6. Вопросы безопасности
Безопасность является основным аспектом данного протокола и вопросы безопасности рассматриваются во всем документе. Дополнительные аспекты использования протокола IPsec, связанные с обеспечением безопасности, рассматриваются в документе по архитектуре защиты.
7. Отличия от RFC 2402
В этом документе имеется ряд перечисленных ниже отличий от RFC 2402 [RFC2402].
Изменено определение SPI для обеспечения возможности однотипного поиска в SAD для индивидуальных и групповых SA, совместимого со многими технологиями групповой передачи. Для выбора индивидуальных SASA значение SPI может использоваться само по себе или в комбинации с протоколом по усмотрению получателя. Для выбора групповых SA значение SPI объединяется с адресом отправителя (и, опционально, с адресом получателя).
Добавлены расширенные порядковые номера (ESN) для обеспечения 64-битовой нумерации на высокоскоростных соединениях. Разъяснены требования к отправителю и получтателю для групповых SA A и защищенных связей с множеством отправителей.
Спецификации обязательных алгоритмов вынесены в отдельный документ [Eas04].
8. Благодарности
Автор выражает свою благодарность Ran Atkinson, за его критически важную роль на начальном этапе создания IPsec и всем авторам первой серии стандартов IPsec — RFC 1825-1827. Отдельная благодарность Karen Seo за помощь в редактировании этой и предыдущей версии данной спецификации. Автор также благодарит членов рабочих групп IPsec и MSEC, которые внесли свой вклад в разработку спецификации протокола.
9. Литература
9.1. Нормативные документы
| [Bra97] | S. Bradner, «Key words for use in RFCs to Indicate Requirement Level», BCP 14, RFC 2119, Март 1997. |
| [DH98] | S. Deering and R. Hinden, «Спецификация IPv6», RFC 2460, Декабрь 1998. |
| [Eas04] | D. Eastlake 3rd, «Требования к реализациям криптографических алгоритмов для ESP и AH», RFC 4305, Декабрь 2005 |
| [Ken-Arch] | S. Kent and K. Seo, «Security Architecture for the Internet Protocol», RFC 4301, Декабрь 2005. |
| [RFC791] | J. Postel, «Протокол IP (Internet Protocol)», STD 5, RFC 791, Сентябрь 1981 |
| [RFC1108] | S. Kent, «U.S. Department of Defense Security Options for the Internet Protocol», RFC 1108, Ноябрь 1991. |
9.2. Дополнительная литература
| [AES] | Advanced Encryption Standard (AES), Federal Information Processing Standard 197, National Institutes of Standards and Technology, November 26, 2001. |
| [HC03] | H. Holbrook and B. Cain, «Source Specific Multicast for IP», RFC 4607, Август 2006. |
| [IKEv2] | C. Kaufman, «Протокол обмена ключами в Internet (IKEv2)», RFC 4306, Декабрь 2005 |
| [Ken-ESP] | S. Kent, «RFC 4303 — Инкапсуляция защищенных данных IP (ESP)», RFC 4303, Декабрь 2005 |
| [NBBB98] | K. Nichols, S. Blake, F. Baker, D. Black, «Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers», RFC 2474, Декабрь 1998. |
| [RFB01] | Ramakrishnan, K., Floyd, S., and D. Black, «Добавление явных уведомлений о перегрузке (ECN) в IP», RFC 3168, Сентябрь 2001 |
| [RFC1063] | J. Mogul, C. Kent, C. Partridge, K. McCloghrie, «IP MTU discovery options», RFC 1063, Июль 1988. |
| [RFC1122] | R. Braden, «Требования к хостам Internet - Коммуникационные уровни», STD 3, RFC 1122, October 1989 |
| [RFC1191] | J. Mogul and S. Deering, «Path MTU discovery», RFC 1191, Ноябрь 1990 |
| [RFC1385] | Z. Wang, «EIP: The Extended Internet Protocol», RFC 1385, Ноябрь 1992. |
| [RFC1393] | G. Malkin, «Traceroute Using an IP Option», RFC 1393, Январь 1993. |
| [RFC1770] | C. Graff, «IPv4 Option for Sender Directed Multi-Destination Delivery», RFC 1770, Март 1995. |
| [RFC2113] | D. Katz, «IP Router Alert Option», RFC 2113, Февраль 1997. |
| [RFC2402] | S. Kent and R. Atkinson, «IP Authentication Header», RFC 2402, Ноябрь 1998. |
| [RFC3547] | M. Baugher, B. Weis, T. Hardjono, H. Harney, «The Group Domain of Interpretation», RFC 3547, Июль 2003. |
| [RFC3740] | T. Hardjono and B. Weis, «The Multicast Group Security Architecture», RFC 3740, Март 2004. |