RFC2409密钥交换.doc

本备忘录的现状 本文档指定了一个Internet 团体的Internet标准协议，并请求讨论和建议以作改进。请参考当前版本的“Internet官方协议标准”（STD 1），查看本协议的标准化进程和现状。本文档的分发不受限制。 1.摘要 ISAKMP ([MSST98])中对验证和密钥交换提出了结构框架，但没有具体定义。ISAKM被设计用 来独立的进行密钥交换，即被设计用于支持多种不同的密钥交换。 Oakley ([Orm96])中描述了一系列被称为“模式”的密钥交换，并详述了每一种提供的服务（如密钥的完全后继必威体育官网网址（perfect forward secrecy），身份保护，以及验证）。 SKEME ([SKEME])中描述了一种提供匿名，否认，和快速密钥更新的通用密钥交换技术。 本文档将描述使用部分Oakley，部分SKEME，并结合ISAKMP的一种协议，它使用ISAKMP来得 到已验证的用于生成密钥和其它安全联盟（如AH，ESP）中用于IETE IPsec DOI的材料。 2.讨论 本文档描述了一种混合协议。目的是用于以一种保护的方式来协商安全联盟并为它提供经验证 过的密钥生成材料。 本文档中实现的过程可用于协商虚拟专用网（VPN），也可用于远程用户（其IP地址不需要事 先知道）从远程访问安全主机或网络。 支持客户协商。客户模式即为协商双方不是安全联盟发起的两个终点。当使用客户模式时，端 点处双方的身份是隐藏的。 本协议并没有实现整个Oakley协议，只实现了满足目的所需要的部分子集。它并没有声称与整 个Oakley协议相一致或兼容，也并不依靠Oakley协议。 同样，本协议没有实现整个的SKEME协议，只使用了用于验证的公钥加密的方法和使用当前时间 （nonce）交换来快速重建密钥的思路。本协议并不依靠SKEME协议。 3.术语和定义 3.1必要的术语 本文档中出现的关键字“MUST”，“MUST NOT”，“REQUIRED”，“SHOULD”，“SHOULD NOT”以及“MAY”的解释在[Bra97]中描述。 3.2符号 下列的符号在整个文档中都使用。 HDR是ISAKMP的报头，它的交换类型是模式。当写成HDR*时，意味着负载加密。 SA是有一个或多个提议的SA协商负载。发起方可能提供多个协商的提议；应答方只能用一个 提议来回答。 P_b指明负载P数据部分（body）－不包括ISAKMP的通用vpayload负载。 SAi_b是SA负载的数据部分（除去ISAKMP通用报头）－也就是由发起者所提供的DOI、 情况（situation）、所有的提议（proposal）、以及所有的变换（transform）。 CKY-I和CKY-R分别是ISAKMP报头中发起者和响应者的cookie。 g^xi和g^xr分别是Diffie-Hellman ([DH])中发起者和响应者的公共值。 g^xy是Diffie-Hellman的共享秘密。 KE是包含了用于Diffie-Hellman交换的公共信息的密钥交换负载。没有对KE负载的数据进行 特殊的编码（如TLV）。 Nx是当前时间（nonce）负载；其中x可以是i和r，分别代表ISAKMP的发起者和响应者。 IDx是x的身份识别负载。x可以是“ii”或“ir”，分别表示第一阶段协商中的ISAKMP发起者 和响应者；也可以是“ui”或“ur”，分别表示第二阶段的用户发起者和响应者。用于互联网DOI的 ID负载格式在[Pip97]中定义。 SIG是数字签名负载。签名的数据是特定于某种交换的。 CERT是证书负载。 HASH（以及衍生物，如HASH（2）或HASH_I）是hash负载。hash的内容是特定于验证方法 的。 prf(key, msg)是key的伪随机函数－通常是key的hash函数－用于产生表现有伪随机性的确定的输出。 prf用于导出密钥和验证（即作为有密钥的MAC）。（见[KBC96]） SKEYID是从秘密材料中衍生出的字符串，只有某次交换中的活跃双方才知道。 SKEYID_e是ISAKMP SA用来保护消息的机密性的密钥材料。 SKEYID_a是ISAKMP SA用来验证消息所使用的密钥材料。 SKEYID_d是非ISAKMP安全联盟用来衍生出密钥所使用的密钥材料。 xy表示“x”是由密钥“y”加密的。 --表示“发起者到响应者”的通信（请求）。 --表示“响应者到发起者”的通信（回答）。 | 表示信息的串联－如X | Y表示X和Y是串联的。 [x]表示x是可选的。 消息加密（ISAKMP报头后标注有“*”号）必须紧接在ISAKMP报头后。当通信是受保护的 时候，所有ISAKMP报头后的负载必须要加密。从SKEYID_e产