Приложение A: Список отличий от IKEv1
Задачами этого пересмотра IKE явились:
- определение протокола IKE в едином документе взамен RFC 2407, 2408, a2409 и последующих изменений в части добавления работы через NAT, расширяемой идентификации (EAP) P) и получения удаленных адресов;
- упрощение IKE за счет замены 8 разных начальных обменов одним обменом из 4 сообщений (с изменением механизмов идентификации, воздействующих только на один элемент AUTH вместо реструктуризации всего обмена), см. [PK01];
- удаление полей области интерпретации (DOI), ситуации (SIT) и помеченных идентификаторов доменов, а также битов Commit и Authentication;
- снижение задержки IKE в общем случае за счет сведения изначального обмена к 2 периодам кругового обхода (4 сообщения) и разрешения организации CHILD_SA в этом обмене;
- To replace the cryptographic syntax for protecting the IKE messages themselves with one based closely on ESP to simplify implementation and security analysis;
- снижение числа возможных ошибочных состояний за счет обеспечения гарантий доставки (все сообщения подтверждаются) и упорядочивания, позволивших сократить обмены CREATE_CHILD_SA с 3 сообщений до 2;
- повышение отказоустойчивости за счет предоставления ответчику возможности не выполнять существенной обработки до подтверждения инициатором возможности приема сообщений по заявленному им адресу IP и не менять состояния обмена, пока инициатор не будет криптографически идентифицирован;
- устранение криптографических недостатков типа проблем с симметрией в хэш-значениях, используемых для идентификации, документированной Tero Kivinen;
- задание селекторов трафика в специальных элементах данных вместо перегрузки информацией элементов ID и более гибкое указание селекторов трафика;
- задание поведения при возникновении некоторых ошибок или при получении непонятных данных для упрощения совместимости с будущими версиями;
- упрощение и прояснение поддержки разделяемых состояний при возникновении ошибок в сети или DoS-атаках;
- поддержка существующего синтаксиса и «магических» значений для упрощения поддержки в реализациях IKEv1 расширения для работы с IKEv2 при минимальных затратах.