RFC 6290-2011
インターネット キー交換プロトコル (IKE) の高速クラッシュ検出方法

規格番号

RFC 6290-2011

制定年

2011

出版団体

IETF - Internet Engineering Task Force

最新版

RFC 6290-2011

範囲

「はじめに [RFC5996] とその前身の RFC 4306@ には、1 つのピアの再起動から回復する方法があります。 トラフィックが両方向に流れている限り、再起動されたピアはすぐにトンネルを再確立する必要があります。 ただし、@多くの場合、@ 再起動されたピアはサーバーのみを保護する VPN ゲートウェイです@、そのためすべてのトラフィックは受信されます。 他の場合には、@ 再起動されていないピアは動的 IP アドレスを持っています@、そのため、現在の IP アドレスが異なるため、再起動されたピアは IKE を開始できません。 不明です。 そのような場合@ 再起動されたピアは、トンネルを再確立できません。 セクション 2 では、RFC 5996@ に基づいて回復がどのように機能するかについて説明し、数分かかる理由について説明します。 ここで提案されている方法は、オクテット文字列 @ を送信することです。 トンネルを確立する IKE_AUTH 交換では、「QCD トークン」@ と呼ばれます。 そのトークンは、IKE SA の一部としてピアに保存できます。 再起動後 @ 、再起動された実装はトークンを再生成し、送信できます。 IKE SA を削除すると、新しい IPsec トンネルが迅速に確立されます。 これについてはセクション 3 で説明します。 この文書で使用される表記規則 キーワード ""MUST""@ ""MUST NOT""@ ""REQUIRED""@ ""SHALL""@ ""SHALL NOT""@ ""SHOULDこの文書の ""@ ""SHOULD NOT""@ ""RECOMMENDED""@ ""MAY""@ および ""OPTIONAL"" は、[RFC2119] に記載されているように解釈されます。 「トークン」という用語は、保護された IKE メッセージ (IKE セキュリティ パラメーター インデックス (SPI) など) のプロパティのみを入力として使用して実装が生成できるオクテット文字列を指します。 準拠した実装は、再起動後でも同じ入力から同じトークンを生成できなければなりません (MUST)。 「トークン メーカー」という用語は、このドキュメントで指定されているように、トークンを生成してピアに送信する実装を指します。 「トークンテイカー」という用語は、受信した新しいトークンが保存されている古いトークンと同一であることを検証するために、そのようなトークンまたはそのダイジェストを保存する実装を指します。 このドキュメントの「不揮発性ストレージ」という用語は、トークン メーカーの再起動後も持続するデータ ストレージ モジュールを指します。 このようなストレージ モジュールの例には、内部ディスク @ 内部フラッシュ メモリ モジュール @ 外部ディスク @ および外部データベースが含まれます。 トークン メーカー@ には小さな不揮発性ストレージ モジュールが必要ですが、セクション 8.2 で説明されているように、パフォーマンスを向上させるためにより大きな不揮発性ストレージ モジュールを使用できます@。

RFC 6290-2011 発売履歴

• 2011 RFC 6290-2011 インターネット キー交換プロトコル (IKE) の高速クラッシュ検出方法