home *** CD-ROM | disk | FTP | other *** search
/ SGI Developer Toolbox 6.1 / SGI Developer Toolbox 6.1 - Disc 1.iso / toolbox / documents / RFC / rfc / rfc1825.Z / rfc1825
Encoding:
Text File  |  1996-11-11  |  55.4 KB  |  1,236 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                        R. Atkinson
  8. Request for Comments: 1825                     Naval Research Laboratory
  9. Category: Standards Track                                    August 1995
  10.  
  11.  
  12.             Security Architecture for the Internet Protocol
  13.  
  14. Status of this Memo
  15.  
  16.    This document specifies an Internet standards track protocol for the
  17.    Internet community, and requests discussion and suggestions for
  18.    improvements.  Please refer to the current edition of the "Internet
  19.    Official Protocol Standards" (STD 1) for the standardization state
  20.    and status of this protocol.  Distribution of this memo is unlimited.
  21.  
  22. 1. INTRODUCTION
  23.  
  24.    This memo describes the security mechanisms for IP version 4 (IPv4)
  25.    and IP version 6 (IPv6) and the services that they provide.  Each
  26.    security mechanism is specified in a separate document.  This
  27.    document also describes key management requirements for systems
  28.    implementing those security mechanisms.  This document is not an
  29.    overall Security Architecture for the Internet and is instead focused
  30.    on IP-layer security.
  31.  
  32. 1.1 Technical Definitions
  33.  
  34.    This section provides a few basic definitions that are applicable to
  35.    this document.  Other documents provide more definitions and
  36.    background information [VK83, HA94].
  37.  
  38.    Authentication
  39.            The property of knowing that the data received is the same as
  40.            the data that was sent and that the claimed sender is in fact
  41.            the actual sender.
  42.  
  43.    Integrity
  44.            The property of ensuring that data is transmitted from source
  45.            to destination without undetected alteration.
  46.  
  47.    Confidentiality
  48.            The property of communicating such that the intended
  49.            recipients know what was being sent but unintended
  50.            parties cannot determine what was sent.
  51.  
  52.    Encryption
  53.            A mechanism commonly used to provide confidentiality.
  54.  
  55.  
  56.  
  57.  
  58. Atkinson                    Standards Track                     [Page 1]
  59.  
  60. RFC 1825              Security Architecture for IP           August 1995
  61.  
  62.  
  63.    Non-repudiation
  64.            The property of a receiver being able to prove that the sender
  65.            of some data did in fact send the data even though the sender
  66.            might later desire to deny ever having sent that data.
  67.  
  68.    SPI
  69.            Acronym for "Security Parameters Index".  An unstructured
  70.            opaque index which is used in conjunction with the
  71.            Destination Address to identify a particular Security
  72.            Association.
  73.  
  74.    Security Association
  75.            The set of security information relating to a given network
  76.            connection or set of connections.  This is described in
  77.            detail below.
  78.  
  79.    Traffic Analysis
  80.            The analysis of network traffic flow for the purpose of
  81.            deducing information that is useful to an adversary.
  82.            Examples of such information are frequency of transmission,
  83.            the identities of the conversing parties, sizes of packets,
  84.            Flow Identifiers used, etc. [Sch94].
  85.  
  86. 1.2 Requirements Terminology
  87.  
  88.    In this document, the words that are used to define the significance
  89.    of each particular requirement are usually capitalised.  These words
  90.    are:
  91.  
  92.    - MUST
  93.  
  94.       This word or the adjective "REQUIRED" means that the item is an
  95.       absolute requirement of the specification.
  96.  
  97.    - SHOULD
  98.  
  99.       This word or the adjective "RECOMMENDED" means that there might
  100.       exist valid reasons in particular circumstances to ignore this
  101.       item, but the full implications should be understood and the case
  102.       carefully weighed before taking a different course.
  103.  
  104.    - MAY
  105.  
  106.       This word or the adjective "OPTIONAL" means that this item is
  107.       truly optional.  One vendor might choose to include the item
  108.       because a particular marketplace requires it or because it
  109.       enhances the product, for example; another vendor may omit the
  110.       same item.
  111.  
  112.  
  113.  
  114. Atkinson                    Standards Track                     [Page 2]
  115.  
  116. RFC 1825              Security Architecture for IP           August 1995
  117.  
  118.  
  119. 1.3 Typical Use
  120.  
  121.    There are two specific headers that are used to provide security
  122.    services in IPv4 and IPv6.  These headers are the "IP Authentication
  123.    Header (AH)" [Atk95a] and the "IP Encapsulating Security Payload
  124.    (ESP)" [Atk95b] header.  There are a number of ways in which these IP
  125.    security mechanisms might be used.  This section describes some of
  126.    the more likely uses.  These descriptions are not complete or
  127.    exhaustive.  Other uses can also be envisioned.
  128.  
  129.    The IP Authentication Header is designed to provide integrity and
  130.    authentication without confidentiality to IP datagrams.  The lack of
  131.    confidentiality ensures that implementations of the Authentication
  132.    Header will be widely available on the Internet, even in locations
  133.    where the export, import, or use of encryption to provide
  134.    confidentiality is regulated.  The Authentication Header supports
  135.    security between two or more hosts implementing AH, between two or
  136.    more gateways implementing AH, and between a host or gateway
  137.    implementing AH and a set of hosts or gateways.  A security gateway
  138.    is a system which acts as the communications gateway between external
  139.    untrusted systems and trusted hosts on their own subnetwork.  It also
  140.    provides security services for the trusted hosts when they
  141.    communicate with the external untrusted systems.  A trusted
  142.    subnetwork contains hosts and routers that trust each other not to
  143.    engage in active or passive attacks and trust that the underlying
  144.    communications channel (e.g., an Ethernet) isn't being attacked.
  145.  
  146.    In the case where a security gateway is providing services on behalf
  147.    of one or more hosts on a trusted subnet, the security gateway is
  148.    responsible for establishing the security association on behalf of
  149.    its trusted host and for providing security services between the
  150.    security gateway and the external system(s).  In this case, only the
  151.    gateway need implement AH, while all of the systems behind the
  152.    gateway on the trusted subnet may take advantage of AH services
  153.    between the gateway and external systems.
  154.  
  155.    A security gateway which receives a datagram containing a recognised
  156.    sensitivity label, for example IPSO [Ken91], from a trusted host
  157.    should take that label's value into consideration when
  158.    creating/selecting an Security Association for use with AH between
  159.    the gateway and the external destination.  In such an environment, a
  160.    gateway which receives a IP packet containing the IP Encapsulating
  161.    Security Payload (ESP) should add appropriate authentication,
  162.    including implicit (i.e., contained in the Security Association used)
  163.    or explicit label information (e.g., IPSO), for the decrypted packet
  164.    that it forwards to the trusted host that is the ultimate
  165.    destination.  The IP Authentication Header should always be used on
  166.    packets containing explicit sensitivity labels to ensure end-to-end
  167.  
  168.  
  169.  
  170. Atkinson                    Standards Track                     [Page 3]
  171.  
  172. RFC 1825              Security Architecture for IP           August 1995
  173.  
  174.  
  175.    label integrity.  In environments using security gateways, those
  176.    gateways MUST perform address-based IP packet filtering on
  177.    unauthenticated packets purporting to be from a system known to be
  178.    using IP security.
  179.  
  180.    The IP Encapsulating Security Payload (ESP) is designed to provide
  181.    integrity, authentication, and confidentiality to IP datagrams
  182.    [Atk95b]. The ESP supports security between two or more hosts
  183.    implementing ESP, between two or more gateways implementing ESP, and
  184.    between a host or gateway implementing ESP and a set of hosts and/or
  185.    gateways.  A security gateway is a system which acts as the
  186.    communications gateway between external untrusted systems and trusted
  187.    hosts on their own subnetwork and provides security services for the
  188.    trusted hosts when they communicate with external untrusted systems.
  189.    A trusted subnetwork contains hosts and routers that trust each other
  190.    not to engage in active or passive attacks and trust that the
  191.    underlying communications channel (e.g., an Ethernet) isn't being
  192.    attacked.  Trusted systems always should be trustworthy, but in
  193.    practice they often are not trustworthy.
  194.  
  195.    Gateway-to-gateway encryption is most valuable for building private
  196.    virtual networks across an untrusted backbone such as the Internet.
  197.    It does this by excluding outsiders.  As such, it is often not a
  198.    substitute for host-to-host encryption, and indeed the two can be and
  199.    often should be used together.
  200.  
  201.    In the case where a security gateway is providing services on behalf
  202.    of one or more hosts on a trusted subnet, the security gateway is
  203.    responsible for establishing the security association on behalf of
  204.    its trusted host and for providing security services between the
  205.    security gateway and the external system(s).  In this case, only the
  206.    gateway need implement ESP, while all of the systems behind the
  207.    gateway on the trusted subnet may take advantage of ESP services
  208.    between the gateway and external systems.
  209.  
  210.    A gateway which receives a datagram containing a recognised
  211.    sensitivity label from a trusted host should take that label's value
  212.    into consideration when creating/selecting a Security Association for
  213.    use with ESP between the gateway and the external destination.  In
  214.    such an environment, a gateway which receives a IP packet containing
  215.    the ESP should appropriately label the decrypted packet that it
  216.    forwards to the trusted host that is the ultimate destination.  The
  217.    IP Authentication Header should always be used on packets containing
  218.    explicit sensitivity labels to ensure end-to-end label integrity.
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Atkinson                    Standards Track                     [Page 4]
  227.  
  228. RFC 1825              Security Architecture for IP           August 1995
  229.  
  230.  
  231.    If there are no security gateways present in the connection, then two
  232.    end systems that implement ESP may also use it to encrypt only the
  233.    user data (e.g., TCP or UDP) being carried between the two systems.
  234.    ESP is designed to provide maximum flexibility so that users may
  235.    select and use only the security that they desire and need.
  236.  
  237.    Routing headers for which integrity has not been cryptographically
  238.    protected SHOULD be ignored by the receiver.  If this rule is not
  239.    strictly adhered to, then the system will be vulnerable to various
  240.    kinds of attacks, including source routing attacks [Bel89] [CB94]
  241.    [CERT95].
  242.  
  243.    While these documents do not specifically discuss IPv4 broadcast,
  244.    these IP security mechanisms MAY be used with such packets.  Key
  245.    distribution and Security Association management are not trivial for
  246.    broadcast applications.  Also, if symmetric key algorithms are used
  247.    the value of using cryptography with a broadcast packet is limited
  248.    because the receiver can only know that the received packet came from
  249.    one of many systems knowing the correct key to use.
  250.  
  251. 1.4 Security Associations
  252.  
  253.    The concept of a "Security Association" is fundamental to both the IP
  254.    Encapsulating Security Payload and the IP Authentication Header.  The
  255.    combination of a given Security Parameter Index (SPI) and Destination
  256.    Address uniquely identifies a particular "Security Association".  An
  257.    implementation of the Authentication Header or the Encapsulating
  258.    Security Payload MUST support this concept of a Security Association.
  259.    An implementation MAY also support other parameters as part of a
  260.    Security Association.  A Security Association normally includes the
  261.    parameters listed below, but might include additional parameters as
  262.    well:
  263.  
  264.    - Authentication algorithm and algorithm mode being used with
  265.      the IP Authentication Header [REQUIRED for AH implementations].
  266.  
  267.    - Key(s) used with the authentication algorithm in use with
  268.      the Authentication Header [REQUIRED for AH implementations].
  269.  
  270.    - Encryption algorithm, algorithm mode, and transform being
  271.      used with the IP Encapsulating Security Payload [REQUIRED for
  272.      ESP implementations].
  273.  
  274.    - Key(s) used with the encryption algorithm in use with the
  275.      Encapsulating Security Payload [REQUIRED for ESP implementations].
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282. Atkinson                    Standards Track                     [Page 5]
  283.  
  284. RFC 1825              Security Architecture for IP           August 1995
  285.  
  286.  
  287.    - Presence/absence and size of a cryptographic synchronisation or
  288.      initialisation vector field for the encryption algorithm [REQUIRED
  289.      for ESP implementations].
  290.  
  291.    - Authentication algorithm and mode used with the ESP transform
  292.      (if any is in use) [RECOMMENDED for ESP implementations].
  293.  
  294.    - Authentication key(s) used with the authentication algorithm
  295.      that is part of the ESP transform (if any) [RECOMMENDED for
  296.      ESP implementations].
  297.  
  298.    - Lifetime of the key or time when key change should occur
  299.      [RECOMMENDED for all implementations].
  300.  
  301.    - Lifetime of this Security Association [RECOMMENDED for all
  302.      implementations].
  303.  
  304.    - Source Address(es) of the Security Association, might be a
  305.      wildcard address if more than one sending system shares the
  306.      same Security Association with the destination [RECOMMENDED
  307.      for all implementations].
  308.  
  309.    - Sensitivity level (for example, Secret or Unclassified)
  310.      of the protected data [REQUIRED for all systems claiming
  311.      to provide multi-level security, RECOMMENDED for all other systems].
  312.  
  313.    The sending host uses the sending userid and Destination Address to
  314.    select an appropriate Security Association (and hence SPI value).
  315.    The receiving host uses the combination of SPI value and Destination
  316.    Address to distinguish the correct association.  Hence, an AH
  317.    implementation will always be able to use the SPI in combination with
  318.    the Destination Address to determine the security association and
  319.    related security configuration data for all valid incoming packets.
  320.    When a formerly valid Security Association becomes invalid, the
  321.    destination system(s) SHOULD NOT immediately reuse that SPI value and
  322.    instead SHOULD let that SPI value become stale before reusing it for
  323.    some other Security Association.
  324.  
  325.    A security association is normally one-way.  An authenticated
  326.    communications session between two hosts will normally have two
  327.    Security Parameter Indexes in use (one in each direction).  The
  328.    combination of a particular Security Parameter Index and a particular
  329.    Destination Address uniquely identifies the Security Association.
  330.    The Destination Address may be a unicast address or a multicast group
  331.    address.
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Atkinson                    Standards Track                     [Page 6]
  339.  
  340. RFC 1825              Security Architecture for IP           August 1995
  341.  
  342.  
  343.    The receiver-orientation of the Security Association implies that, in
  344.    the case of unicast traffic, the destination system will normally
  345.    select the SPI value.  By having the destination select the SPI
  346.    value, there is no potential for manually configured Security
  347.    Associations that conflict with automatically configured (e.g., via a
  348.    key management protocol) Security Associations.  For multicast
  349.    traffic, there are multiple destination systems but a single
  350.    destination multicast group, so some system or person will need to
  351.    select SPIs on behalf of that multicast group and then communicate
  352.    the information to all of the legitimate members of that multicast
  353.    group via mechanisms not defined here.
  354.  
  355.    Multiple senders to a multicast group MAY use a single Security
  356.    Association (and hence Security Parameter Index) for all traffic to
  357.    that group.  In that case, the receiver only knows that the message
  358.    came from a system knowing the security association data for that
  359.    multicast group.  A receiver cannot generally authenticate which
  360.    system sent the multicast traffic when symmetric algorithms (e.g.,
  361.    DES, IDEA) are in use.  Multicast traffic MAY also use a separate
  362.    Security Association (and hence SPI) for each sender to the multicast
  363.    group .  If each sender has its own Security Association and
  364.    asymmetric algorithms are used, then data origin authentication is
  365.    also a provided service.
  366.  
  367. 2. DESIGN OBJECTIVES
  368.  
  369.    This section describes some of the design objectives of this security
  370.    architecture and its component mechanisms.  The primary objective of
  371.    this work is to ensure that IPv4 and IPv6 will have solid
  372.    cryptographic security mechanisms available to users who desire
  373.    security.
  374.  
  375.    These mechanisms are designed to avoid adverse impacts on Internet
  376.    users who do not employ these security mechanisms for their traffic.
  377.    These mechanisms are intended to be algorithm-independent so that the
  378.    cryptographic algorithms can be altered without affecting the other
  379.    parts of the implementation.  These security mechanisms should be
  380.    useful in enforcing a variety of security policies.
  381.  
  382.    Standard default algorithms (keyed MD5, DES CBC) are specified to
  383.    ensure interoperability in the global Internet.  The selected default
  384.    algorithms are the same as the standard default algorithms used in
  385.    SNMPv2 [GM93].
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Atkinson                    Standards Track                     [Page 7]
  395.  
  396. RFC 1825              Security Architecture for IP           August 1995
  397.  
  398.  
  399. 3. IP-LAYER SECURITY MECHANISMS
  400.  
  401.    There are two cryptographic security mechanisms for IP.  The first is
  402.    the Authentication Header which provides integrity and authentication
  403.    without confidentiality [Atk95a].  The second is the Encapsulating
  404.    Security Payload which always provides confidentiality, and
  405.    (depending on algorithm and mode) might also provide integrity and
  406.    authentication [Atk95b].  The two IP security mechanisms may be used
  407.    together or separately.
  408.  
  409.    These IP-layer mechanisms do not provide security against a number of
  410.    traffic analysis attacks.  However, there are several techniques
  411.    outside the scope of this specification (e.g., bulk link encryption)
  412.    that might be used to provide protection against traffic analysis
  413.    [VK83].
  414.  
  415. 3.1 AUTHENTICATION HEADER
  416.  
  417.    The IP Authentication Header holds authentication information for its
  418.    IP datagram [Atk95a].  It does this by computing a cryptographic
  419.    authentication function over the IP datagram and using a secret
  420.    authentication key in the computation.  The sender computes the
  421.    authentication data prior to sending the authenticated IP packet.
  422.    Fragmentation occurs after the Authentication Header processing for
  423.    outbound packets and prior to Authentication Header processing for
  424.    inbound packets.  The receiver verifies the correctness of the
  425.    authentication data upon reception.  Certain fields which must change
  426.    in transit, such as the "TTL" (IPv4) or "Hop Limit" (IPv6) field,
  427.    which is decremented on each hop, are omitted from the authentication
  428.    calculation.  However the omission of the Hop Limit field does not
  429.    adversely impact the security provided.  Non-repudiation might be
  430.    provided by some authentication algorithms (e.g., asymmetric
  431.    algorithms when both sender and receiver keys are used in the
  432.    authentication calculation) used with the Authentication Header, but
  433.    it is not necessarily provided by all authentication algorithms that
  434.    might be used with the Authentication Header.  The default
  435.    authentication algorithm is keyed MD5, which, like all symmetric
  436.    algorithms, cannot provide non-repudiation by itself.
  437.    Confidentiality and traffic analysis protection are not provided by
  438.    the Authentication Header.
  439.  
  440.    Use of the Authentication Header will increase the IP protocol
  441.    processing costs in participating systems and will also increase the
  442.    communications latency.  The increased latency is primarily due to
  443.    the calculation of the authentication data by the sender and the
  444.    calculation and comparison of the authentication data by each
  445.    receiver for each IP datagram containing an Authentication Header
  446.    (AH).
  447.  
  448.  
  449.  
  450. Atkinson                    Standards Track                     [Page 8]
  451.  
  452. RFC 1825              Security Architecture for IP           August 1995
  453.  
  454.  
  455.    The Authentication Header provides much stronger security than exists
  456.    in most of the current Internet and should not affect exportability
  457.    or significantly increase implementation cost.  While the
  458.    Authentication Header might be implemented by a security gateway on
  459.    behalf of hosts on a trusted network behind that security gateway,
  460.    this mode of operation is not encouraged.  Instead, the
  461.    Authentication Header should be used from origin to final
  462.    destination.
  463.  
  464.    All IPv6-capable hosts MUST implement the IP Authentication Header
  465.    with at least the MD5 algorithm using a 128-bit key.  IPv4-systems
  466.    claiming to implement the Authentication Header MUST implement the IP
  467.    Authentication Header with at least the MD5 algorithm using a 128-bit
  468.    key [MS95].  An implementation MAY support other authentication
  469.    algorithms in addition to keyed MD5.
  470.  
  471. 3.2 ENCAPSULATING SECURITY PAYLOAD
  472.  
  473.    The IP Encapsulating Security Payload (ESP) is designed to provide
  474.    integrity, authentication, and confidentiality to IP datagrams
  475.    [Atk95b].  It does this by encapsulating either an entire IP datagram
  476.    or only the upper-layer protocol (e.g., TCP, UDP, ICMP) data inside
  477.    the ESP, encrypting most of the ESP contents, and then appending a
  478.    new cleartext IP header to the now encrypted Encapsulating Security
  479.    Payload.  This cleartext IP header is used to carry the protected
  480.    data through the internetwork.
  481.  
  482. 3.2.1 Description of the ESP Modes
  483.  
  484.    There are two modes within ESP.  The first mode, which is known as
  485.    Tunnel-mode, encapsulates an entire IP datagram within the ESP
  486.    header.  The second mode, which is known as Transport-mode,
  487.    encapsulates an upper-layer protocol (for example UDP or TCP) inside
  488.    ESP and then prepends a cleartext IP header.
  489.  
  490. 3.2.2 Usage of ESP
  491.  
  492.    ESP works between hosts, between a host and a security gateway, or
  493.    between security gateways. This support for security gateways permits
  494.    trustworthy networks behind a security gateway to omit encryption and
  495.    thereby avoid the performance and monetary costs of encryption, while
  496.    still providing confidentiality for traffic transiting untrustworthy
  497.    network segments.  When both hosts directly implement ESP and there
  498.    is no intervening security gateway, then they may use the Transport-
  499.    mode (where only the upper layer protocol data (e.g., TCP or UDP) is
  500.    encrypted and there is no encrypted IP header).  This mode reduces
  501.    both the bandwidth consumed and the protocol processing costs for
  502.    users that don't need to keep the entire IP datagram confidential.
  503.  
  504.  
  505.  
  506. Atkinson                    Standards Track                     [Page 9]
  507.  
  508. RFC 1825              Security Architecture for IP           August 1995
  509.  
  510.  
  511.    ESP works with both unicast and multicast traffic.
  512.  
  513. 3.2.3 Performance Impacts of ESP
  514.  
  515.    The encapsulating security approach used by ESP can noticeably impact
  516.    network performance in participating systems, but use of ESP should
  517.    not adversely impact routers or other intermediate systems that are
  518.    not participating in the particular ESP association.  Protocol
  519.    processing in participating systems will be more complex when
  520.    encapsulating security is used, requiring both more time and more
  521.    processing power.  Use of encryption will also increase the
  522.    communications latency.  The increased latency is primarily due to
  523.    the encryption and decryption required for each IP datagram
  524.    containing an Encapsulating Security Payload.  The precise cost of
  525.    ESP will vary with the specifics of the implementation, including the
  526.    encryption algorithm, key size, and other factors.  Hardware
  527.    implementations of the encryption algorithm are recommended when high
  528.    throughput is desired.
  529.  
  530.    For interoperability throughout the worldwide Internet, all
  531.    conforming implementations of the IP Encapsulating Security Payload
  532.    MUST support the use of the Data Encryption Standard (DES) in
  533.    Cipher-Block Chaining (CBC) Mode as detailed in the ESP
  534.    specification.  Other confidentiality algorithms and modes may also
  535.    be implemented in addition to this mandatory algorithm and mode.
  536.    Export and use of encryption are regulated in some countries [OTA94].
  537.  
  538. 3.3 COMBINING SECURITY MECHANISMS
  539.  
  540.    In some cases the IP Authentication Header might be combined with the
  541.    IP Encapsulating Security Protocol to obtain the desired security
  542.    properties.  The Authentication Header always provides integrity and
  543.    authentication and can provide non-repudiation if used with certain
  544.    authentication algorithms (e.g., RSA).  The Encapsulating Security
  545.    Payload always provides integrity and confidentiality and can also
  546.    provide authentication if used with certain authenticating encryption
  547.    algorithms.  Adding the Authentication Header to a IP datagram prior
  548.    to encapsulating that datagram using the Encapsulating Security
  549.    Protocol might be desirable for users wishing to have strong
  550.    integrity, authentication, confidentiality, and perhaps also for
  551.    users who require strong non-repudiation.  When the two mechanisms
  552.    are combined, the placement of the IP Authentication Header makes
  553.    clear which part of the data is being authenticated.  Details on
  554.    combining the two mechanisms are provided in the IP Encapsulating
  555.    Security Payload specification [At94b].
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Atkinson                    Standards Track                    [Page 10]
  563.  
  564. RFC 1825              Security Architecture for IP           August 1995
  565.  
  566.  
  567. 3.4 OTHER SECURITY MECHANISMS
  568.  
  569.    Protection from traffic analysis is not provided by any of the
  570.    security mechanisms described above.  It is unclear whether
  571.    meaningful protection from traffic analysis can be provided
  572.    economically at the Internet Layer and it appears that few Internet
  573.    users are concerned about traffic analysis.  One traditional method
  574.    for protection against traffic analysis is the use of bulk link
  575.    encryption.  Another technique is to send false traffic in order to
  576.    increase the noise in the data provided by traffic analysis.
  577.    Reference [VK83] discusses traffic analysis issues in more detail.
  578.  
  579. 4. KEY MANAGEMENT
  580.  
  581.    The Key Management protocol that will be used with IP layer security
  582.    is not specified in this document.  However, because the key
  583.    management protocol is coupled to AH and ESP only via the Security
  584.    Parameters Index (SPI), we can meaningfully define AH and ESP without
  585.    having to fully specify how key management is performed.  We envision
  586.    that several key management systems will be usable with these
  587.    specifications, including manual key configuration.  Work is ongoing
  588.    within the IETF to specify an Internet Standard key management
  589.    protocol.
  590.  
  591.    Support for key management methods where the key management data is
  592.    carried within the IP layer is not a design objective for these IP-
  593.    layer security mechanisms.  Instead these IP-layer security
  594.    mechanisms will primarily use key management methods where the key
  595.    management data will be carried by an upper layer protocol, such as
  596.    UDP or TCP, on some specific port number or where the key management
  597.    data will be distributed manually.
  598.  
  599.    This design permits clear decoupling of the key management mechanism
  600.    from the other security mechanisms, and thereby permits one to
  601.    substitute new and improved key management methods without having to
  602.    modify the implementations of the other security mechanisms.  This
  603.    separation of mechanism is clearly wise given the long history of
  604.    subtle flaws in published key management protocols [NS78, NS81].
  605.    What follows in this section is a brief discussion of a few
  606.    alternative approaches to key management.  Mutually consenting
  607.    systems may additionally use other key management approaches by
  608.    private prior agreement.
  609.  
  610. 4.1 Manual Key Distribution
  611.  
  612.    The simplest form of key management is manual key management, where a
  613.    person manually configures each system with its own key and also with
  614.    the keys of other communicating systems.  This is quite practical in
  615.  
  616.  
  617.  
  618. Atkinson                    Standards Track                    [Page 11]
  619.  
  620. RFC 1825              Security Architecture for IP           August 1995
  621.  
  622.  
  623.    small, static environments but does not scale.  It is not a viable
  624.    medium-term or long-term approach, but might be appropriate and
  625.    useful in many environments in the near-term.  For example, within a
  626.    small LAN it is entirely practical to manually configure keys for
  627.    each system.  Within a single administrative domain it is practical
  628.    to configure keys for each router so that the routing data can be
  629.    protected and to reduce the risk of an intruder breaking into a
  630.    router.  Another case is where an organisation has an encrypting
  631.    firewall between the internal network and the Internet at each of its
  632.    sites and it connects two or more sites via the Internet.  In this
  633.    case, the encrypting firewall might selectively encrypt traffic for
  634.    other sites within the organisation using a manually configured key,
  635.    while not encrypting traffic for other destinations.  It also might
  636.    be appropriate when only selected communications need to be secured.
  637.  
  638. 4.2 Some Existing Key Management Techniques
  639.  
  640.    There are a number of key management algorithms that have been
  641.    described in the public literature.  Needham & Schroeder have
  642.    proposed a key management algorithm which relies on a centralised key
  643.    distribution system [NS78, NS81].  This algorithm is used in the
  644.    Kerberos Authentication System developed at MIT under Project Athena
  645.    [KB93].  Diffie and Hellman have devised an algorithm which does not
  646.    require a centralised key distribution system [DH76].  Unfortunately,
  647.    the original Diffie-Hellman technique is vulnerable to an active "man
  648.    in the middle" attack [Sch93, p. 43-44].  However, this vulnerability
  649.    can be mitigated by using signed keys to authentically bootstrap into
  650.    the Diffie-Hellman exchange [Sch93, p. 45].
  651.  
  652. 4.3 Automated Key Distribution
  653.  
  654.    Widespread deployment and use of IP security will require an
  655.    Internet-standard scalable key management protocol.  Ideally such a
  656.    protocol would support a number of protocols in the Internet protocol
  657.    suite, not just IP security.  There is work underway within the IETF
  658.    to add signed host keys to the Domain Name System [EK94] The DNS keys
  659.    enable the originating party to authenticate key management messages
  660.    with the other key management party using an asymmetric algorithm.
  661.    The two parties would then have an authenticatible communications
  662.    channel that could be used to create a shared session key using
  663.    Diffie-Hellman or other means [DH76] [Sch93].
  664.  
  665. 4.4 Keying Approaches for IP
  666.  
  667.    There are two keying approaches for IP.  The first approach, called
  668.    host-oriented keying, has all users on host 1 share the same key for
  669.    use on traffic destined for all users on host 2.  The second
  670.    approach, called user-oriented keying, lets user A on host 1 have one
  671.  
  672.  
  673.  
  674. Atkinson                    Standards Track                    [Page 12]
  675.  
  676. RFC 1825              Security Architecture for IP           August 1995
  677.  
  678.  
  679.    or more unique session keys for its traffic destined for host 2; such
  680.    session keys are not shared with other users on host1.  For example,
  681.    user A's ftp session might use a different key than user A's telnet
  682.    session.  In systems claiming to provide multi-level security, user A
  683.    will typically have at least one key per sensitivity level in use
  684.    (e.g., one key for UNCLASSIFIED traffic, a second key for SECRET
  685.    traffic, and a third key for TOP SECRET traffic).  Similarly, with
  686.    user-oriented keying one might use separate keys for information sent
  687.    to a multicast group and control messages sent to the same multicast
  688.    group.
  689.  
  690.    In many cases, a single computer system will have at least two
  691.    mutually suspicious users A and B that do not trust each other.  When
  692.    host-oriented keying is used and mutually suspicious users exist, it
  693.    is sometimes possible for user A to determine the host-oriented key
  694.    via well known methods, such as a Chosen Plaintext attack.  Once user
  695.    A has improperly obtained the key in use, user A can then either read
  696.    user B's encrypted traffic or forge traffic from user B.  When user-
  697.    oriented keying is used, certain kinds of attack from one user onto
  698.    another user's traffic are not possible.
  699.  
  700.    IP Security is intended to be able to provide Authentication,
  701.    Integrity, and Confidentiality for applications operating on
  702.    connected end systems when appropriate algorithms are in use.
  703.    Integrity and Confidentiality can be provided by host-oriented keying
  704.    when appropriate dynamic key management techniques and appropriate
  705.    algorithms are in use.  However, authentication of principals using
  706.    applications on end-systems requires that processes running
  707.    applications be able to request and use their own Security
  708.    Associations.  In this manner, applications can make use of key
  709.    distribution facilities that provide authentication.
  710.  
  711.    Hence, support for user-oriented keying SHOULD be present in all IP
  712.    implementations, as is described in the "IP Key Management
  713.    Requirements" section below.
  714.  
  715. 4.5 Multicast Key Distribution
  716.  
  717.    Multicast key distribution is an active research area in the
  718.    published literature as of this writing.  For multicast groups having
  719.    relatively few members, manual key distribution or multiple use of
  720.    existing unicast key distribution algorithms such as modified
  721.    Diffie-Hellman appears feasible.  For very large groups, new scalable
  722.    techniques will be needed.  The use of Core-Based Trees (CBT) to
  723.    provide session key management as well as multicast routing might be
  724.    an approach used in the future [BFC93].
  725.  
  726.  
  727.  
  728.  
  729.  
  730. Atkinson                    Standards Track                    [Page 13]
  731.  
  732. RFC 1825              Security Architecture for IP           August 1995
  733.  
  734.  
  735. 4.6 IP Key Management Requirements
  736.  
  737.    This section defines key management requirements for all IPv6
  738.    implementations and for those IPv4 implementations that implement the
  739.    IP Authentication Header, the IP Encapsulating Security Payload, or
  740.    both.  It applies equally to the IP Authentication Header and the IP
  741.    Encapsulating Security Payload.
  742.  
  743.    All such implementations MUST support manual configuration of
  744.    Security Associations.
  745.  
  746.    All such implementations SHOULD support an Internet standard Security
  747.    Association establishment protocol (e.g., IKMP, Photuris) once such a
  748.    protocol is published as an Internet standards-track RFC.
  749.  
  750.    Implementations MAY also support other methods of configuring
  751.    Security Associations.
  752.  
  753.    Given two endpoints, it MUST be possible to have more than one
  754.    concurrent Security Association for communications between them.
  755.    Implementations on multi-user hosts SHOULD support user granularity
  756.    (i.e., "user-oriented") Security Associations.
  757.  
  758.    All such implementations MUST permit the configuration of host-
  759.    oriented keying.
  760.  
  761.    A device that encrypts or authenticates IP packets originated other
  762.    systems, for example a dedicated IP encryptor or an encrypting
  763.    gateway, cannot generally provide user-oriented keying for traffic
  764.    originating on other systems.  Such systems MAY additionally
  765.    implement support for user-oriented keying for traffic originating on
  766.    other systems.
  767.  
  768.    The method by which keys are configured on a particular system is
  769.    implementation-defined.  A flat file containing security association
  770.    identifiers and the security parameters, including the key(s), is an
  771.    example of one possible method for manual key distribution.  An IP
  772.    system MUST take reasonable steps to protect the keys and other
  773.    security association information from unauthorised examination or
  774.    modification because all of the security lies in the keys.
  775.  
  776. 5. USAGE
  777.  
  778.    This section describes the possible use of the security mechanisms
  779.    provided by IP in several different environments and applications in
  780.    order to give the implementer and user a better idea of how these
  781.    mechanisms can be used to reduce security risks.
  782.  
  783.  
  784.  
  785.  
  786. Atkinson                    Standards Track                    [Page 14]
  787.  
  788. RFC 1825              Security Architecture for IP           August 1995
  789.  
  790.  
  791. 5.1 USE WITH FIREWALLS
  792.  
  793.    Firewalls are not uncommon in the current Internet [CB94].  While
  794.    many dislike their presence because they restrict connectivity, they
  795.    are unlikely to disappear in the near future.  Both of these IP
  796.    mechanisms can be used to increase the security provided by
  797.    firewalls.
  798.  
  799.    Firewalls used with IP often need to be able to parse the headers and
  800.    options to determine the transport protocol (e.g., UDP or TCP) in use
  801.    and the port number for that protocol.  Firewalls can be used with
  802.    the Authentication Header regardless of whether that firewall is
  803.    party to the appropriate Security Assocation, but a firewall that is
  804.    not party to the applicable Security Association will not normally be
  805.    able to decrypt an encrypted upper-layer protocol to view the
  806.    protocol or port number needed to perform per-packet filtering OR to
  807.    verify that the data (e.g., source, destination, transport protocol,
  808.    port number) being used for access control decisions is correct and
  809.    authentic.  Hence, authentication might be performed not only within
  810.    an organisation or campus but also end to end with remote systems
  811.    across the Internet.  This use of the Authentication Header with IP
  812.    provides much more assurance that the data being used for access
  813.    control decisions is authentic.
  814.  
  815.    Organisations with two or more sites that are interconnected using
  816.    commercial IP service might wish to use a selectively encrypting
  817.    firewall.  If an encrypting firewall were placed between each site of
  818.    a company and the commercial IP service provider, the firewall could
  819.    provide an encrypted IP tunnel among all the company's sites.  It
  820.    could also encrypt traffic between the company and its suppliers,
  821.    customers, and other affiliates.  Traffic with the Network
  822.    Information Center, with public Internet archives, or some other
  823.    organisations might not be encrypted because of the unavailability of
  824.    a standard key management protocol or as a deliberate choice to
  825.    facilitate better communications, improved network performance, and
  826.    increased connectivity.  Such a practice could easily protect the
  827.    company's sensitive traffic from eavesdropping and modification.
  828.  
  829.    Some organisations (e.g., governments) might wish to use a fully
  830.    encrypting firewall to provide a protected virtual network over
  831.    commercial IP service.  The difference between that and a bulk IP
  832.    encryption device is that a fully encrypting firewall would provide
  833.    filtering of the decrypted traffic as well as providing encryption of
  834.    IP packets.
  835.  
  836.  
  837.  
  838.  
  839.  
  840.  
  841.  
  842. Atkinson                    Standards Track                    [Page 15]
  843.  
  844. RFC 1825              Security Architecture for IP           August 1995
  845.  
  846.  
  847. 5.2 USE WITH IP MULTICAST
  848.  
  849.    In the past several years, the Multicast Backbone (MBONE) has grown
  850.    rapidly.  IETF meetings and other conferences are now regularly
  851.    multicast with real-time audio, video, and whiteboards.  Many people
  852.    are now using teleconferencing applications based on IP Multicast in
  853.    the Internet or in private internal networks.  Others are using IP
  854.    multicasting to support distributed simulation or other applications.
  855.    Hence it is important that the security mechanisms in IP be suitable
  856.    for use in an environment where multicast is the general case.
  857.  
  858.    The Security Parameters Indexes (SPIs) used in the IP security
  859.    mechanisms are receiver-oriented, making them well suited for use in
  860.    IP multicast [Atk95a, Atk95b].  Unfortunately, most currently
  861.    published multicast key distribution protocols do not scale well.
  862.    However, there is active research in this area.  As an interim step,
  863.    a multicast group could repeatedly use a secure unicast key
  864.    distribution protocol to distribute the key to all members or the
  865.    group could pre-arrange keys using manual key distribution.
  866.  
  867. 5.3 USE TO PROVIDE QOS PROTECTION
  868.  
  869.    The recent IAB Security Workshop identified Quality of Service
  870.    protection as an area of significant interest [BCCH].  The two IP
  871.    security mechanisms are intended to provide good support for real-
  872.    time services as well as multicasting.  This section describes one
  873.    possible approach to providing such protection.
  874.  
  875.    The Authentication Header might be used, with appropriate key
  876.    management, to provide authentication of packets.  This
  877.    authentication is potentially important in packet classification
  878.    within routers.  The IPv6 Flow Identifier might act as a Low-Level
  879.    Identifier (LLID).  Used together, packet classification within
  880.    routers becomes straightforward if the router is provided with the
  881.    appropriate keying material.  For performance reasons the routers
  882.    might authenticate only every Nth packet rather than every packet,
  883.    but this is still a significant improvement over capabilities in the
  884.    current Internet.  Quality of service provisioning is likely to also
  885.    use the Flow ID in conjunction with a resource reservation protocol,
  886.    such as RSVP [ZDESZ93].  Thus, the authenticated packet
  887.    classification can be used to help ensure that each packet receives
  888.    appropriate handling inside routers.
  889.  
  890. 5.4 USE IN COMPARTMENTED OR MULTI-LEVEL NETWORKS
  891.  
  892.    A multi-level secure (MLS) network is one where a single network is
  893.    used to communicate data at different sensitivity levels (e.g.,
  894.    Unclassified and Secret) [DoD85] [DoD87].  Many governments have
  895.  
  896.  
  897.  
  898. Atkinson                    Standards Track                    [Page 16]
  899.  
  900. RFC 1825              Security Architecture for IP           August 1995
  901.  
  902.  
  903.    significant interest in MLS networking [DIA].  The IP security
  904.    mechanisms have been designed to support MLS networking.  MLS
  905.    networking requires the use of strong Mandatory Access Controls
  906.    (MAC), which ordinary users are incapable of controlling or violating
  907.    [BL73].  This section pertains only to the use of these IP security
  908.    mechanisms in MLS environments.
  909.  
  910.    The Authentication Header can be used to provide strong
  911.    authentication among hosts in a single-level network.  The
  912.    Authentication Header can also be used to provide strong assurance
  913.    for both mandatory access control decisions in multi-level networks
  914.    and discretionary access control decisions in all kinds of networks.
  915.    If explicit IP sensitivity labels (e.g., IPSO) [Ken91] are used and
  916.    confidentiality is not considered necessary within the particular
  917.    operational environment, the Authentication Header is used to provide
  918.    authentication for the entire packet, including cryptographic binding
  919.    of the sensitivity level to the IP header and user data.  This is a
  920.    significant improvement over labeled IPv4 networks where the label is
  921.    trusted even though it is not trustworthy because there is no
  922.    authentication or cryptographic binding of the label to the IP header
  923.    and user data.  IPv6 will normally use implicit sensitivity labels
  924.    that are part of the Security Association but not transmitted with
  925.    each packet instead of using explicit sensitivity labels.  All
  926.    explicit IP sensitivity labels MUST be authenticated using either
  927.    ESP, AH, or both.
  928.  
  929.    The Encapsulating Security Payload can be combined with appropriate
  930.    key policies to provide full multi-level secure networking.  In this
  931.    case each key must be used only at a single sensitivity level and
  932.    compartment.  For example, Key "A" might be used only for sensitive
  933.    Unclassified packets, while Key "B" is used only for Secret/No-
  934.    compartments traffic, and Key "C" is used only for Secret/No-Foreign
  935.    traffic.  The sensitivity level of the protected traffic MUST NOT
  936.    dominate the sensitivity level of the Security Association used with
  937.    that traffic.  The sensitivity level of the Security Association MUST
  938.    NOT dominate the sensitivity level of the key that belongs to that
  939.    Security Association.  The sensitivity level of the key SHOULD be the
  940.    same as the sensitivity level of the Security Association.  The
  941.    Authentication Header can also have different keys for the same
  942.    reasons, with the choice of key depending in part on the sensitivity
  943.    level of the packet.
  944.  
  945.    Encryption is very useful and desirable even when all of the hosts
  946.    are within a protected environment.  The Internet-standard encryption
  947.    algorithm could be used, in conjunction with appropriate key
  948.    management, to provide strong Discretionary Access Controls (DAC) in
  949.    conjunction with either implicit sensitivity labels or explicit
  950.    sensitivity labels (such as IPSO provides for IPv4 [Ken91]). Some
  951.  
  952.  
  953.  
  954. Atkinson                    Standards Track                    [Page 17]
  955.  
  956. RFC 1825              Security Architecture for IP           August 1995
  957.  
  958.  
  959.    environments might consider the Internet-standard encryption
  960.    algorithm sufficiently strong to provide Mandatory Access Controls
  961.    (MAC).  Full encryption SHOULD be used for all communications between
  962.    multi-level computers or compartmented mode workstations even when
  963.    the computing environment is considered to be protected.
  964.  
  965. 6. SECURITY CONSIDERATIONS
  966.  
  967.    This entire memo discusses the Security Architecture for the Internet
  968.    Protocol.  It is not a general security architecture for the
  969.    Internet, but is instead focused on the IP layer.
  970.  
  971.    Cryptographic transforms for ESP which use a block-chaining algorithm
  972.    and lack a strong integrity mechanism are vulnerable to a cut-and-
  973.    paste attack described by Bellovin and should not be used unless the
  974.    Authentication Header is always present with packets using that ESP
  975.    transform [Bel95].
  976.  
  977.    If more than one sender uses shares a Security Association with a
  978.    destination, then the receiving system can only authenticate that the
  979.    packet was sent from one of those systems and cannot authenticate
  980.    which of those systems sent it.  Similarly, if the receiving system
  981.    does not check that the Security Association used for a packet is
  982.    valid for the claimed Source Address of the packet, then the
  983.    receiving system cannot authenticate whether the packet's claimed
  984.    Source Address is valid.  For example, if senders "A" and "B" each
  985.    have their own unique Security Association with destination "D" and
  986.    "B" uses its valid Security Association with D but forges a Source
  987.    Address of "A", then "D" will be fooled into believing the packet
  988.    came from "A" unless "D" verifies that the claimed Source Address is
  989.    party to the Security Association that was used.
  990.  
  991.    Users need to understand that the quality of the security provided by
  992.    the mechanisms provided by these two IP security mechanisms depends
  993.    completely on the strength of the implemented cryptographic
  994.    algorithms, the strength of the key being used, the correct
  995.    implementation of the cryptographic algorithms, the security of the
  996.    key management protocol, and the correct implementation of IP and the
  997.    several security mechanisms in all of the participating systems.  The
  998.    security of the implementation is in part related to the security of
  999.    the operating system which embodies the security implementations.
  1000.    For example, if the operating system does not keep the private
  1001.    cryptologic keys (that is, all symmetric keys and the private
  1002.    asymmetric keys) confidential, then traffic using those keys will not
  1003.    be secure.  If any of these is incorrect or insufficiently secure,
  1004.    little or no real security will be provided to the user.  Because
  1005.    different users on the same system might not trust each other, each
  1006.    user or each session should usually be keyed separately.  This will
  1007.  
  1008.  
  1009.  
  1010. Atkinson                    Standards Track                    [Page 18]
  1011.  
  1012. RFC 1825              Security Architecture for IP           August 1995
  1013.  
  1014.  
  1015.    also tend to increase the work required to cryptanalyse the traffic
  1016.    since not all traffic will use the same key.
  1017.  
  1018.    Certain security properties (e.g., traffic analysis protection) are
  1019.    not provided by any of these mechanisms.  One possible approach to
  1020.    traffic analysis protection is appropriate use of link encryption
  1021.    [VK83].  Users must carefully consider which security properties they
  1022.    require and take active steps to ensure that their needs are met by
  1023.    these or other mechanisms.
  1024.  
  1025.    Certain applications (e.g., electronic mail) probably need to have
  1026.    application-specific security mechanisms.  Application-specific
  1027.    security mechanisms are out of the scope of this document.  Users
  1028.    interested in electronic mail security should consult the RFCs
  1029.    describing the Internet's Privacy-Enhanced Mail system.  Users
  1030.    concerned about other application-specific mechanisms should consult
  1031.    the online RFCs to see if suitable Internet Standard mechanisms
  1032.    exist.
  1033.  
  1034. ACKNOWLEDGEMENTS
  1035.  
  1036.    Many of the concepts here are derived from or were influenced by the
  1037.    US Government's SDNS security protocol specifications, the ISO/IEC's
  1038.    NLSP specification, or from the proposed swIPe security protocol
  1039.    [SDNS, ISO, IB93, IBK93].  The work done for SNMP Security and SNMPv2
  1040.    Security influenced the choice of default cryptological algorithms
  1041.    and modes [GM93].  Steve Bellovin, Steve Deering, Richard Hale,
  1042.    George Kamis, Phil Karn, Frank Kastenholz, Perry Metzger, Dave
  1043.    Mihelcic, Hilarie Orman and Bill Simpson provided careful critiques
  1044.    of early versions of this document.
  1045.  
  1046. REFERENCES
  1047.  
  1048.    [Atk95a] Atkinson, R., "IP Authentication Header", RFC 1826, NRL,
  1049.             August 1995.
  1050.  
  1051.    [Atk95b] Atkinson, R., "IP Encapsulating Security Payload", RFC 1827,
  1052.             NRL, August 1995.
  1053.  
  1054.    [BCCH94] Braden, R., Clark, D., Crocker, S., and C. Huitema, "Report
  1055.             of IAB Workshop on Security in the Internet Architecture",
  1056.             RFC 1636, USC/Information Sciences Institute, MIT, Trusted
  1057.             Information Systems, INRIA, June 1994.
  1058.  
  1059.    [Bel89]  Steven M. Bellovin, "Security Problems in the TCP/IP
  1060.             Protocol Suite", ACM Computer Communications Review, Vol. 19,
  1061.             No. 2, March 1989.
  1062.  
  1063.  
  1064.  
  1065.  
  1066. Atkinson                    Standards Track                    [Page 19]
  1067.  
  1068. RFC 1825              Security Architecture for IP           August 1995
  1069.  
  1070.  
  1071.    [Bel95]  Steven M. Bellovin, Presentation at IP Security Working
  1072.             Group Meeting, Proceedings of the 32nd Internet Engineering
  1073.             Task Force, March 1995, Internet Engineering Task Force,
  1074.             Danvers, MA.
  1075.  
  1076.    [BFC93]  A. Ballardie, P. Francis, & J. Crocroft, "Core Based Trees:
  1077.             An Architecture for Scalable Inter-Domain Multicast Routing",
  1078.             Proceedings of ACM SIGCOMM 93, ACM Computer Communications
  1079.             Review, Volume. 23, Number 4, October 1993, pp. 85-95.
  1080.  
  1081.    [BL73]   Bell, D.E. & LaPadula, L.J., "Secure Computer Systems:
  1082.             Mathematical Foundations and Model", Technical Report
  1083.             M74-244, The MITRE Corporation, Bedford, MA, May 1973.
  1084.  
  1085.    [CB94]   William R. Cheswick & Steven M. Bellovin, Firewalls &
  1086.             Internet Security, Addison-Wesley, Reading, MA, 1994.
  1087.  
  1088.    [DIA]    US Defense Intelligence Agency, "Compartmented Mode
  1089.             Workstation Specification", Technical Report
  1090.             DDS-2600-6243-87.
  1091.  
  1092.    [DoD85]  US National Computer Security Center, "Department of Defense
  1093.             Trusted Computer System Evaluation Criteria", DoD
  1094.             5200.28-STD, US Department of Defense, Ft. Meade, MD.,
  1095.             December 1985.
  1096.  
  1097.    [DoD87]  US National Computer Security Center, "Trusted Network
  1098.             Interpretation of the Trusted Computer System Evaluation
  1099.             Criteria", NCSC-TG-005, Version 1, US Department of Defense,
  1100.             Ft. Meade, MD., 31 July 1987.
  1101.  
  1102.    [DH76]   W. Diffie & M. Hellman, "New Directions in Cryptography",
  1103.             IEEE Transactions on Information Theory, Vol. IT-22, No. 6,
  1104.             November 1976, pp. 644-654.
  1105.  
  1106.    [EK94]   D. Eastlake III & C. Kaufman, "Domain Name System Protocol
  1107.             Security Extensions", Work in Progress.
  1108.  
  1109.    [GM93]   Galvin J., and K. McCloghrie, "Security Protocols for
  1110.             version 2 of the Simple Network Management Protocol
  1111.             (SNMPv2)", RFC 1446, Trusted Information Systems, Hughes LAN
  1112.             Systems, April 1993.
  1113.  
  1114.    [HA94]   Haller, N., and R. Atkinson, "On Internet Authentication",
  1115.             RFC 1704, Bell Communications Research, NRL, October 1994.
  1116.  
  1117.    [Hin94]  Bob Hinden (Editor), Internet Protocol version 6 (IPv6)
  1118.             Specification, Work in Progress, October 1994.
  1119.  
  1120.  
  1121.  
  1122. Atkinson                    Standards Track                    [Page 20]
  1123.  
  1124. RFC 1825              Security Architecture for IP           August 1995
  1125.  
  1126.  
  1127.  
  1128.    [ISO]   ISO/IEC JTC1/SC6, Network Layer Security Protocol, ISO-IEC
  1129.            DIS 11577, International Standards Organisation, Geneva,
  1130.            Switzerland, 29 November 1992.
  1131.  
  1132.    [IB93]  John Ioannidis and Matt Blaze, "Architecture and
  1133.            Implementation of Network-layer Security Under Unix",
  1134.            Proceedings of USENIX Security Symposium, Santa Clara, CA,
  1135.            October 1993.
  1136.  
  1137.    [IBK93] John Ioannidis, Matt Blaze, & Phil Karn, "swIPe: Network-Layer
  1138.            Security for IP", presentation at the Spring 1993 IETF Meeting,
  1139.            Columbus, Ohio.
  1140.  
  1141.    [Ken91] Kent, S., "US DoD Security Options for the Internet Protocol",
  1142.            RFC 1108, BBN Communications, November 1991.
  1143.  
  1144.    [Ken93] Kent, S., "Privacy Enhancement for Internet Electronic Mail:
  1145.            Part II: Certificate-Based Key Management", RFC 1422,
  1146.            BBN Communications, February 1993.
  1147.  
  1148.    [KB93]  Kohl, J., and B. Neuman, "The Kerberos Network Authentication
  1149.            Service (V5)", RFC 1510, Digital Equipment Corporation,
  1150.            USC/Information Sciences Institute, September 1993.
  1151.  
  1152.    [MS95]  Metzger, P., and W. Simpson, "IP Authentication with Keyed
  1153.            MD5", RFC 1828, Piermont, Daydreamer, August 1995.
  1154.  
  1155.    [KMS95] Karn, P., Metzger, P., and W. Simpson, "The ESP DES-CBC
  1156.            Transform", RFC 1829, Qualcomm, Inc., Piermont, Daydreamer,
  1157.            August 1995.
  1158.  
  1159.    [NS78]  R.M. Needham & M.D. Schroeder, "Using Encryption for
  1160.            Authentication in Large Networks of Computers", Communications
  1161.            of the ACM, Vol. 21, No. 12, December 1978, pp. 993-999.
  1162.  
  1163.    [NS81]  R.M. Needham & M.D. Schroeder, "Authentication Revisited",
  1164.            ACM Operating Systems Review, Vol. 21, No. 1., 1981.
  1165.  
  1166.    [OTA94] US Congress, Office of Technology Assessment, "Information
  1167.            Security & Privacy in Network Environments", OTA-TCT-606,
  1168.            Government Printing Office, Washington, DC, September 1994.
  1169.  
  1170.    [Sch94] Bruce Schneier, Applied Cryptography, Section 8.6,
  1171.            John Wiley & Sons, New York, NY, 1994.
  1172.  
  1173.  
  1174.  
  1175.  
  1176.  
  1177.  
  1178. Atkinson                    Standards Track                    [Page 21]
  1179.  
  1180. RFC 1825              Security Architecture for IP           August 1995
  1181.  
  1182.  
  1183.    [SDNS]  SDNS Secure Data Network System, Security Protocol 3, SP3,
  1184.            Document SDN.301, Revision 1.5, 15 May 1989, published
  1185.            in NIST Publication NIST-IR-90-4250, February 1990.
  1186.  
  1187.    [VK83]  V.L. Voydock & S.T. Kent, "Security Mechanisms in High-level
  1188.            Networks", ACM Computing Surveys, Vol. 15, No. 2, June 1983.
  1189.  
  1190.    [ZDESZ93] Zhang, L., Deering, S., Estrin, D., Shenker, S., and
  1191.              D. Zappala, "RSVP: A New Resource ReSerVation Protocol",
  1192.              IEEE Network magazine, September 1993.
  1193.  
  1194. DISCLAIMER
  1195.  
  1196.    The views expressed in this note are those of the author and are not
  1197.    necessarily those of his employer.  The Naval Research Laboratory has
  1198.    not passed judgement on the merits, if any, of this work.  The author
  1199.    and his employer specifically disclaim responsibility for any problems
  1200.    arising from correct or incorrect implementation or use of this
  1201.    design.
  1202.  
  1203. AUTHOR'S ADDRESS
  1204.  
  1205.    Randall Atkinson
  1206.    Information Technology Division
  1207.    Naval Research Laboratory
  1208.    Washington, DC 20375-5320
  1209.    USA
  1210.  
  1211.    Phone:  (202) 767-2389
  1212.    Fax:    (202) 404-8590
  1213.    EMail: atkinson@itd.nrl.navy.mil
  1214.  
  1215.  
  1216.  
  1217.  
  1218.  
  1219.  
  1220.  
  1221.  
  1222.  
  1223.  
  1224.  
  1225.  
  1226.  
  1227.  
  1228.  
  1229.  
  1230.  
  1231.  
  1232.  
  1233.  
  1234. Atkinson                    Standards Track                    [Page 22]
  1235.  
  1236.