"Introducción La seguridad IP (IPsec) proporciona confidencialidad@ integridad de los datos@ control de acceso@ y autenticación de la fuente de datos a los datagramas IP. Estos servicios se proporcionan manteniendo un estado compartido entre la fuente y el sumidero de un datagrama IP. Este estado define@ entre otras cosas @ los servicios específicos proporcionados al datagrama @ qué algoritmos criptográficos se utilizarán para proporcionar los servicios @ y las claves utilizadas como entrada para los algoritmos criptográficos. Establecer este estado compartido de forma manual no escala bien. Por lo tanto @ un protocolo para establecer este estado dinámicamente es necesario. Este documento describe dicho protocolo: el Intercambio de claves de Internet (IKE). La versión 1 de IKE se definió en los RFC 2407 [DOI] @ 2408 [ISAKMP] @ y 2409 [IKEV1]. IKEv2 reemplazó a todos esos RFC. IKEv2 se definió en [IKEV2] (RFC 4306) y se aclaró en [Clarif] (RFC 4718). Este documento reemplaza y actualiza RFC 4306 y RFC 4718. IKEv2 fue un cambio en el protocolo IKE que no era compatible con versiones anteriores. . Por el contrario, el documento actual no sólo proporciona una aclaración de IKEv2@ sino que realiza cambios mínimos en el protocolo IKE. En la Sección 1.7 se proporciona una lista de las diferencias significativas entre RFC 4306 y este documento. IKE realiza autenticación mutua entre dos partes y establece una asociación de seguridad (SA) IKE que incluye información secreta compartida que se puede utilizar para establecer de manera eficiente SA para encapsular la carga útil de seguridad (ESP) [ESP] o el encabezado de autenticación (AH) [AH] y un conjunto de algoritmos criptográficos que utilizarán las SA para proteger el tráfico que transportan. En este documento@ el término ""suite"" o ""suite criptográfica"" se refiere a un conjunto completo de algoritmos utilizados para proteger una SA. Un iniciador propone uno o más conjuntos enumerando los algoritmos admitidos que se pueden combinar en conjuntos de forma combinada. IKE también puede negociar el uso de Compresión IP (IPComp) [IP-COMP] en conexión con un ESP o AH SA. Las SA para ESP o AH que se configuran a través de esa SA IKE las llamamos "SA secundarias". Todas las comunicaciones IKE constan de pares de mensajes: una solicitud y una respuesta. El par se denomina ""intercambio""@ y, a veces, se denomina ""par de solicitud y respuesta"". El primer intercambio de mensajes que establece una IKE SA se denomina intercambios IKE_SA_INIT e IKE_AUTH; Los intercambios IKE posteriores se denominan CREATE_CHILD_SA o intercambios INFORMATIVOS. En el caso común @ hay un único intercambio IKE_SA_INIT y un único intercambio IKE_AUTH (un total de cuatro mensajes) para establecer la IKE SA y la primera SA secundaria. En casos excepcionales@ podrá realizarse más de uno de cada uno de estos intercambios. En todos los casos@ todos los intercambios IKE_SA_INIT DEBEN completarse antes que cualquier otro tipo de intercambio@ luego todos los intercambios IKE_AUTH DEBEN completarse@ y después de eso@ cualquier número de intercambios CREATE_CHILD_SA e INFORMATIVOS pueden ocurrir en cualquier orden. En algunos escenarios@ solo se necesita una SA secundaria entre los puntos finales IPsec@ y por lo tanto no habría intercambios adicionales. Los intercambios posteriores PUEDEN usarse para establecer SA secundarias adicionales entre el mismo par de puntos finales autenticados y para realizar funciones de limpieza".
RFC 5996-2010 Historia
2010RFC 5996-2010 Protocolo de intercambio de claves de Internet versión 2 (IKEv2) (obsoleto: 4306@ 4718)