该包含在审核日志中的一组最少信息 , 当然也可以包含额外的信息 。本规范中没有明确指出的额
外事件也可以产生审核日志表项 。
这里没有要求接收方把任何信息传送给声称的发送方响应审核事件的检测 , 因为这样做可能
导致服务拒绝 。
5.一致性要求
要求与本规范一致性或者顺应性的实现必须实现ESP语法和这里描述的处理过程 , 它必须遵
照安全架构文档的所有要求 。假如计算ICV使用的密钥手工分发 , 抗重播服务的正确提供要求
发送方计数器状态的正确维护 , 直到密钥更新 , 假如计数器溢出即将发生 , 有可能没有自动恢复
措施 。因此一个顺应实现不应该与手工键入的SA联合来提供抗重播服务 。一个顺应ESP实现必
须支持下列强制实现的算法:
-CBC模式的DES[MD97]
-HMAC-MD5[MG97a]
-HMAC-SHA-1[MG97b]
-NULL验证算法
-NULL加密算法
因为ESP加密和验证是可选的 , 对两个“NULL”算法的支持要求维护与协商这些服务的方
式的一致性 。注重验证和加密可以单独是“NULL” , 但是不答应两者同时是“NULL” 。
6.安全考虑事项
安全是这个协议设计的中心 , 因此安全考虑事项贯穿整个规范 。使用IPsec协议额外的安全
相关内容在安全架构文档中讨论 。
7.与RFC1827的不同
本文档在几个重要方面不同与RFC1827[ATK95] 。主要的不同是 , 本文档试图为ESP指定
一个完整的框架和上下文 , 而RFC1827提供了一个“shell” , 通过转换的定义来完善 。转换的增
加促进ESP规范重新完善为一个更全面的文档 , 加入ESP上下文中提供的安全服务选项 。因此 ,
之前在转换文档中定义的字段现在是该基础ESP规范的一部分 。例如 , 用于支持验证(和抗重
播)的字段现在这里定义 , 即使该服务是可选项 。
支持加密的填充字段和下一个协议验证的填充字段现在也在此定义 。与这些字段定义一致的
分组处理也包含在文档中 。.
致谢
Manyoftheconceptsembodiedinthisspecificationwerederivedfrom
orinfluencedbytheUSGovernment"sSP3securityprotocol,ISO/IEC"s
NLSP,orfromtheproposedswIPesecurityprotocol.[SDNS89,ISO92,
IB93].
Forover3years,thisdocumenthasevolvedthroughmultipleversions
anditerations.Duringthistime,manypeoplehavecontributed
significantideasandenergytotheprocessandthedocuments
themselves.TheauthorswouldliketothankKarenSeoforproviding
extensivehelpinthereview,editing,backgroundresearch,and
coordinationforthisversionofthespecification.Theauthors
wouldalsoliketothankthemembersoftheIPsecandIPngworking
groups,withspecialmentionoftheeffortsof(inalphabeticorder):
SteveBellovin,SteveDeering,PhilKarn,PerryMetzger,David
Mihelcic,HilarieOrman,NormanShulman,WilliamSimpsonandNina
Yuan.
参考书目
[ATK95]Atkinson,R.,"IPEncapsulatingSecurityPayload(ESP)",
RFC1827,August1995.
[Bel96]StevenM.Bellovin,"ProblemAreasfortheIPSecurity
Protocols",ProceedingsoftheSixthUsenixUnixSecurity
Symposium,July,1996.
[Bra97]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevel",BCP14,RFC2119,March1997.
[HC98]Harkins,D.,andD.Carrel,"TheInternetKeyExchange
(IKE)",RFC2409,November1998.
[IB93]JohnIoannidis&MattBlaze,"Architectureand
ImplementationofNetwork-layerSecurityUnderUnix",
ProceedingsoftheUSENIXSecuritySymposium,SantaClara,
CA,October1993.
[ISO92]ISO/IECJTC1/SC6,NetworkLayerSecurityProtocol,ISO-IEC
DIS11577,InternationalStandardsOrganisation,Geneva,
Switzerland,29November1992.
[KA97a]Kent,S.,andR.Atkinson,"SecurityArchitectureforthe
InternetProtocol",RFC2401,November1998.
推荐阅读
- ESP和AH中HMAC-SHA-1-96的使用
- vivox23幻彩版怎么退出安全模式
- 在ESP和AH中使用HMAC-MD5-96
- 交通安全的重要性
- 泌乳奶牛安全越夏有讲究
- v3 简单目录访问协议:传输层安全扩展
- 羊群安全越冬5要点
- 安全用电六不要
- 初级安全工程师考几门
- LBE安全大师功能详细介绍