1. 程式人生 > >RFC7619 -- IKEv2中的NULL身份驗證方法

RFC7619 -- IKEv2中的NULL身份驗證方法

可能 身份驗證協議 pan color 如果 認證 驗證 協議 暫停

摘要

  本文為IKEv2指定NULL身份驗證方法和ID_NULL標識有效負載ID類型。這允許兩個IKE對等體建立單側認證或相互不認證的IKE會話。 適用於那些對等方不願意或無法進行自身身份驗證或識別的情形。這可確保IKEv2可用於機會安全(也稱為機會加密),以抵禦普遍監控攻擊,而無需犧牲匿名性???

1. 簡介

  雖然對等方使用的身份驗證方法可能不同,但是沒有方法可以讓一方或雙方保持未經身份驗證和匿名。 本文檔擴展了身份驗證方法,以支持未經身份驗證的匿名IKE會話。

  在某些情況下,相互認證是不需要的,多余的或不可能的。 以下三個示例說明了這些未經身份驗證的用例:  

  • 用戶想要建立到服務器的匿名安全連接。 在這種情況下,用戶應該能夠對服務器進行身份驗證,而無需使用自己的身份向服務器進行身份驗證。 此案例使用響應者的單方身份驗證。
  • 周期性地從暫停狀態喚醒的傳感器想要將測量值(例如,溫度)發送到收集服務器。 傳感器必須由服務器進行身份驗證,以確保測量的真實性,但傳感器不需要對服務器進行身份驗證。 此案例使用發起方的單方身份驗證。
  • 沒有任何信任關系的兩個對等體希望抵禦[RFC7258]中描述的普遍存在的普遍監視攻擊。 如果沒有信任關系,對等方就無法相互進行身份驗證。 機會安全[RFC7435]指出,未經身份驗證的加密通信優於明文通信。 對等方希望使用IKE來設置未經身份驗證的加密連接,以防止普遍存在的監控攻擊。 能夠並且願意發送數據包的攻擊者仍然可以發起中間人(MITM)攻擊以獲取未加密通信的副本。 此案例使用完全未經身份驗證的密鑰交換。

2. NULL認證方法

  在IKEv2中,每個對等體獨立地選擇方法以向另一方驗證自身。 對等體可以選擇通過使用NULL認證方法來避免認證。 如果主機的本地策略要求對其對等體的身份進行(非空)身份驗證,並且該主機收到包含NULL身份驗證方法類型的AUTH有效負載,則必須返回AUTHENTICATION_FAILED通知。 如果發起方使用可擴展身份驗證協議(EAP),則響應者不得使用NULL身份驗證方法(符合[RFC7296]第2.16節)。

2.1 身份驗證有效負載

RFC7619 -- IKEv2中的NULL身份驗證方法