 4718) で明確化されました。 この文書は RFC 4306 と RFC 4718 を置き換え、更新します。 IKEv2 は下位互換性のない IKE プロトコルへの変更でした。 。 対照的に、現在の文書では IKEv2@ を明確にするだけでなく、IKE プロトコルに最小限の変更を加えています。 RFC 4306 とこの文書の重要な相違点のリストは、セクション 1.7 に記載されています。 IKE は、2 者間の相互認証を実行し、カプセル化セキュリティ ペイロード (ESP) [ESP] または認証ヘッダー (AH) [AH] の SA を効率的に確立するために使用できる共有秘密情報を含む IKE セキュリティ アソシエーション (SA) を確立します。 SA が伝送するトラフィックを保護するために SA によって使用される暗号化アルゴリズムのセット。 この文書では、「スイート」または「暗号スイート」という用語は、SA を保護するために使用されるアルゴリズムの完全なセットを指します。 イニシエーターは、組み合わせてスイートにできるサポートされているアルゴリズムをリストすることにより、1 つ以上のスイートを提案します。 IKE は、ESP または AH SA に関連して IP 圧縮 (IPComp) [IP-COMP] の使用をネゴシエートすることもできます。 IKE SA を通じて設定される ESP または AH の SA を「子 SA」と呼びます。 すべての IKE 通信は、リクエストとレスポンスというメッセージのペアで構成されます。 このペアは「交換」@ と呼ばれ、「リクエスト レスポンス ペア」と呼ばれることもあります。 IKE SA を確立する最初のメッセージ交換は、IKE_SA_INIT および IKE_AUTH 交換と呼ばれます。 後続の IKE 交換は、CREATE_CHILD_SA または INFORMATIONAL 交換と呼ばれます。 一般的なケースでは、IKE SA と最初の子 SA を確立するために、単一の IKE_SA_INIT 交換と単一の IKE_AUTH 交換 (合計 4 つのメッセージ) が存在します。 例外的な場合には、これらの各交換が複数存在する場合があります。 すべての場合において、@ すべての IKE_SA_INIT 交換は、他のタイプの交換よりも前に完了しなければなりません@、その後、すべての IKE_AUTH 交換が完了しなければなりません@、それに続いて、任意の数の CREATE_CHILD_SA および INFORMATIONAL 交換が任意の順序で発生することがあります。 一部のシナリオでは、IPsec エンドポイント間で 1 つの子 SA のみが必要なため、追加の交換は必要ありません。 後続の交換は、同じ認証されたエンドポイントのペア間で追加の子 SA を確立し、ハウスキーピング機能を実行するために使用できます。 」

RFC 5996-2010 発売履歴

• 2010 RFC 5996-2010 インターネット キー交換プロトコル バージョン 2 (IKEv2) (廃止: 4306 4718)