RFC: 4306
Оригинал: Internet Key Exchange (IKEv2) Protocol
Другие версии: RFC 2407, RFC 2408, RFC 2409, RFC 5996
Категория: Предложенный стандарт
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 4306, Страница 61 из 62

Приложение A: Список отличий от IKEv1

Задачами этого пересмотра IKE явились:

  1. определение протокола IKE в едином документе взамен RFC 2407, 2408, a2409 и последующих изменений в части добавления работы через NAT, расширяемой идентификации (EAP) P) и получения удаленных адресов;
  2. упрощение IKE за счет замены 8 разных начальных обменов одним обменом из 4 сообщений (с изменением механизмов идентификации, воздействующих только на один элемент AUTH вместо реструктуризации всего обмена), см. [PK01];
  3. удаление полей области интерпретации (DOI), ситуации (SIT) и помеченных идентификаторов доменов, а также битов Commit и Authentication;
  4. снижение задержки IKE в общем случае за счет сведения изначального обмена к 2 периодам кругового обхода (4 сообщения) и разрешения организации CHILD_SA в этом обмене;
  5. To replace the cryptographic syntax for protecting the IKE messages themselves with one based closely on ESP to simplify implementation and security analysis;
  6. снижение числа возможных ошибочных состояний за счет обеспечения гарантий доставки (все сообщения подтверждаются) и упорядочивания, позволивших сократить обмены CREATE_CHILD_SA с 3 сообщений до 2;
  7. повышение отказоустойчивости за счет предоставления ответчику возможности не выполнять существенной обработки до подтверждения инициатором возможности приема сообщений по заявленному им адресу IP и не менять состояния обмена, пока инициатор не будет криптографически идентифицирован;
  8. устранение криптографических недостатков типа проблем с симметрией в хэш-значениях, используемых для идентификации, документированной Tero Kivinen;
  9. задание селекторов трафика в специальных элементах данных вместо перегрузки информацией элементов ID и более гибкое указание селекторов трафика;
  10. задание поведения при возникновении некоторых ошибок или при получении непонятных данных для упрощения совместимости с будущими версиями;
  11. упрощение и прояснение поддержки разделяемых состояний при возникновении ошибок в сети или DoS-атаках;
  12. поддержка существующего синтаксиса и «магических» значений для упрощения поддержки в реализациях IKEv1 расширения для работы с IKEv2 при минимальных затратах.

Страница 61 из 62

2007 - 2022 © Русские переводы RFC, IETF, ISOC.