6. Вопросы безопасности
Безопасность является основным аспектом данного протокола и вопросы безопасности рассматриваются во всем документе. Дополнительные аспекты использования протокола IPsec, связанные с обеспечением безопасности, рассматриваются в документе по архитектуре защиты.
7. Отличия от RFC 2406
Этот документ имеет несколько существенных отличий от RFC 2406.
- Предоставление только услуг защиты конфиденциальности — в данном документе возможно, а не обязательно.
- Изменено определение SPI для обеспечения возможности однотипного поиска в SAD для индивидуальных и групповых SA, совместимого со многими технологиями групповой передачи. Для выбора индивидуальных SA значение SPI может использоваться само по себе или в комбинации с протоколом по усмотрению получателя. Для выбора групповых SA значение SPI объединяется с адресом отправителя (и, опционально, с адресом получателя).
- Добавлены расширенные порядковые номера (ESN) для обеспечения 64-битовой нумерации на высокоскоростных соединениях. Разъяснены требования к отправителю и получтателю для групповых SA A и защищенных связей с множеством отправителей.
- Поле Payload — расширена модель для использования комбинированных алгоритмов.
- Заполнение для повышения конфиденциальности потока трафика — добавлено требование обеспечения возможности доьавления байтов после завершения данных IP Payload и до начала поля Padding.
- Next Header — добавлено требование по обеспечению возможности генерации и отбрасывания фиктивных пакетов заполнения (Next Header = 59).
- ICV — расширена модель с учетом использования комбинированных алгоритмов.
- Алгоритмы — добавлена поддержка комбинированных алгоритмов защиты конфиденциальности.
- Ссылки на обязательные алгоритмы вынесены в отдельный документ.
- Обработки исходящих и входящих пакетов — сейчас существуют два варианта: (1) с раздельными алгоритмами защиты конфиденциальности и целостности и (2) с комбинированным алгоритмом. Добавление комбинированных алгоритмов привело к созданию разделов шифрования/дешифровки и контроля целостности для обработки как входящих, так и исходящих пакетов.